Wat is het verschil tussen ISO 27001 en 27002?
ISO 27001 vs. ISO 27002: wat zijn de belangrijkste verschillen tussen deze twee normen voor informatiebeveiliging?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlEenieder die zich wel eens heeft verdiept in informatiebeveiliging, heeft ongetwijfeld wel eens gehoord van de ISO 27001 norm. Deze internationale standaard beschrijft de implementatie-eisen voor een Information Security Management System (ISMS). ISO 27002, wat eveneens een norm op gebied van informatiebeveiliging is, is daarentegen vaak wat minder bekend. Het is namelijk een aanvullende standaard op ISO 27001 en geeft informatie over de implementatie van de ISO 27001 maatregelen (ook wel controls genoemd) die staan beschreven in bijlage A (Annex A) van ISO 27001. Zowel 27001 als 27002 zijn door ISO en IEC gepubliceerd en officieel erkend. Regelmatig horen we de vraag ‘wat is het verschil tussen ISO 27001 en 27002’? En hoe pas je beide normen toe binnen je organisatie? In dit artikel geven we daarop een wat uitgebreider antwoord.
Wat is ISO 27001 ook weer precies?
De ISO 27001 norm is een internationaal erkende norm op het gebied van informatiebeveiliging en vormt als het ware het centrale framework van de ISO 27000 serie. In de ISO 27001 norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kunt inrichten.
Wanneer je een ISMS optuigt, met behulp van ISO 27001, en dat vervolgens laat certificeren, kun je aantonen dat je als organisatie voldoet aan alle eisen, relevante wet- en regelgeving en kun je laten zien dat je maatregelen hebt getroffen om informatiebeveiligingsrisico’s te mitigeren.
Wat is ISO 27002?
ISO 27002 is een aanvullende standaard, en daarmee een verdieping, op ISO 27001. ISO 27002 bestaat uit een lijst van potentiële besturingselementen en -mechanismen (ook wel controls genoemd) die zo zijn ontworpen dat ze met behulp van ISO 27001 kunnen worden geïmplementeerd. De controls komen namelijk overeen met de maatregelen uit de Annex A (bijlage A) van de 27001 norm. Het verschil zit hem echter in het detailniveau waarop ze zijn uitgeschreven.
De controls uit ISO 27002 kunnen gezien worden als aanbevelingen vanuit ‘best practices’ (ofwel: praktische richtlijnen) over informatiebeveiligingsmanagement voor degene die bezig zijn met de implementatie of het onderhoud van het Information Security Management System (ISMS). Je loopt dus door de ISO 27002 lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse, die je voor 27001 verplicht moet uitvoeren, hebt geïdentificeerd.
Die verplichte risicoanalyse uit ISO 27001 is van belang om risico’s te kunnen identificeren en prioriteren. Niet alle maatregelen die in ISO 27001 staan beschreven, zijn namelijk van toepassing op jouw organisatie.
Wat is het verschil tussen ISO 27001 en 27002?
Een belangrijk verschil tussen ISO 27001 en 27002 is in de alinea hierboven al kort benoemd. Wanneer je aan de slag gaat met ISO 27001, dan ben je verplicht om een risicoanalyse uit te voeren om te bepalen welke risico’s er zijn en wat de impact daarvan is. Daarbij is het dus zo dat niet alle maatregelen (controls) die in ISO 27001 staan beschreven, van toepassing zijn op jouw organisatie. ISO 27002 meldt daar echter niets over.
Beide normen gaan daarom hand in hand met elkaar (en daarmee heb je dus een verschil te pakken): Zonder de details die verstrekt worden in ISO 27002 is het namelijk lastig om de ISO 27001 controls uit bijlage A van de ISO 27001 norm te implementeren. En andersom bekeken: Zonder het management framework van ISO 27001 zou de ISO 27002 slechts een op zichzelf staande inspanning zijn van een aantal initiatiefnemers (zoals bijvoorbeeld de IT-afdeling) in een organisatie waarbij het draagvlak van het management en daardoor echte impact op de organisatie ontbreekt.
Een ander verschil tussen ISO 27001 en 27002 is het detailniveau. In de Annex A van de ISO 27001 norm staan maatregelen (controls) benoemd. Deze zijn vaak in één of enkele zinnen beschreven. De maatregelen (controls) die in de ISO 27002 norm zijn beschreven, sluiten daarbij aan. Echter wordt er in de ISO 27002 norm gemiddeld een pagina gewijd aan elke maatregel. Per maatregelen bevat ISO 27002 dus een stuk meer details.
ISO 27001 en ISO 27002 helpen organisaties bij andere doeleinden. Beide standaarden zijn gerelateerd aan informatiebeveiliging en dragen bij aan een robuust, veilig en solide ISMS. Een belangrijk verschil tussen beide normen is dat je voor ISO 27001 wel kunt certificeren en voor ISO 27002 niet.
