Op 15 februari 2022 is door een nieuwe versie van de 27002 gepubliceerd: ISO/IEC 27002:2022. Deze norm is te bestellen bij de NEN. Deze wijziging is nog niet doorgevoerd in de 27001. Dit jaar
Dit jaar zal er een aanpassing komen op de huidige versie van de 27001 (ISO/IEC 27001:2013). Daarin wordt dan een gewijzigde Annex A opgenomen. Wanneer de nieuwe versie van de 27001 (ISO/IEC 27001:2022) uitkomt is nog niet bekend.
De vraag is nu of als organisatie al aan de slag kan met de nieuwe 27002. De huidige Annex A van de 27001 verwijst immers niet naar de nieuwe 27002. Gelukkig is de norm daar wel duidelijk over!
In de ISO/IEC 27001:2013 staat in § 6.1.3: “Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.” Een bepaalde bron kan dan ook de nieuwe ISO 27002 zijn.
Maar let op! In de norm staat in § 6.1.3 onder c) ook nog het volgende: “De organisatie moet een behandelprocedure voor informatiebeveiligingsrisico’s definiëren en toepassen om de beheersmaatregelen die hiervoor in 6.1.3 b) zijn vastgesteld te vergelijken met die in bijlage A, en om te verifiëren dat geen noodzakelijke beheersmaatregelen zijn weggelaten“. Het gaat hier om de bijlage A in de huidige norm, welke verwijst naar de oude ISO 27002. Bijlage A blijft voorlopig nog ongewijzigd en die onderdelen blijven daarmee eisen voor de Verklaring van Toepasselijkheid.
Wanneer er als organisatie dus voor kiest om te gaan werken met de nieuwe versie van de ISO 27002, moet je in de Verklaring van Toepasselijkheid de controle doen tegen de bijlage A van de huidige ISO 27001.