ISO/IEC heeft nieuwe versies uitgebracht van haar standaarden ISO27001 (Information security management systems – Requirements) en ISO27002 (Code of practice for information security controls). ISO27001 is de standaard waartegen kan worden gecertificeerd en ISO27002 is de standaard met best practices die in Nederland bekend staat als de ‘Code voor Informatiebeveiliging’. Vooral ISO27002 is wat betreft structuur aanmerkelijk verbeterd. In totaal 114 beheersmaatregelen (was 133) zijn gegroepeerd in 14 hoofdstukken (was 11) en 35 paragrafen (was 39).

Logische indeling
Ten opzichte van de vorige versie is de indeling een stuk logischer. Zo krijgen relaties met leveranciers, communicatie, bedrijfsmiddelen en cryptografie aandacht in afzonderlijke hoofdstukken. Ook aan de aanschaf, ontwikkeling en beheer van informatiesystemen is een apart hoofdstuk gewijd. Voorbeelden van nieuwe beheersmaatregelen zijn beleid inzake mobiele devices en informatiebeveiliging in projecten. Negentien beheersmaatregelen zijn niet langer apart verbijzonderd.

Pas jouw opzet van informatiebeveiliging aan
De nieuwe versies vervangen de oude versies. Als jouw organisatie voor de opzet van informatiebeveiliging ISO27002 en/of ISO27001 gebruikt als basis, leidraad, kapstok of checklist, is het zinvol om kennis te nemen van de nieuwe versies en eventueel de opzet overeenkomstig aan te passen. Ook kan het zinvol zijn om een spiegeling (nulmeting) uit te voeren tegen de nieuwe versies van de standaarden, om te weten waar jouw organisatie precies staan met informatiebeveiliging.