ISO 27002, de basis voor Annex A van de ISO 27001 norm. Een document met praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. In tegenstelling tot ISO 27001 is de ISO 27002 norm geen norm waarvoor je als organisatie kunt certificeren. Het is een ondersteunende norm aan ISO 27001, de norm voor informatiebeveiliging. Hoe dat precies zit en wat ISO 27002 precies is, lees je verderop op deze pagina.
De ISO 27002 vormt de basis voor Annex A van de ISO 27001 norm. De norm bevat praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging.
2. Wat is het verschil tussen ISO 27001 en 27002?
ISO 27001 is de internationaal erkende norm op het gebied van informatiebeveiliging. In deze norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kunt inrichten. Zodra je met ISO 27001 aan de slag gaat, kom je ook automatisch in aanraking met ISO 27002. Beide normen zijn officieel erkend, maar je kunt je als organisatie enkel certificeren voor ISO 27001.
ISO 27002 is als het ware een hulpmiddel om de risicoanalyse, welke verplicht onderdeel is van ISO 27001, uit te voeren. ISO 27002 bestaat uit een lijst met maatregelen waarmee je de risico’s die je hebt geïdentificeerd kunt beperken of verkleinen. ISO 27002 is een stuk gedetailleerder dan ISO 27001.
Het is niet mogelijk om je als organisatie te certificeren voor ISO 27002. Het is namelijk geen managementsysteemstandaard. De ISO 27002 certificering bestaat niet, want ISO 27002 is een ondersteunend aan ISO 27001. Dus wanneer je met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.
Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd. In totaal staan er 93 controls vermeld.
Is er dan zoiets als een ISO 27002 checklist? Nee, niet echt. Echter, wordt de Annex A van de ISO 27001 norm vaak bestempeld als ‘checklist’. De ISO 27001 geeft namelijk richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. Met behulp van de ISO 27002 handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.
“Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”
“Het voordeel van CertificeringsAdvies Nederland (CAN) is de flexibiliteit die ons geboden wordt. Daarnaast zijn de trainingen maatwerk. Daardoor bevatten de trainingen input vanuit onze eigen praktijkervaringen. Inmiddels loopt de samenwerking met CAN al jaren naar tevredenheid.”
“Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”
“De presentatie van de trainer was goed. Er zat een duidelijke structuur in en je merkte echt dat er voorafgaand aan de training met elkaar gecommuniceerd is. De goede voorbereiding en communicatie vooraf hebben ervoor gezorgd dat de training zelf erg prettig en soepel is verlopen.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen vanwege de no-nonsense aanpak, korte lijnen en goed advies. Het is prettig dat CAN tastbare targets nastreeft en zegt waar het overgaat in plaats van het volgen van theoretische modellen.”
“Ik ben erg tevreden over het gehele traject met CertificeringsAdvies Nederland. Wat ik erg positief vond is dat er vooraf contact is geweest met de trainer. Onze input was tijdens de training terug te horen. Dat vind ik heel belangrijk, dat is echt maatwerk!”
“We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”
“Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”
“We kennen CertificeringsAdvies Nederland al een langere tijd en zijn zeer tevreden over de eerder uitgevoerde trajecten op het gebied van veiligheid. Toen we behoefte hadden aan een VCA examentraining op maat, op onze eigen locatie, werd er goed met ons meegedacht.”
Harry Plaizier
Medeverantwoordelijk voor opleidingen en trainingen
“Rob wist met behulp van duidelijke voorbeelden en een portie humor de stof goed over te brengen in de VCU-training. Hij besteedde extra aandacht aan de voorbereiding op het examen. Dit was erg prettig!”
“De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”
“Bij de start van ons VCA** traject zette Stijn meteen een duidelijke structuur neer. Dit gaf ons houvast gedurende het traject. De balans in workload was goed, de hoeveelheid werk dat we zelf moesten doen viel mee! Ook met onze vragen konden we altijd bij Stijn terecht.”
“Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”
“We zijn heel enthousiast en tevreden over de gegeven training. Het was inhoudelijk een goed, logisch en duidelijk verhaal dat Thijs ook nog eens leuk en helder over wist te brengen. Hij had echt verstand van zaken en kon op alle vragen antwoord geven. Al met al was het erg interessant en leerzaam.”
