Revisie ISO 27001. Tips en verschillen ISO27001:2013 en ISO27001:2022 - revisie, wijzigingen ISO 27001 - mapping, roadmap, FitGap Zie WWW.META-AUDIT.NL In ISO 27001:2022 is de Annex A belangrijk gewijzigd. Hoe pak je dit aan?

1. Project ISO 27K revisie norm
ISO 27001:2013 vs ISO 27001:2022
www.meta-audit.nl
Presentatie
• Wat is nu nodig
• Roadmap

2. • Kleine aanpassingen in ISO 27001 norm zelf, grote aanpassing in Annex A
• Annex A obv ISO 27002:2022
• Samenvoeging van bestaande maatregelen, 12 nieuwe maatregelen
• SoA – VvT: nieuwe indeling, nieuwe verklaring nodig !
www.meta-audit.nl
ISO 27001:2022
Wijzigingen op hoofdpunten

3. • 5. Organisatorische maatregelen
• 6. Maatregelen tav mensen
• 7. Fysieke maatregelen
• 8. Technische maatregelen
handige spreadsheet Annex A - 2022? Mail: info@meta-audit.nl
www.meta-audit.nl
Annex A – ISO 27001:2022
raamwerk van alle beheersmaatregelen

4. 5. Organisatorische maatregelen
Annex A per onderdeel – wat is nieuw
• 5.7 Informatie en analyses over dreigingen
Wordt informatie verzameld en geanalyseerd tav bedreigingen informatiebeveiliging
• 5.23 Informatiebeveiliging voor het gebruik van cloud diensten
Acquisitie, gebruik, beheer en stopzetting van cloud diensten moet worden uitgevoerd
volgens eigen eisen tav informatiebeveiliging
• 5.30 ICT-gereedheid voor bedrijfscontinuiteit
Een bedrijfscontinuiteitsplan moet er zijn, geïmplementeerd, onderhouden en getest
die voldoet aan eigen doelen en eisen
www.meta-audit.nl

5. 6. Maatregelen tav mensen
• Geen nieuwe maatregelen
7. Fysieke maatregelen
www.meta-audit.nl
Annex A per onderdeel – wat is nieuw
• 7.4 Monitoring van de fysieke beveiliging
Voor gebouwen moet continu ongeautoriseerde toegang worden gemonitord

6. 8. Technische maatregelen -1-
• 8.9 Configuratiebeheer
Worden configuraties van hardware, software, netwerken, .. vastgesteld,
gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
• 8.10 Wissen van informatie
Informatie in systemen, devices of andere opslag media moet worden verwijderd,
indien niet meer nodig
• 8.11 Gegevensmaskering
Gegevens moeten worden gemaskeerd volgens eigen (toegangs)beleid, eisen en
wetgeving
• 8.12 Preventie van datalekken
Preventie maatregelen moeten worden getroffen voor systemen en netwerken om
datalekken te voorkomen
www.meta-audit.nl
Annex A per onderdeel – wat is nieuw

7. 8. Technische maatregelen -2-
• 8.16 Monitoren van activiteiten
Netwerken, systemen en toepassing moeten worden gemonitord op afwijkend gedrag
en indien nodig actie
• 8.23 Webfiltering
Toegang tot externe websites moet worden gereduceerd ter verkoming van
ongewenste blootstelling aan schadelijke content
• 8.28 Veilig coderen
Principes van veilig coderen moeten worden toegepast op het programmeren
www.meta-audit.nl
Annex A per onderdeel – wat is nieuw

8. ‘FitGap’ - analyse
• Voldoen bestaande beheersmaatregelen (huidige control framework)
• Wat is er mbt 11 nieuwe beheersmaatregelen?
• Wat is extra nodig?
• Herziening structuur ISMS nodig?
• Nieuw control framework om te voldoen aan ISO 27001:2022
www.meta-audit.nl

9. Het 27K revisie project - roadmap
Project revisie 27K
• Wie doet wat: bedrijf zelf, Meta-audit ‘upgrade service’
• Project scope, aandachtspunten upgrade, ‘fitgap’-analyse
• Project fasering
‘Upgrade audit ISO 27001:2022
www.meta-audit.nl

10. Aan de slag
Project ISO 27K
www.meta-audit.nl

11. Meta-audit ‘upgrade service’
• Scan
• Begeleiding ‘upgrade acties’
• Pre-audit
• Om te schakelen:
- Online consultancy in webmeetings
- 2 x 2 uur; Eur 596,=
• Contact: Ad Voets
• Mail: info@meta-audit.nl
• Website: www.meta-audit.nl
www.meta-audit.nl

12. Metaware managementsysteem
Onze tool:
www.meta-audit.nl
• Tel.: 050 - 5370080
• Web: www.metaware.nl  demo’s
• Uitproberen: www.metaware.nl/proberen