Overgang naar ISO/IEC 27001:2013

27-03-2014

Met dit nieuwsbericht maakt de RvA zijn overgangsbeleid ten aanzien van het invoeren van de nieuwe norm 27001 bekend.

Per 1 oktober 2013 is de nieuwe ISO/IEC 27001: 2013 gepubliceerd. Naar aanleiding hiervan heeft IAF in haar vergadering te Seoul als volgt besloten:

“IAF Resolution 2013–13 – (Agenda Item 8)Endorsement of ISO/IEC 27001:2013 - The General Assembly, acting on therecommendation of the Technical Committee, resolved to endorse ISO/IEC27001:2013 Information technology - Security techniques - Information securitymanagement systems – Requirements, as a normative document.

The General Assembly further agreed that the deadline for conformance to ISO/IEC 27001:2013 will be two years from the date of publication. One year after publication of ISO/IEC 27001:2013, all new accredited certifications issued shall be to ISO/IEC 27001:2013.


Note: As the date of publication was 1 October 2013, the deadline for Certification Bodies to conform will be 1 October 2015.”


Gezien de aard van de wijzigingen mogen de CI’s die al doorde RvA geaccrediteerd zijn voor certificatie volgens de ISO/IEC 27001:2005, deze de nieuwe norm onder accreditatie per direct gaan toepassen (dus zonder voorafgaande toestemming van de RvA). De RvA zal bij de eerstvolgende reguliere controle of herbeoordeling extra aandacht schenken aan de invoering van de nieuwe norm. Hierbij zullen de volgende punten specifiek worden bekeken:

  • Heeft de CI haar auditoren adequaat getraind op de nieuwe vereisten van de norm;
  • Heeft de CI haar competentievereisten (én evaluatie) aangepast aan de nieuwe norm (extra aandacht zal worden gegeven aan “technical area” competentie);
  • Heeft de CI een transitieplan voor haar klanten opgesteld, dat zeker stelt dat alle nieuwe certificeringen die na 1 oktober 2014 worden uitgegeven tegen de nieuwe norm zijn, en dat tevens alle bestaande certificaten zijn omgezet naar de nieuwe norm vóór 1 oktober 2015;
  • Heeft de CI haar werkwijze (instructies, templates, checklists) aangepast aan de nieuwe vereisten;
  • Bij bijwoningen zal specifieke aandacht worden geschonken aan de aangepaste wijze van beoordeling van de “risk analysis”, de “statement of applicability”en de “ISMS Policy”.
Het specifieke accreditatieprotocol (RvA SAP-C010) is inmiddels aangepast aan deze overgangsregeling.