Certificering ISO 27001: hoe verloopt de transitie?

Of jouw organisatie nu al gecertificeerd is voor ISO 27001 of niet, je zult moeten bepalen op basis van welke norm je certificeert en per wanneer je (uiterlijk) wilt overstappen op de nieuwe norm. Want per uiterlijk 1 november 2025 zijn alleen certificaten op basis van ISO 27001:2022 nog geldig.

Belangrijke stap: vernieuwen van het risicobehandelplan

Gecertificeerde organisaties moeten opnieuw en aantoonbaar paragraaf 6.1.3.c uitvoeren.

Vastgestelde beheersmaatregelen uit het risicobehandelplan moeten vergeleken worden met de nieuwe Annex A om te zorgen dat aanpassingen in bestaande beheersmaatregelen worden doorgevoerd. En uiteraard moeten de nieuwe beheersmaatregelen worden ingevoerd.

Kijk hier voor een overzicht van de wijzigingen in de ISO 27001.

Welke stappen zetten 27001-gecertificeerde organisaties?

Wat onze (nu) gecertificeerde klanten aan stappen nemen om over te stappen is het volgende:

  1. Een GAP-analyse om te bepalen welke impact de wijzigingen van ISO 27001:2022 hebben op het ISMS.
  2. Een Verklaring van Toepasselijkheid gebaseerd op de ISO 27001:2022.
  3. Indien nodig: een aangepast risicobehandelplan.
  4. Invoeren van nieuwe beheersmaatregelen en het bepalen van de effectiviteit ervan (werkt de beheersmaatregel conform verwachting/doel?).

EIK Certificering toetst de resultaten van deze stappen in een reguliere audit. Voor de transitie plant EIK minimaal een halve dag (bovenop de reguliere audittijd, als de transitie audit tegelijkertijd wordt uitgevoerd). Dit is overigens verplicht gesteld, vanuit de accreditatie.

In overleg met onze ISO 27001 klanten wordt bepaald, op welk moment de transitie naar de nieuwe versie van de norm zal worden gemaakt.

Voorwaarden aan en planning van de transitie

ISO 27001-gecertificeerde organisaties

De overgang naar de nieuwe ISO 27001-norm kan plaatsvinden tijdens een reguliere audit of tijdens een separate transitie audit.Dit is afhankelijk van de wens van jouw organisatie.

Nog niet gecertificeerde organisaties

Nieuwe certificeringen kunnen tot 1 november 2023 plaatsvinden op basis van de ‘oude norm’. Misschien is het handig om direct op basis van de nieuwe norm te certificeren, maar dat hangt natuurlijk af van de fase waarin het systeem voor informatiebeveiliging (het ISMS) is ontwikkeld.

Voor allebei geldt

Nieuwe certificeringen en hercertificeringen mogen tot 30 april 2024 op basis van de oude norm plaatsvinden. Uiterlijk 31 oktober 2025 moeten alle EIK klanten met een certificaat op basis van ISO 27001:2013 over zijn naar de nieuwe norm (transitietermijn van 36 maanden).

Meer informatie of de situatie van jouw organisatie bespreken?

Als je behoefte hebt aan meer informatie, of ‘jouw casus’ met ons wilt bespreken, neem dan contact met ons op. Dan kijken we hoe jij het beste kunt certificeren of overstappen op de nieuwe norm.

Tags: , , , , ,

About author

About Author

Sandra Henke

Related posts

Comments are closed

DE DIENSTVERLENING VAN EIK

Voor audits op basis van ISO 9001 en branchespecifieke normen.
Voor het ontwikkelen van branchespecifieke normen.
Voor trainingen interne auditing en management review.

EIK Certificering is geaccrediteerd door de RvA onder nummer C669

Goed geregeld

Onze algemene voorwaarden

Privacy in goede handen bij EIK

Klachten en beroepen

Gebruik certificatielogo

LAAT JE INSPIREREN

Wij delen graag onze inzichten en ontwikkelingen met je.

Copyright by EIK Certificering