Wat is ISO 27002? De praktische gids voor informatiebeveiliging
ISO 27002, een norm voor informatiebeveiliging? Maar wat is ISO 27002 precies en hoe pas je het toe?
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlISO 27002 is dé praktische richtlijn die organisaties helpt om informatiebeveiliging slim, gestructureerd en beheersbaar in te richten. Maar wat houdt de norm precies in? Wat is het verschil met ISO 27001? En waarom kun je ISO 27002 niet als organisatie certificeren? In dit artikel nemen we je stap voor stap mee.
Wat is ISO 27002?
SO 27002 is een richtlijn vol concrete beheersmaatregelen (controls) voor informatiebeveiliging. Zie het als de praktische handreiking achter het managementsysteem van ISO 27001. De norm geeft uitleg, context en voorbeelden die je helpen om risico’s te beheersen en je beveiligingsmaatregelen goed te organiseren.
Belangrijk om te weten:
- ISO 27002 is geen certificeerbare norm;
- De norm ondersteunt ISO 27001 bij de praktische invulling van beveiligingsmaatregelen;
- Zodra je met ISO 27001 aan de slag gaat, gebruik je ISO 27002 automatisch.
Hoe verhoudt ISO 27002 zich tot ISO 27001?
ISO 27001 beschrijft het managementsysteem: hoe je risico’s beoordeelt, hoe je verbeteringen borgt, hoe je verantwoordelijkheden inricht en hoe je continu verbetert.
ISO 27002 gaat over de inhoud van de maatregelen die je neemt om risico’s te beheersen. Alle controls uit Bijlage A van ISO 27001 zijn uitgewerkt in ISO 27002.
Kort gezegd:
- ISO 27001 = het raamwerk
- ISO 27002 = de inhoudelijke invulling
Je hebt ze dus allebei nodig om informatiebeveiliging écht goed neer te zetten.
ISO 27002 maatregelen: dit kun je ermee
Ga je certificeren voor ISO 27001? Dan moet je een risicoanalyse uitvoeren. ISO 27002 helpt je vervolgens om de juiste beheersmaatregelen te kiezen.
De norm bevat:
- een volledige set van beveiligingsmaatregelen (controls)
- uitleg over het doel van elke maatregel
- beschrijvingen hoe je maatregelen praktisch kunt toepassen
Zonder ISO 27002 is het lastig om de controls uit ISO 27001 goed te implementeren. Omgekeerd is ISO 27002 op zichzelf niet compleet zonder het framework van ISO 27001. Ze vormen dus een onmisbaar duo.
“Met CAN hebben we ISO 27001 gehaald zonder het wiel opnieuw uit te vinden.”
Enigmatry
Wat is er nieuw in ISO 27002:2022?
In 2022 is de vernieuwde ISO 27002-norm uitgebracht. De update zorgt voor meer eenvoud en meer aansluiting bij moderne beveiligingsthema’s.
De belangrijkste veranderingen:
- Het aantal maatregelen ging van 114 naar 93 (door samenvoeging en actualisatie).
- Er zijn 11 nieuwe maatregelen toegevoegd.
- Controls zijn voorzien van Attributes zodat je maatregelen makkelijker kunt groeperen of koppelen aan rollen.
- Elke maatregel is gekoppeld aan één of meer operational capabilities, waardoor je sneller ziet wie waarvoor verantwoordelijk is.
Heb je nog de oude versie in gebruik? Dan heb je na publicatie van de nieuwe norm twee tot drie jaar om over te stappen.
Hoe pas je ISO 27002 toe binnen je organisatie?
ISO 27002 helpt je om informatiebeveiliging concreet te maken. Denk bijvoorbeeld aan:
- het bepalen van passende technische en organisatorische maatregelen
- het creëren van duidelijke verantwoordelijkheden
- het verbeteren van bewustwording bij medewerkers
- het beschermen van systemen, applicaties en gegevens
- het aantoonbaar beheersen van risico’s
Bij CAN helpen we organisaties dagelijks met het implementeren van ISO 27001 en ISO 27002. We brengen risico’s in kaart, denken mee over passende maatregelen en helpen je met een pragmische en haalbare aanpak.
Vragen over ISO 27002
Hoe kan CAN je helpen?
We zijn de partner in certificeren. Samen zorgen we dat jouw informatiebeveiliging niet alleen op papier staat, maar écht werkt in de praktijk. Of je nu begint met een risicoanalyse, je ISO 27001 wilt implementeren of ondersteuning zoekt bij de transitie naar ISO 27002:2022: we denken graag met je mee. Neem dan gerust contact met ons op. We helpen je graag verder op weg met de implementatie!
Transcriptie video: Wat is ISO 27002? In 1 minuut!
Wat is ISO 27002? ISO 27002. Dit is het wat en hoe van informatiebeveiliging. ISO 27001 is de algemene norm hoe ga ik om met taken en verantwoordelijkheden en periodieke controles van of ik wel goed bezig ben met het thema 27002 is; we hebben 14 inhoudelijke aandachtsgebieden, hoofdstukken en in die hoofdstukken zitten 114 verschillende goede ideeën; best practices. Oké beste organisatie, jij hebt een aantal dingen die je moet doen voor informatiebeveiliging. Hoe verhoudt zich dat nou tot die 114 dingen dus je kan het heel mooi gebruiken als inspiratiemiddel om eens te lezen van wat is de lat, wat doen andere organisaties? En je moet het verplicht bekijken wat er in die 114 best practices zit want het wordt onderdeel van je certificering. En dat is mooi want je hebt heel veel vrijheid in je managementsysteem maar je moet natuurlijk wel een gemeenschappelijk praatstuk hebben dus dat is ISO 27002.
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Voldoe aan de nieuwe ISO 27002 eisen!
Laat een transitiescan op maat uitvoeren!
- Praktische tips
- Stap voor stap inzicht
- Advies op maat
