ISO 27002:2022
ISO 27002, de basis voor Annex A van de ISO 27001 norm. Een document met praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. In tegenstelling tot ISO 27001 is de ISO 27002 norm geen norm waarvoor je als organisatie kunt certificeren. Het is een ondersteunende norm aan ISO 27001, de norm voor informatiebeveiliging. Hoe dat precies zit en wat ISO 27002 precies is, lees je verderop op deze pagina.
Diensten binnen informatiebeveiliging
CertificeringsAdvies Nederland is de partner in certificeren en ondersteunt mensen en organisaties in hun ontwikkeling. In onze aanpak nemen wij daarom niet de (bedrijfs)norm, maar jouw organisatie als uitgangspunt. Binnen onze dienstverlening op het gebied van informatiebeveiliging, en ISO 27001/27002, bieden we een breed scala aan mogelijkheden:
We stemmen onze diensten en begeleiding af op jouw wensen. Wil je aan de slag met informatiebeveiliging of een daaraan gerelateerde norm, maar weet je niet goed waar je moet starten? Of wil je juist een sparren over de mogelijkheden? Schroom dan niet om contact met ons op te nemen. We helpen je graag op weg!
Alles lezen over informatiebeveiliging, ISO 27001 en ISO 27002? Download dan vrijblijvend de gids ‘Informatiebeveiliging en ISO 27001’.
1. Wat is ISO 27002
De ISO 27002 vormt de basis voor Annex A van de ISO 27001 norm. De norm bevat praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging.
2. Wat is het verschil tussen ISO 27001 en 27002?
ISO 27001 is de internationaal erkende norm op het gebied van informatiebeveiliging. In deze norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kunt inrichten. Zodra je met ISO 27001 aan de slag gaat, kom je ook automatisch in aanraking met ISO 27002. Beide normen zijn officieel erkend, maar je kunt je als organisatie enkel certificeren voor ISO 27001.
ISO 27002 is als het ware een hulpmiddel om de risicoanalyse, welke verplicht onderdeel is van ISO 27001, uit te voeren. ISO 27002 bestaat uit een lijst met maatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. ISO 27002 is een stuk gedetailleerder dan ISO 27001.
Lees ook: Het verschil tussen ISO 27001 en 27002, hoe zit dat?
3. ISO 27002 certificering
Het is niet mogelijk om je als organisatie te certificeren voor ISO 27002. Het is namelijk geen managementsysteemstandaard. De ISO 27002 certificering bestaat niet, want ISO 27002 is een ondersteunend aan ISO 27001. Dus wanneer je met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.
Best gelezen ISO 27002 blogs
4. Hoeveel controls heeft ISO 27001?
Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd. In totaal staan er 93 controls vermeld.
Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht
5. ISO 27002 checklist
Is er dan zoiets als een ISO 27002 checklist? Nee, niet echt. Echter, wordt de Annex A van de ISO 27001 norm vaak bestempeld als ‘checklist’. De ISO 27001 geeft namelijk richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. Met behulp van de ISO 27002 handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.
Ook interessant: Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!
Klanten aan het woord
Halverwege 2017 is bij Fastned de wens ontstaan om te certificeren voor ISO 9001, ISO 14001 en ISO 27001. We zochten een flexibele partij die pragmatisch te werk kon gaan en die begreep dat ISO-certificering bij een start-up als Fastned iets anders zou zijn dan klapper-werk”, vertelt Thijs Baars, Business Analyst en Security Officer bij Fastned.
Thijs: “We zijn blij verrast met het resultaat, we hadden niet verwacht dat het mogelijk was om ISO te certificeren zonder handboeken. In slechts 3(!) maanden was het traject afgerond en vond de audit van BSI plaats. Veel sneller dan we verwacht hadden. Gelukkig hebben we voor het gehele traject de begeleiding ingeschakeld van CertificeringsAdvies Nederland, want zonder hen waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen.”
Wil je de hele ervaring van Fastned lezen? Bekijk dan de Fastned klantcase.
