Revisie ISO 27001. Tips en verschillen ISO27001:2013 en ISO27001:2022 - revisie, wijzigingen ISO 27001 - mapping, roadmap, FitGap
Zie WWW.META-AUDIT.NL
In ISO 27001:2022 is de Annex A belangrijk gewijzigd. Hoe pak je dit aan?
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
1. Project ISO 27K revisie norm
ISO 27001:2013 vs ISO 27001:2022
www.meta-audit.nl
Presentatie
• Wat is nu nodig
• Roadmap
2. • Kleine aanpassingen in ISO 27001 norm zelf, grote aanpassing in Annex A
• Annex A obv ISO 27002:2022
• Samenvoeging van bestaande maatregelen, 12 nieuwe maatregelen
• SoA – VvT: nieuwe indeling, nieuwe verklaring nodig !
www.meta-audit.nl
ISO 27001:2022
Wijzigingen op hoofdpunten
3. • 5. Organisatorische maatregelen
• 6. Maatregelen tav mensen
• 7. Fysieke maatregelen
• 8. Technische maatregelen
handige spreadsheet Annex A - 2022? Mail: info@meta-audit.nl
www.meta-audit.nl
Annex A – ISO 27001:2022
raamwerk van alle beheersmaatregelen
4. 5. Organisatorische maatregelen
Annex A per onderdeel – wat is nieuw
• 5.7 Informatie en analyses over dreigingen
Wordt informatie verzameld en geanalyseerd tav bedreigingen informatiebeveiliging
• 5.23 Informatiebeveiliging voor het gebruik van cloud diensten
Acquisitie, gebruik, beheer en stopzetting van cloud diensten moet worden uitgevoerd
volgens eigen eisen tav informatiebeveiliging
• 5.30 ICT-gereedheid voor bedrijfscontinuiteit
Een bedrijfscontinuiteitsplan moet er zijn, geïmplementeerd, onderhouden en getest
die voldoet aan eigen doelen en eisen
www.meta-audit.nl
5. 6. Maatregelen tav mensen
• Geen nieuwe maatregelen
7. Fysieke maatregelen
www.meta-audit.nl
Annex A per onderdeel – wat is nieuw
• 7.4 Monitoring van de fysieke beveiliging
Voor gebouwen moet continu ongeautoriseerde toegang worden gemonitord
6. 8. Technische maatregelen -1-
• 8.9 Configuratiebeheer
Worden configuraties van hardware, software, netwerken, .. vastgesteld,
gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
• 8.10 Wissen van informatie
Informatie in systemen, devices of andere opslag media moet worden verwijderd,
indien niet meer nodig
• 8.11 Gegevensmaskering
Gegevens moeten worden gemaskeerd volgens eigen (toegangs)beleid, eisen en
wetgeving
• 8.12 Preventie van datalekken
Preventie maatregelen moeten worden getroffen voor systemen en netwerken om
datalekken te voorkomen
www.meta-audit.nl
Annex A per onderdeel – wat is nieuw
7. 8. Technische maatregelen -2-
• 8.16 Monitoren van activiteiten
Netwerken, systemen en toepassing moeten worden gemonitord op afwijkend gedrag
en indien nodig actie
• 8.23 Webfiltering
Toegang tot externe websites moet worden gereduceerd ter verkoming van
ongewenste blootstelling aan schadelijke content
• 8.28 Veilig coderen
Principes van veilig coderen moeten worden toegepast op het programmeren
www.meta-audit.nl
Annex A per onderdeel – wat is nieuw
8. ‘FitGap’ - analyse
• Voldoen bestaande beheersmaatregelen (huidige control framework)
• Wat is er mbt 11 nieuwe beheersmaatregelen?
• Wat is extra nodig?
• Herziening structuur ISMS nodig?
• Nieuw control framework om te voldoen aan ISO 27001:2022
www.meta-audit.nl