Wat is de ISO 27001 Annex A en hoe verschilt deze van ISO 27002?

Wie aan de slag wil of gaat met ISO 27001, de norm voor informatiebeveiliging, komt vanzelf in aanraking met de ISO 27001 Annex A. Regelmatig wordt de vraag gesteld waarvoor die Annex A, die gekoppeld is aan de ISO 27001 norm, precies dient? Daarnaast wordt de ISO 27001 Annex A soms wel eens verward met de ISO 27002 norm. Dat is op zich niet heel raar, maar toont wel aan dat het verschil niet altijd (voldoende) duidelijk is. Reden genoeg dus om in dit blogartikel een uitleg te geven over deze twee termen en hoe deze in relatie staan tot elkaar.

Even kort terug naar de basis! Zowel ISO 27001 alsmede ISO 27002 zijn normen voor informatiebeveiliging die ook beide door ISO en IEC gepubliceerd en officieel erkend zijn.

Wat is dan de ISO 27001 Annex A precies? Om dit te begrijpen kun je deze het beste zien als een soort van catalogus van (standaard) informatiebeveiligingsmaatregelen (ook wel ISO 27001 controls genoemd) waaruit je kunt kiezen. Als organisatie kies je uit de lijst met controls uit Bijlage A van ISO 27001 die controls uit die voor jouw organisatie van toepassing zijn. Ondanks dat de controls niet verplicht zijn, zie je wel dat minimaal 90% van alle controls van toepassing is op vrijwel iedere organisatie. Hoe weet je dan wanneer een control van toepassing is? Daar kom je achter door het uitvoeren van een risicoanalyse. Verderop in dit artikel lees je daar nog wat meer over.

Nu duidelijk is wat de ISO 27001 Annex A is, zoomen we in op de relatie met ISO 27002. Zoals hierboven benoemd geeft Bijlage A een overzicht van alle ISO 27001 controls die je kunt toepassen met betrekking tot informatiebeveiliging. ISO 27001 Annex A geeft echter niet heel veel details per control. Doorgaans staat in één zin per control beschreven wat er bereikt moet worden, maar niet hoe je dat moet doen. Dat is precies de reden waarom ISO 27002 is gepubliceerd. De controls uit ISO 27001 Annex A zijn terug te vinden in ISO 27002, maar dan met een veel uitgebreidere uitleg over hoe je deze moet implementeren.

ISO 27002 bevat dus praktische richtlijnen voor het ontwerpen van informatie-veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid. ISO 27002 vormt daarmee de basis voor de (verplichte) beheersmaatregelen die als Annex A in ISO 27001 zijn opgenomen en wordt om die reden ook wel een verdieping op ISO 27001 genoemd. Het is echter geen norm waarvoor je kunt certificeren.

ISO 27001 en ISO 27002 zijn sterk aan elkaar gekoppeld en kunnen in feite niet los van elkaar (tenminste niet als je wilt certificeren). Wanneer je niet beschikt over de details uit ISO 27002, dan is het moeilijk om de maatregelen uit Bijlage A van 27001 te implementeren en andersom: ISO 27002 vertelt op haar beurt weer niet hoe je de ISO 27001 controls moet selecteren, welke je dient te implementeren, hoe je moet meten en hoe je verantwoordelijken moet toewijzen. Daar heb je dan weer de ISO 27001 norm voor nodig.

In het verleden was het zo dat de ISO 27002 maatregelen (ook wel controls genoemd) 1:1 hetzelfde waren als die uit de ISO 27001 Annex A. Met de komst van ISO 27002:2022 is daar verandering in gekomen. Hoe dat zit lees je in de volgende alinea.

Wijzigt de Annex A van ISO 27001 nu ook, omdat de ISO 27002 norm onlangs is gewijzigd? Nee, dat is niet per direct het geval. De Annex A en ISO 27002 zijn niet zodanig aan elkaar gekoppeld dat met de komst van ISO 27002:2022 de ISO 27001 Annex A ook direct/automatisch wijzigt. Daar zit nog een (formaliserings)stap tussen. Voorlopig kan gewoon gewerkt worden met de Annex A die is gebaseerd op de ‘oude’ ISO 27002. De verwachting is dat de Annex A op een later moment (niet al te ver in de toekomst) ook wordt gewijzigd, waarbij de wijzigingen zoals we die kennen van de nieuwe ISO 27002:2022 (naar verwachting) worden overgenomen.

Mocht je als organisatie de controls uit de Annex A van ISO 27001 als basis voor de risicoanalyse hebben genomen of de indeling van je managementsysteem daaraan gekoppeld hebben, dan is het niet vreemd als je met de komst van ISO 27002:2022 ‘nieuwe’ zaken tegenkomt. Voor het gemak bevat de nieuwe ISO 27002 norm daarom een bijlage met een mapping van de 2013 versie naar de 2022 versie. Uiteraard is het aan te bevelen om de indeling op basis van norm(paragrafen) in je ISMS uiteindelijk los te laten. Je maakt die koppeling nog wel, maar vooral op de achtergrond. Op die manier borg je dat de norm niet leidend, maar ondersteunend is aan je organisatie. Bovendien zit je bij een toekomstige normupdate op die manier niet vast aan de paragraafindeling van de Annex A/ISO 27002.

De ISO 27001 norm omvat eisen waaraan een information security management system (ISMS) moet voldoen. Wanneer je een ISMS op gaat zetten om al dan niet te certificeren voor ISO 27001, ben je verplicht om een risicoanalyse uit te voeren voor je organisatie. Wanneer je die risicoanalyse uitvoert, dan moet je aan de relevante risico’s passende beheersmaatregelen koppelen en bepalen hoe je die in je organisatie implementeert. Daar kun je de ISO 27002 bij gebruiken.

Dat alles komt samen in de Verklaring van Toepasselijkheid (VvT), wat een verplicht onderdeel is binnen de ISO 27001 norm. De VvT hangt namelijk sterk samen met deze risicoanalyse. In de norm staat beschreven dat een organisatie nog te nemen beheersmaatregelen vast moet stellen welke vergeleken moeten worden met de standaardlijst van maatregelen die terug te vinden zijn in de Annex A. In de VvT wordt beschreven welke maatregelen uit Bijlage A volgens de organisatie wel of niet van toepassing zijn, waarom dat zo is en of deze al voldoende ingericht zijn.

In de VvT kun je dus snel zien wat wel en niet geregeld is binnen een organisatie. Hierin staat precies omschreven voor welke onderdelen de organisatie aantoonbaar ‘in control’ is. Op het ISO-certificaat staat dan ook altijd een verwijzing naar de (op het moment van de laatste toetsing) geldige versie van de VvT.

Wil je aan de slag met informatiebeveiliging op basis van ISO 27001? Bij CertificeringsAdvies Nederland hebben we ruime ervaring met het opzetten van een ISMS conform deze norm voor informatiebeveiliging. Ook wanneer je de transitie wilt maken naar de nieuwe ISO 27002:2022 ben je bij ons aan het juiste adres. Onze deskundige adviseurs helpen je graag (op weg). Neem gerust contact met ons op.