6. Transitie naar ISO 27002:2022
In februari 2022 is de nieuwe versie van de ISO 27002 norm gepubliceerd, genaamd de ISO 27002:2022. Organisaties die ISO 27001 gecertificeerd zijn of willen worden, krijgen hiermee te maken. Zij zullen de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid (VvT) moeten aanpassen/inrichten op de gewijzigde ISO 27002 (/Annex A).
Lees ook het artikel: De impact van de nieuwe ISO 27002 voor een ISO 27001 gecertificeerde organisatie
Wat verandert er dan precies?
- Inhoudelijk verandert de ISO 27002 voornamelijk door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding van 11 nieuwe maatregelen.
- Waarom de wijzigingen? Het doel van ISO is o.a. om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken.
- Er is een overgangsperiode van naar verwachting twee of drie jaar, om je ISMS in te richten c.q. aan te passen op de wijzigingen in de ISO 27002 (/Annex A).
Benieuwd naar de impact van de ISO 27002 wijzigingen op jouw organisatie? Een handig hulpmiddel hierbij is (hoe toepasselijk in deze tijden) deze ISO 27002 zelftest, waarmee je aan de hand van scoring van een aantal stellingen een eerste conclusie gepresenteerd krijgt over hoe groot of klein de impact voor jouw organisatie is.
Wil je de transitie maken naar de nieuwe ISO 27002? Vraag vrijblijvend een offerte aan voor de ISO 27002 transitiescan. Daarbij voeren wij in 1 dagdeel (4 uur) een zogenaamde document review uit op het gedocumenteerde ISMS van je organisatie. Het resultaat: een bondig actie-/stappenplan voor het realiseren van de overgang naar de nieuwe versie van ISO 27002.
Klanten aan het woord
Na een selectieproces hebben we gekozen voor CertificeringsAdvies Nederland (CAN) als partner. De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan. Bovendien zijn we bij Infield ICT erg pragmatisch ingesteld. Het is heel makkelijk om je bij ISO te verliezen in regels, richtlijnen en ‘pakken papier’. Dat is precies wat we niet wilden. We wilden het juist toepasbaar maken. Bij dat alles sloot de aanpak van CAN heel goed aan. Zo zijn we met elkaar aan de slag gegaan.
“Het managementsysteem is letterlijk van iedereen in onze organisatie. Door de manier waarop we het hebben aangevlogen worden zowel de werkwijze als het systeem echt door iedereen gedragen.” Zo vertelt Martijn Stuart, eigenaar van Infield ICT.
Alles weten over het traject van Infield ICT? Lees dan: Klantcase Infield ICT.
Alles lezen over informatiebeveiliging, ISO 27001 en ISO 27002? Download dan vrijblijvend de gids ‘Informatiebeveiliging en ISO 27001’.
Onze informatiebeveiliging specialisten
Onze kennis over informatiebeveiliging en ISO 27002 delen we graag op ons blog
Demo E-learning Security Awareness
Veel Security Officers hebben moeite om het Security Awareness niveau binnen hun organisatie te verhogen. Een factor zou kunnen zijn dat de manier van leren niet goed werkt. E-learnings zijn bewezen effectieve leermethoden. Wellicht is dit dé oplossing voor jouw bedrijf.
Doxing wordt strafbaar
Doxing wordt strafbaar. Wat is doxing en waarom wordt het strafbaar? Je leest het hier!
Trans-Atlantic Data Privacy Framework: gegevensuitwisseling tussen de EU en VS weer toegestaan, maar voor hoelang?
Het Trans-Atlantic Data Privacy Framework maakt data-uitwisseling tussen EU-VS weer mogelijk, maar dat lijkt een kwestie van tijd.
Cybersecuritybeeld Nederland 2023: de belangrijkste bevindingen op een rij
Onlangs heeft het Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het Cybersecuritybeeld Nederland 2023 (CSBN) gepubliceerd. In dit artikel lees je de belangrijkste bevindingen!