ISO 27002:2022

ISO 27002

ISO 27002, de basis voor Annex A van de ISO 27001 norm. Een document met praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. In tegenstelling tot ISO 27001 is de ISO 27002 norm geen norm waarvoor je als organisatie kunt certificeren. Het is een ondersteunende norm aan ISO 27001, de norm voor informatiebeveiliging. Hoe dat precies zit en wat ISO 27002 precies is, lees je verderop op deze pagina.

Wat is ISO 27002
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of offerte aanvragen?

Wil je meer weten over ISO 27002? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!

1. Wat is ISO 27002

De ISO 27002 vormt de basis voor Annex A van de ISO 27001 norm. De norm bevat praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging.

2. Wat is het verschil tussen ISO 27001 en 27002?

ISO 27001 is de internationaal erkende norm op het gebied van informatiebeveiliging. In deze norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kunt inrichten. Zodra je met ISO 27001 aan de slag gaat, kom je ook automatisch in aanraking met ISO 27002. Beide normen zijn officieel erkend, maar je kunt je als organisatie enkel certificeren voor ISO 27001.

ISO 27002 is als het ware een hulpmiddel om de risicoanalyse, welke verplicht onderdeel is van ISO 27001, uit te voeren. ISO 27002 bestaat uit een lijst met maatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. ISO 27002 is een stuk gedetailleerder dan ISO 27001.

3. ISO 27002 certificering

Het is niet mogelijk om je als organisatie te certificeren voor ISO 27002. Het is namelijk geen managementsysteemstandaard. De ISO 27002 certificering bestaat niet, want ISO 27002 is een ondersteunend aan ISO 27001. Dus wanneer je met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.

4. Hoeveel controls heeft ISO 27001?

Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd. In totaal staan er 93 controls vermeld.

5. ISO 27002 checklist

Is er dan zoiets als een ISO 27002 checklist? Nee, niet echt. Echter, wordt de Annex A van de ISO 27001 norm vaak bestempeld als ‘checklist’. De ISO 27001 geeft namelijk richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. Met behulp van de ISO 27002 handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

  • Logo connectworks

    “Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die manier van (samen)werken is jarenlang goed gegaan. Tot onze organisatie op een gegeven moment groeide en functies veranderden waardoor het ISO-stuk bij mij kwam te liggen. Dat was niet meer voor mij weggelegd en daarnaast had ik er ook de tijd niet voor. Binnen onze organisatie hadden we ook niemand beschikbaar en buiten dat heerst er ook schaarste in dit vakgebied. Toen hebben we voor outsourcing gekozen. We hebben een goede klik met Laurens en hij weet hoe wij als organisatie werken. Dus sindsdien is Laurens bij ons werkzaam als Security Officer (as a Service).”

    ConnectWorks directie

    Wouter van Weeren

    Mede-oprichter

  • Logo Tjaden

    “Naast dat onze opleidingen worden geregeld door CertificeringsAdvies Nederland, ondersteunt Rob ons iedere maand in onze KAM-activiteiten. We sparren dan over grote vraagstukken en hij is een soort stok achter de deur om door te pakken. We kijken bewust naar waar we naartoe willen, hoeveel tijd het kost en hoeveel prioriteit het heeft. Je merkt dat medewerkers zelf ook met ideeën naar ons toekomen. De betrokkenheid is dus hoog!”

    Klantcase Tjaden

    Renate de Man

    KAM-coördinator

  • Klantlogo Stork

    Wij hebben ervoor gekozen om met CertificeringsAdvies Nederland in zee te gaan, omdat dit een partner is die, met betrekking tot de verschillende aspecten van de bedrijfsvoering, het meeste vertrouwen en deskundigheid uitstraalde.

    Wim Welman

    Kwaliteitsmanager

  • Logo celektron

    “Rob, de adviseur van CAN was kordaat en slagvaardig en vrij direct, daar houden we van! Hij draaide nergens omheen, daarom wisten we precies waar we aan toe waren. En niet zonder resultaat; na 2,5 maand hebben we het VCA* certificaat behaald.

    Met het behalen van het VCA* certificaat, inclusief VGM-RIE, kunnen we vanaf nu de veiligheid binnen het bedrijf aantonen aan onze opdrachtgevers. Daarnaast heeft het thema veiligheidsbewustzijn nog meer aandacht gekregen binnen onze organisatie na het behalen van het certificaat.”

    CAN - Elektrotechniek - Celektron-2

    Martijn Gerrits

    Teamleider Projecten

  • Logo-KiesZon

    “Samen met CertificeringsAdvies Nederland zijn er al veel zaken opgezet op het gebied van veiligheid. Zo is er een verbeterde versie van de Risico-Inventarisatie en -Evaluatie gemaakt, wordt er gemonitord en ondersteund bij het maken van procedures en processen, zitten er controles op veiligheidsplannen en neemt CertificeringsAdvies Nederland de werkplekinspecties voor haar rekening. Verder is er in samenwerking met CertificeringsAdvies Nederland binnen KiesZon een eigen BHV-organisatie opgezet en worden er diverse trainingen verzorgd. En dat alles naar tevredenheid!”

    Afbeelding van Bram Peperzak

    Bram Peperzak

    Operationeel Directeur & eindverantwoordelijke voor VGM

  • Logo Tjaden

    “Voor ons was het ontzettend belangrijk om onze opleidingen onder één dak te houden. Deze opleidingen moeten namelijk worden aangepast aan onze eigen risico’s. Dat is best een grote uitdaging. Alles haakt namelijk in elkaar. Je moet daarom wel een partij vinden die al die verschillende opleidingen kan verzorgen. Dan pas kun je namelijk meerwaarde gaan creëren. Uiteindelijk kwam ik bij CAN uit omdat zij, via hun opleidingsplatform de CAN Academy, veel verschillende trainingsmogelijkheden hebben en maatwerk kunnen leveren. Tevens ook een belangrijk onderdeel vanuit de Arbowet!”

    Klantcase Tjaden

    Renate de Man

    KAM-coördinator

6. Transitie naar ISO 27002:2022

In februari 2022 is de nieuwe versie van de ISO 27002 norm gepubliceerd, genaamd de ISO 27002:2022. Organisaties die ISO 27001 gecertificeerd zijn of willen worden, krijgen hiermee te maken. Zij zullen de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid (VvT) moeten aanpassen/inrichten op de gewijzigde ISO 27002 (/Annex A).

Wat verandert er dan precies?

  • Inhoudelijk verandert de ISO 27002 voornamelijk door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding van 11 nieuwe maatregelen.
  • Waarom de wijzigingen? Het doel van ISO is o.a. om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken.
  • Er is een overgangsperiode van naar verwachting twee of drie jaar, om je ISMS in te richten c.q. aan te passen op de wijzigingen in de ISO 27002 (/Annex A).

ISO 27002 zelftest

Benieuwd naar de impact van de ISO 27002 wijzigingen op jouw organisatie? Een handig hulpmiddel hierbij is (hoe toepasselijk in deze tijden) deze ISO 27002 zelftest, waarmee je aan de hand van scoring van een aantal stellingen een eerste conclusie gepresenteerd krijgt over hoe groot of klein de impact voor jouw organisatie is.

Wil je de transitie maken naar de nieuwe ISO 27002? Vraag vrijblijvend een offerte aan voor de ISO 27002 transitiescan. Daarbij voeren wij in 1 dagdeel (4 uur) een zogenaamde document review uit op het gedocumenteerde ISMS van je organisatie. Het resultaat: een bondig actie-/stappenplan voor het realiseren van de overgang naar de nieuwe versie van ISO 27002.

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!