Nieuwe versie ISO27001 toegankelijk voor meer bedrijven

De ISO standaard voor het management van Informatiebeveilinging, de ISO27001, is sinds het uitkomen in 2005 uitgegroeid tot een van de bekendste standaarden op het gebied van informatiebeveiliging en inmiddels ook breed geadopteerd door de industrie. Met het verstrijken van de jaren is echter wel wat kritiek ontstaan op de standaard, met name op het gebied van flexibiliteit. Het was voor kleine organisaties en voor grote organisaties met bestaande, alternatieve, standaarden soms moeilijk om de ISO27001 te implementeren. Hiernaast zijn de laatste 8 jaar nieuwe structuren en risico’s onstaan. In de afgelopen periode is daarom hard gewerkt aan een nieuwe versie van de standaard, die op 25 september 2013 officieel is gelanceerd: ISO27001:2013.

Gebruik bestaande controls

ISO27001 als standaard bestaat uit twee hoofdonderdelen: Een beheer- of managementsysteem waarmee het proces van informatiebeveiliging in brede zin wordt aangestuurd en een maatregelen-mechanisme, waarin de individuele risico’s worden ondervangen in zogeheten controls.

De nieuwe versie van de standaard bevat nog steeds beide hoofdonderdelen, maar is hierin flexibeler geworden. Waar de oude standaard de meegeleverde controls (de zogeheten Annex A) verplicht stelde, is dat in de nieuwe versie optioneel geworden. De controls in Annex A worden wel sterk aangeraden en er moeten goede redenen zijn om hiervan af te wijken.

Deze wijziging betekent dat bestaande controls gebruikt kunnen worden. Dit is zowel goed voor grote bedrijven die al een volledige controlset van een andere standaard hebben geïmplementeerd als voor kleine bedrijven die al maatregelen genomen hebben om specifieke risico’s af te dekken en deze maatregelen willen blijven gebruiken. Kleinere partijen kunnen deze bestaande maatregelen dan aanvullen met controls uit de standaard.

Flexibele risicoanalyse

Voordat de controls kunnen worden geïmplementeerd moet er volgens het ISO27001 framework een substantiële risicoanalyse worden uitgevoerd. In de nieuwe versie van de standaard is het toegestaan om direct risico’s te onderkennen en daar maatregelen op te definiëren zonder deze eerst helemaal te analyseren op risico, kwetsbaarheid en impact per asset.

Deze wijziging maakt de standaard een stuk bruikbaarder voor met name kleinere organisaties die veelal wel een goed beeld van de aanwezige risico’s en relevante maatregelen hebben, maar waar een heel uitgebreid analyseproces praktisch niet haalbaar is.

Moderne controls

De Annex A, de sectie met maatregelen, is zelf ook op de schop genomen in de nieuwe versie. De oude versie had 133 controls in 11 groepen, de nieuwe versie heeft 114 controls in 14 groepen. Minder controls betekent overigens niet minder controle, de focus is enkel verschoven. Het zwaartepunt van de controls ligt nu in het bewaken van de keten van informatiebeveiliging in plaats van de focus op individuele onderdelen. Zo wordt nu bijvoorbeeld meer focus gelegd op de veilige ontwikkeling en aanschaf van software en de veiligheid van bij derde partijen aangeschafte diensten.

Bedrijfscontinuiteit naar aparte standaard

De laatste wijziging is de manier waarop de standaard tegen bedrijfscontinuïteit aankijkt: de oude standaard stelde een aantal maatregelen verplicht om in elk geval de basis te garanderen,  de nieuwe standaard stelt slechts een generieke eis tot het inrichten van bedrijfscontinuïteit maar laat organisaties vrij dit naar eigen inzicht in te richten. Deze verandering stimuleert tevens de adoptie van ISO22301 dat zich specifiek op Business Continuity als standaard richt.

Implementatietraject ISO27001:2013

Wanneer een nieuwe versie van een ISO-standaard wordt geïntroduceerd geldt dat certificeringen tegen de oude versie nog 2 jaar geldig blijven. Voor ISO27001:2005 betekent dit dat deze nog tot 25 september 2015 mag worden gebruikt, daarna moeten organisaties zijn overgestapt naar ISO27001:2013.

Aangezien de nieuwe versie van de standaard een verplichting introduceert om de processen rondom bedrijfscontinuïteit te beschrijven, is het aan te bevelen om hiervoor ISO22301 te gebruiken, Business Continuity Management. Deze standaard zal naar verwachting de komende twee jaar steeds vaker als eis worden gesteld in offertetrajecten. Om je als provider goed voor te bereiden op de toekomstige klantvragen is het zaak snel de nieuwe ISO27001 te implementeren en serieus naar ISO22301 voor Business Continuity te kijken.


Bas van der Linden is COO bij CloudVPS en verantwoordelijk voor alle operationele processen inclusief de implementatie van standaarden.

Over Bas van der Linden

Bas is verantwoordelijk voor alle operationele processen inclusief de implementatie van standaarden.