Ben je nog niet over gestapt naar de nieuwe versie van de norm? Dan heb je nog iets meer dan een jaar om dit te doen. Op 25 oktober 2025 vervalt het certificaat voor de ISO 27001:2013!
Stappenplan upgrade
Om te beginnen moet je een verschillen analyse uitvoeren tussen de :2013 en de :2022 versie van de norm. Je moet immers weten wat je al hebt en wat je nog niet hebt.
Wanneer je de verschillen kent, kan je een project opzetten om die verschillen te gaan implementeren. Daarbij hoort ook het uitvoeren van de risico beoordeling. In de norm staat immers in paragraaf 8.1 dat je, zodra belangrijke veranderingen worden voorgesteld of zich voordoen (zoals de implementatie van de nieuwe versie van de norm) er een risicobeoordeling voor informatiebeveiliging moet uitvoeren.
Zodra je het project van de implementatie hebt afgerond, moet er een nieuwe Verklaring van Toepasselijkheid worden opgesteld. Je kan dan vaststellen of alle noodzakelijke beheersmaatregelen zijn geïmplementeerd, wat (zeker voor de nieuwe beheersmaatregelen) de rechtvaardiging is voor het opnemen ervan en of de benodigde beheersmaatregelen zijn geïmplementeerd (en het project dus daadwerkelijk is afgerond). Vervolgens controleer je of je daarmee alle beheersmaatregelen uit bijlage A hebt opgenomen in de Verklaring van Toepasselijkheid. Voor eventuele ontbrekende beheersmaatregelen stel je vast of dit terecht is en waarom dat dan zo is.
Wanneer je nu alles hebt geïmplementeerd, voer je de interne audit uit. Je stelt daarmee vast of het nieuwe managementsysteem voor informatiebeveiliging doeltreffend is geïmplementeerd en onderhouden.
Als laatste voer je dan nog een management review uit. Hierin dient minimaal de gereedheid voor certificatie volgens de nieuwe versie van de norm aan de orde te komen.