Pragmatisch inrichten ISO 27001!
Joris Geelhoed (SO bij Vecos): “Het is erg prettig als je met een partner samenwerkt die net zo pragmatisch denkt en handelt als wij zelf doen. We hebben veel aan CAN te danken. Zij hebben ons waardevolle input gegeven gedurende het hele traject.” – Benieuwd naar de hele ervaring rondom ISO 27001 implementatie van onze klant Vecos? Bekijk de klantcase.
ISO 27001 vs. 27002: de belangrijkste verschillen op een rij
Wat is het verschil tussen ISO 27001 en 27002? Voor het gemak zetten we alle verschillen hieronder samengevat op een rij:
- Voor ISO 27001 kun je als organisatie certificeren, voor ISO 27002 niet. ISO 27001 is namelijk een managementstandaard en bevat een complete lijst aan eisen, terwijl ISO 27002 zich enkel richt op een specifiek aspect van het ISMS.
- ISO 27001, en dan met name Annex A, is een stuk beknopter dan ISO 27002. In de 27002 norm staan veel meer details uitgewerkt.
- ISO 27001 en ISO 27002 zijn, voor certificering, onlosmakelijk met elkaar verbonden en daarmee heb je dus ook gelijk een belangrijk verschil te pakken: Wanneer je niet beschikt over de details uit ISO 27002, dan is het lastig om maatregelen uit de Annex A van 27001 te implementeren en andersom. ISO 27002 vertelt namelijk niet hoe je de ISO 27001 maatregelen moet selecteren en implementeren. Daar komt ISO 27001 weer om de hoek kijken.
Wil je laagdrempelig aan de slag met informatiebeveiliging? Lees dan: Opstaptraject informatiebeveiliging: een eerste stap naar certificering
Meer informatie of ondersteuning nodig?
Wil je aan de slag met implementatie of onderhoud van een ISMS met behulp van ISO 27001 en 27002? En kun je daarbij hulp of ondersteuning gebruiken? Neem dan gerust contact met ons op!
En is jouw organisatie ISO 27001 gecertificeerd en wil je de omslag maken naar de beheersmaatregelen uit de nieuwe (2022-)versie van de ISO 27002 norm? Maak dan gebruik van onze transitiescan ISO 27002:2022.
Transcriptie video: Wat is ISO 27002? In 1 minuut!
Wat is ISO 27002? ISO 27002. Dit is het wat en hoe van informatiebeveiliging. ISO 27001 is de algemene norm hoe ga ik om met taken en verantwoordelijkheden en periodieke controles van of ik wel goed bezig ben met het thema 27002 is; we hebben 14 inhoudelijke aandachtsgebieden, hoofdstukken en in die hoofdstukken zitten 114 verschillende goede ideeën; best practices. Oké beste organisatie, jij hebt een aantal dingen die je moet doen voor informatiebeveiliging. Hoe verhoudt zich dat nou tot die 114 dingen dus je kan het heel mooi gebruiken als inspiratiemiddel om eens te lezen van wat is de lat, wat doen andere organisaties? En je moet het verplicht bekijken wat er in die 114 best practices zit want het wordt onderdeel van je certificering. En dat is mooi want je hebt heel veel vrijheid in je managementsysteem maar je moet natuurlijk wel een gemeenschappelijk praatstuk hebben dus dat is ISO 27002.
Transcriptie video: Wat is het verschil tussen ISO 27001 & ISO 27002?
ISO 27001 en ISO 27002 zijn twee bekende normen informatiebeveiligingsland. In deze video leggen we je uit wat het verschil is en hoe ze samenwerken. ISO 27001 en 27002 zijn eigenlijk samenwerkende normen die een ding willen, namelijk: een managementsysteem implementeren met relevante beheersmaatregelen voor informatiebeveiliging. 27001 is het managementgedeelte waarin je op basis van risicoanalyse de relevante beheersmaatregelen kiest die je wilt invoeren. En de 27002 normtekst beschrijft heel uitgebreid waar je dan aan kan denken. Wat de best practice is. Omdat 27002 als normtekst zo uitgebreid is, is deze in beknopte vorm als bijlage A in 27002 opgenomen. Eigenlijk ben je dus gewoon 27001 én 27002 aan het implementeren en heb je daar twee nuttige bronnen voor. Je kan eigenlijk alleen gecertificeerd worden voor de ISO 27001 norm. Wil jij meer hulp bij het implementeren van het management-denken en op die manier risico’s op het gebied van informatiebeveiliging aanpakken? Of heb je hulp nodig bij het interpreteren van hoe bepaalde beheersmaatregelen uit de 27002 op jouw organisatie het meest effectief kunnen worden ingezet? Neem contact met ons op!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Aan de slag met ISO 27001 en 27001?
Vraag vrijblijvend een offerte aan!
- Geheel vrijblijvend
- Direct inzicht
- Antwoord op al je vragen