“Het is fijn om weer iemand op locatie te hebben die eigenaar is van het takenpakket van de HSE-manager. Het ontzorgt mijzelf, maar ook collega’s. Rob fungeert als aanspreekpunt en pakt alle taken op. Zo kunnen wij ons weer richten op onze kerntaken.”
“Wat heel fijn was tijdens het ISO 9001 en ISO 14001 implementatietraject is dat Martijn mooie templates beschikbaar had in onze werksessies. Hij nam ons mee aan de hand en maakte het simpel voor ons.”
“De expertise en ervaring van Rob hebben ons veel gebracht. En daarnaast mogen we blijven werken voor de hoofdaannemer nu we aan de slag zijn gegaan met de Veiligheidsladder. Het doel hebben we dus bereikt!”
“Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”
“Het mooie van CAN vind ik dat ze hele fijne, kundige en betrokken mensen hebben. Ze staan ervoor open om na te denken over hun eigen expertise heen en dat vind ik knap. Ze zijn in staat om een compleet beeld te durven schetsen en over hun eigen schaduw heen te stappen.”
“Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”
“Naast de opleidingen die worden geregeld door CertificeringsAdvies Nederland, ondersteunt Rob ons iedere maand in onze KAM-activiteiten. Ideaal om met elkaar te sparren! Hij is een stok achter de deur voor ons om door te pakken.”
“Wij hebben ervoor gekozen om met CertificeringsAdvies Nederland in zee te gaan, omdat dit een partner is die, met betrekking tot de verschillende aspecten van de bedrijfsvoering, het meeste vertrouwen en deskundigheid uitstraalde.”
“Rob, de adviseur van CAN was kordaat en slagvaardig en vrij direct, daar houden we van! Hij draaide nergens omheen, daarom wisten we precies waar we aan toe waren. En niet zonder resultaat; na 2,5 maand hebben we het VCA* certificaat behaald.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen omdat er een hele organisatie achter ziet die eenvoudig back-up kan bieden. CAN biedt een breed aanbod aan diensten en de adviseurs beoordelen objectief. Vreemde ogen dwingen tenslotte!”
Bram Peperzak
Operationeel Directeur & eindverantwoordelijke voor VGM
“Voor ons was het ontzettend belangrijk om onze opleidingen onder één dak te houden. Je moet daarom wel een partij vinden die al die verschillende opleidingen kan verzorgen. Dan pas kun je namelijk meerwaarde gaan creëren. Uiteindelijk kwam ik bij CAN uit omdat zij, via hun opleidingsplatform de CAN Academy, veel verschillende trainingsmogelijkheden hebben en maatwerk kunnen leveren.”
In februari 2022 is de nieuwe versie van de ISO 27002 norm gepubliceerd, genaamd de ISO 27002:2022. Organisaties die ISO 27001 gecertificeerd zijn of willen worden, krijgen hiermee te maken. Zij zullen de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid (VvT) moeten aanpassen/inrichten op de gewijzigde ISO 27002 (/Annex A).
Inhoudelijk verandert de ISO 27002 voornamelijk door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding van 11 nieuwe maatregelen.
Waarom de wijzigingen? Het doel van ISO is o.a. om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken.
Er is een overgangsperiode van naar verwachting twee of drie jaar, om je ISMS in te richten c.q. aan te passen op de wijzigingen in de ISO 27002 (/Annex A).
ISO 27002 zelftest
Benieuwd naar de impact van de ISO 27002 wijzigingen op jouw organisatie? Een handig hulpmiddel hierbij is (hoe toepasselijk in deze tijden) deze ISO 27002 zelftest, waarmee je aan de hand van scoring van een aantal stellingen een eerste conclusie gepresenteerd krijgt over hoe groot of klein de impact voor jouw organisatie is.
Wil je de transitie maken naar de nieuwe ISO 27002? Vraag vrijblijvend een offerte aan voor de ISO 27002 transitiescan. Daarbij voeren wij in 1 dagdeel (4 uur) een zogenaamde document review uit op het gedocumenteerde ISMS van je organisatie. Het resultaat: een bondig actie-/stappenplan voor het realiseren van de overgang naar de nieuwe versie van ISO 27002.
Kom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!