Transitie Informatiebeveiligings-
managementsystemen ISO/IEC 27001:2022
Op 25 oktober 2022 is de nieuwe versie van de ISO/IEC 27001, de ISO/IEC 27001:2022 ‘’Information technology – Security techniques – Information security management systems – Requirements’’ gepubliceerd.
Het International Accreditation Forum (IAF) beschrijft in MD 26 ’’Transition Requirements for ISO/IEC 27001:2022’’ de overgangsregeling voor deze nieuwe versie.
Belangrijkste data uit de MD26:
- Dat certificerende instellingen (hierna CI’s te noemen) 12 maanden na publicatie hun accreditatie voor certificatie tegen deze nieuwe versie moeten hebben verkregen, dat wil dus zeggen: voor 1 november 2023 moeten de CI’s geaccrediteerd zijn.
- Dat CI’s uiterlijk 36 maanden na publicatie de transitie van hun klanten naar de ISO/IEC 27001:2022 moeten hebben afgerond. De certificaathouders kunnen uiterlijk tot eind oktober 2025 tegen de oude versie van de norm zijn gecertificeerd.
- Vanaf 18 maanden na publicatie, dus vanaf 1 mei 2024 mogen door CI’s geen initiële of hercertificatie audits meer worden uitgevoerd tegen de ISO/IEC 27001:2013 of NEN-EN ISO/IEC 27001:2017+A11:2020.
Aanvraag tot uitbreiding noodzakelijk
Op basis van IAF MD 26 is de werkwijze van de RvA voor de CI’s die geaccrediteerd zijn voor de ISO/IEC 27001 en die over willen naar de ISO/IEC 27001:2022 als volgt: zij kunnen vanaf nu een uitbreiding van de accreditatie aanvragen voor ISO/IEC 27001:2022. De aanvraag kan op de gebruikelijke manier via de contactpersoon bij de RvA worden ingediend. Alleen complete aanvragen zullen geaccepteerd worden.
Bij de uitbreidingsaanvraag verstrekt de CI, naast het ondertekende aanvraag formulier (F105 + F006-2);
- het verslag van de interne audit over deze transitie naar de nieuwe norm;
- een management review over de transitie naar de nieuwe norm
- een gap analyse van de wijzigingen in ISO/IEC 27001:2022 ten opzichte van de vorige versie;
- een plan van aanpak voor de transitie op basis van de gap analyse, waarbij invulling wordt gegeven aan de eisen uit de MD 26;
- de wijze en inhoud van de informatieverstrekking door de CI aan haar klanten over de wijzigingen en wijze van transitie naar een certificaat voor ISO/IEC 27001:2022;
- informatie waaruit blijkt dat auditoren en besluitnemers zijn getraind voor de nieuwe norm en hoe dit in het managementsysteem is geborgd.
Simultaan besluit
De uitbreidingsaanvragen die voor 15 december 2022 zijn aangeleverd bij de RvA, zullen in een simultaan traject worden beoordeeld. Er is gekozen voor een simultaan besluit om het speelveld voor de geaccrediteerde certificerende instellingen zo gelijk mogelijk te houden.
Voor de CI’s waar geen afwijking(en) worden vastgesteld in dit onderzoek, wordt op 1 februari 2023 een simultaan besluit genomen. De CI’s waar wel afwijkingen worden vastgesteld, krijgen de gelegenheid om corrigerende maatregelen te nemen. Voor deze CI’s zal het simultaan besluit op 1 juni 2023 genomen worden. Voor CI’s die hun aanvraag voor de uitbreiding met ISO/IEC 27001:2022 na 15 december 2022 indienen en dus niet meedoen aan het simultaan besluit, zal het besluit pas na 1 juni 2023 worden genomen.
De beoordeling zal op basis van documenten plaatsvinden en de omvang hebben van minimaal 4 uur ongeacht of het in het simultaan traject of in aanvulling op de reguliere beoordeling of als losse uitbreiding wordt ingediend.
Aanpassen scopes van accreditatie
Op de scope van accreditatie zal de versie van ISO/IEC 27001:2013*) vermeld worden, zodat duidelijk is dat de CI voor deze versie geaccrediteerd is. Na het behalen van accreditatie voor ISO/IEC 27001:2022 zal op de scope van accreditatie beide versies van de norm worden vermeld. Daarbij wordt bij de ISO/IEC 27001:2013 de einddatum 1 november 2025 vermeld.
Nog niet geaccrediteerd voor ISO 27001?
Certificerende Instellingen die nu nog niet geaccrediteerd zijn voor ISO/IEC 27001 kunnen op de gebruikelijke wijze uitbreiding aanvragen van hun scope van accreditatie. De beoordeling zal bestaan uit een documenten beoordeling, kantoorbeoordeling en de bijwoning van een fase1 en fase 2 ISMS audit (zie SAP C010). De RvA accepteert vanaf 25 april 2023 geen nieuwe aanvragen meer voor accreditatie volgens de ISO/IEC 27001:2013.
*) daar waar ISO/IEC 27001:2013 staat kan ook NEN-EN_ISO/IEC 27001:2017+A11:2020 gelezen worden. Deze versie zal echter niet op de scope van accreditatie worden vermeld