ISO 27001:2022 vs 2013: Wat is er Veranderd?

Volledige Vergelijkingsgids voor Organisaties die Overstappen naar de Nieuwe Standaard

Home Blog Implementatiegids

📋 Overzicht van Wijzigingen

ISO/IEC 27001:2022 werd gepubliceerd in oktober 2022 en vervangt de 2013-versie. Organisaties die gecertificeerd zijn volgens ISO 27001:2013 hebben tot oktober 2025 om over te stappen naar de nieuwe standaard. Het begrijpen van de wijzigingen is cruciaal voor het plannen van uw transitiestrategie.

Samenvatting Belangrijkste Wijzigingen

  • 93 controls (tegen 114): Geconsolideerd voor duidelijkheid en minder duplicatie
  • 4 thema's (vs 14 domeinen): Organisatorisch, Mensen, Fysiek, Technologisch
  • 10 nieuwe controls: Inclusief threat intelligence, cloud security, ICT-gereedheid
  • 24 controls samengevoegd: Overlappende vereisten gecombineerd
  • 58 controls bijgewerkt: Verduidelijkte taal en vereisten

🏗️ Nieuwe Control Structuur

Van 14 Domeinen naar 4 Thema's

ISO 27001:2013 organiseerde controls in 14 domeinen. De 2022-versie vereenvoudigt dit naar 4 thema's:

2022 Structuur (4 Thema's)

  • Organisatorische Controls (37): Beleid, rollen, asset management, HR-beveiliging, leveranciersbeheer
  • Mensen Controls (8): Screening, arbeidsvoorwaarden, bewustwording en training
  • Fysieke Controls (14): Beveiligde gebieden, apparatuurbeveiliging, utilities, vernietiging
  • Technologische Controls (34): Authenticatie, cryptografie, netwerkbeveiliging, logging

Attribuut-Gebaseerde Categorisering

De 2022-versie voegt attributen toe aan elke control:

  • Control Type: Preventief, Detecterend, of Correctief
  • Informatiebeveiliging Eigenschappen: Vertrouwelijkheid, Integriteit, Beschikbaarheid
  • Cybersecurity Concepten: Identificeren, Beschermen, Detecteren, Reageren, Herstellen
  • Operationele Capabilities: Governance, Asset Management, Bescherming, etc.
  • Beveiligingsdomeinen: Governance & Ecosysteem, Bescherming, Defensie, Veerkracht

✨ 10 Nieuwe Controls in 2022

5.7 Threat Intelligence

Organisaties moeten nu threat intelligence verzamelen en analyseren die relevant is voor hun informatiebeveiliging. Dit formaliseert wat volwassen organisaties al informeel doen.

Implementatie: Abonneren op threat feeds, monitoren van security advisories, volgen van kwetsbaarheden in uw technologiestack.

5.23 Informatiebeveiliging voor Cloud Services

Expliciete vereisten voor het veilig gebruiken, verkrijgen en beheren van cloud services. Behandelt cloud-specifieke risico's.

Implementatie: Cloud provider security assessments, documentatie van shared responsibility model, cloud configuratie reviews.

5.30 ICT-Gereedheid voor Business Continuïteit

Zorgt ervoor dat ICT-systemen klaar zijn om business continuity requirements te ondersteunen. Versterkt focus op veerkracht.

Implementatie: Testen van disaster recovery procedures, verifiëren van backup restoration, zorgen voor redundantie.

8.9 Configuratiebeheer

Vereist gedocumenteerd configuratiebeheer voor security-relevante systemen. Voorkomt configuratiedrift.

Implementatie: Infrastructure as Code, configuratie baselines, wijzigingen volgen.

8.10 Informatieverwijdering

Zorgt ervoor dat informatie veilig wordt verwijderd wanneer deze niet langer nodig is. Ondersteunt dataminimalisatie.

Implementatie: Data retention policies, veilige verwijderingsprocedures, verificatieprocessen.

8.11 Data Masking

Vereist maskering van gevoelige data waar gepast. Ondersteunt privacy en testbehoeften.

Implementatie: Anonimisering voor testdata, redactie in logs, tokenisatie waar gepast.

8.12 Data Leakage Prevention

Behandelt het voorkomen van data-exfiltratie en ongeautoriseerde openbaarmaking.

Implementatie: DLP tools, egress filtering, USB-beperkingen, email controls.

8.16 Monitoring Activiteiten

Formaliseert vereisten voor het monitoren van gebruikers- en systeemactiviteiten.

Implementatie: SIEM, log aggregatie, gebruikersgedrag analytics.

8.23 Web Filtering

Vereist web filtering om toegang tot malicious content te voorkomen.

Implementatie: DNS filtering, proxy servers, URL categorisatie.

8.28 Secure Coding

Expliciete vereisten voor secure coding principes in softwareontwikkeling.

Implementatie: OWASP richtlijnen, code reviews, SAST/DAST, security training.

🔄 Transitiegids voor Gecertificeerde Organisaties

Transitie Tijdlijn

Deadline: Oktober 2025

  • Oktober 2022: ISO 27001:2022 gepubliceerd
  • Oktober 2023: 1-jarige graceperiode eindigt (nieuwe audits gebruiken 2022-versie)
  • Oktober 2025: 3-jarige transitieperiode eindigt (alle certificaten moeten 2022-compliant zijn)

Transitiestappen

  1. Gap Analyse: Vergelijk huidige controls met 2022 Bijlage A
  2. Update Statement of Applicability: Map 2013 controls naar 2022 equivalenten
  3. Implementeer Nieuwe Controls: Pak de 10 nieuwe requirements aan
  4. Update Documentatie: Herzie beleid om te verwijzen naar 2022 standaard
  5. Internal Audit: Verifieer naleving van nieuwe requirements
  6. Transitie Audit: Certificeringsinstantie beoordeelt 2022 naleving

Veelvoorkomende Transitie Uitdagingen

  • Cloud security controls kunnen nieuwe leverancier assessments vereisen
  • Threat intelligence vereist doorlopende abonnementen/processen
  • Configuratiebeheer heeft automatisering nodig
  • Data leakage prevention kan nieuwe tools nodig hebben

💡 Praktisch Advies voor Nederlandse Organisaties

Wat de Meeste Organisaties Al Hebben

Goed nieuws: Veel van de "nieuwe" controls formaliseren bestaande best practices:

  • Threat intelligence → Monitoren al CVEs en security nieuws
  • Cloud security → Gebruiken al AWS/Azure met enige beveiliging
  • Configuratiebeheer → Infrastructure as Code al aanwezig
  • Monitoring → SIEM of log aggregatie al ingezet

Wat Werk Vereist

Controls die typisch nieuwe implementatie vereisen:

  • Formeel threat intelligence proces (niet alleen ad-hoc monitoring)
  • Gedocumenteerde cloud security assessments (niet alleen cloud services gebruiken)
  • Data leakage prevention (kan DLP tools nodig hebben)
  • Secure coding standards (geformaliseerde SDLC security)

Kostenimpact

Voor Nederlandse MKB's die al gecertificeerd zijn volgens 2013:

  • Interne inspanning: 40-80 uur voor gap analyse, documentatie updates, implementatie
  • Transitie audit: €2.000-€5.000 (vaak gecombineerd met surveillance audit)
  • Nieuwe tooling: €1.000-€3.000 als DLP of monitoring gaps bestaan

Hulp nodig bij de transitie? Neem contact op met Hack23 voor gap assessment en transitieplanning op maat voor Nederlandse organisaties.

📚 Bronnen