Verschil ISO 27001 en 27002ISO 27001 en ISO 27002 zijn twee normen op het gebied van informatiebeveiliging. Beide normen zijn door ISO en IEC gepubliceerd en officieel erkend. Maar wat is dan precies het verschil tussen ISO 27001 en ISO 27002? En wat betekenen de normen precies voor je organisatie? Dat vertellen wij je in dit blogartikel.

Wat is ISO 27001 ook weer precies?

De ISO 27001 norm is een internationaal erkende norm op het gebied van informatiebeveiliging. In deze norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kunt inrichten. Zo kun je aantonen dat je als organisatie voldoet aan alle eisen en dat je maatregelen hebt getroffen tegen informatiebeveiligingsrisico’s.

Lees ook het artikel: Wat is ISO 27001? Een introductie op de norm voor informatiebeveiliging.

Zodra je met ISO 27001 aan de slag gaat kom je automatisch ook in aanraking met ISO 27002. Hoewel beide normen dus officieel erkend zijn, kun je jezelf als organisatie enkel laten certificeren voor de ISO 27001 norm. ISO 27002 is namelijk geen managementsysteemstandaard waardoor ISO 27002 certificering niet mogelijk is.

De transitie maken naar ISO 27002:2022? Doe de Transitiescan!

Is jouw organisatie ISO 27001 gecertificeerd en wil je de (om)slag maken naar de beheersmaatregelen uit nieuwe (2022-)versie van de ISO 27002 norm? Maak dan gebruik van onze Transitiescan ISO 27002:2022.

Meer informatie

Transitiescan ISO 27002

Wat is ISO 27002?

Wat is ISO 27002ISO 27002 is als het ware een verdieping op ISO 27001. De ISO 27002 is eigenlijk een hulpmiddel om de risicoanalyse, welke een verplicht onderdeel vormt van de ISO 27001 norm, uit te voeren. ISO 27002 bestaat namelijk uit een lijst met maatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. ISO 27002 is een stuk gedetailleerder dan ISO 27001.

De ISO 27002 bestaat namelijk uit een lijst van potentiële besturingselementen en -mechanismen (ook wel controls genoemd) die zo zijn ontworpen dat ze met behulp van ISO 27001 kunnen worden geïmplementeerd. Deze zogenaamde controls uit ISO 27002 zijn hetzelfde als die uit Bijlage A van de ISO 27001 norm. Het verschil zit hem echter in het detailniveau waarop de controls in ISO 27002 zijn uitgeschreven.

Joris Geelhoed (SO bij Vecos): “Het is erg prettig als je met een partner samenwerkt die net zo pragmatisch denkt en handelt als wij zelf doen. We hebben veel aan CAN te danken. Zij hebben ons waardevolle input gegeven gedurende het hele traject.” – Benieuwd naar de hele ervaring rondom ISO 27001 implementatie van onze klant Vecos? Bekijk de klantcase.

De controls uit ISO 27002 kunnen gezien worden als aanbevelingen vanuit ‘best practices’ over informatiebeveiligingsmanagement voor degene die bezig zijn met de implementatie of het onderhoud van het Information Security Management System (ISMS). Je loopt dus door de ISO 27002 lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd.

Wil je laagdrempelig aan de slag met informatiebeveiliging? Lees dan: Opstaptraject informatiebeveiliging: een eerste stap naar certificering

Het verschil tussen ISO 27001 en 27002

In dit blogartikel is uitgelegd wat ISO 27001 is en wat ISO 27002 inhoudt. Daaruit kan geconcludeerd worden dat ISO 27001 en 27002 hand in hand gaan met elkaar. Zonder de details die verstrekt worden in ISO 27002 is het namelijk lastig om de controls uit bijlage A van de ISO 27001 norm te implementeren. En andersom bekeken: Zonder het management framework van ISO 27001 zou de ISO 27002 slechts een op zichzelf staande inspanning zijn van een aantal initiatiefnemers (zoals bijvoorbeeld de IT-afdeling) in een organisatie waarbij het draagvlak van het management en daardoor echte impact op de organisatie ontbreekt.

Wist je dat de ISO 27002 norm (februari 2022) onlangs is vernieuwd? Alles over de wijzigingen lees je in dit artikel: ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?

Doe de ISO 27002:2022 zelftest en ontdek in enkele minuten wat de impact voor jouw organisatie is!

Benieuwd naar de impact van de nieuwe ISO 27002:2022 voor jouw organiastie? Een handig hulpmiddel hierbij is (hoe toepasselijk in deze tijden) deze ISO 27002 zelftest, waarmee je aan de hand van scoring van een aantal stellingen een eerste conclusie gepresenteerd krijgt over hoe groot of klein de impact voor jouw organisatie is.

Doe ISO 27002 zelftest
ISO 27001 externe audit

Wil je na het lezen van dit artikel meer weten over ISO 27001 en/of ISO 27002? Neem dan gerust contact op. Onze adviseur helpt je graag op weg en vertelt je graag meer over de mogelijkheden voor jouw organisatie. En wil je de transitie maken naar de nieuwe ISO 27002:2022 norm? Bekijk dan onze Transitiescan ISO 27002.

Transitiescan meer info

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl