De herziene versie van NEN-ISO/IEC 27002 ‘Informatietechnologie – Beveiligingstechnieken – Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging’ is gepubliceerd. De norm is ontwikkeld voor organisaties van elk type en elke omvang om zaken als afpersing, diefstal van gegevens en uitval van ICT-diensten te voorkomen.
De norm voor informatiebeveiliging geeft suggesties en ‘best practices’ voor security controls op de implementatie en het onderhoud van Information Security Management Systems (ISMS). Om ervoor te zorgen dat normen actueel en wereldwijd relevant blijven, worden ze om de vijf jaar beoordeeld. Bij de beoordeling bleek dat de norm onder andere teveel als checklist werd gebruikt en daarom waren er aanpassingen nodig, aldus NEN.
NEN-ISO/IEC 27002 is een verdieping op ISO 27001 en is een hulpmiddel met maatregelen om de risicoanalyse uit te voeren. ISO 27002 bestaat uit maatregelen om risico’s te beperken of te verkleinen. Zo biedt de norm een referentie voor het vaststellen en implementeren van beheersmaatregelen voor informatiebeveiligingsrisico’s in een beleid dat op ISO 27001 is gebaseerd. Ook is het een leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging vaststellen en implementeren.
De norm moet op Europees niveau nog worden aanvaard. Naar verwachting wordt de EN-norm pas na augustus 2022 aangepast. Het gaat om een aanpassing zonder inhoudelijk wijzigingen.
Momenteel verwijst ISO 27001 nog naar de oude versie. De maatregelen uit ISO 27002 horen gelijk te zijn aan bijlage A van ISO 27001. De wijzigingen in ISO 27002 zorgen daardoor voor een verandering in ISO 27001. Naar verwachting volgt op korte termijn (mei/juni) een nieuwe versie van ISO 27001 die aansluit op ISO 27002. Daarna wordt ook ISO 27001 herzien.