Transcriptie onderaan de pagina *

De NEN-ISO/IEC 27002 is een norm voor informatiebeveiliging. Maar wat is het precies en wat is het verschil met ISO 27001, eveneens een norm voor informatiebeveiliging? Beide normen zijn door ISO en IEC gepubliceerd en officieel erkend. In dit artikel wordt uitgelegd wat ISO 27002 is, hoe je het toepast voor je organisatie en wat de relatie is met ISO 27001.

Wat is ISO 27002?

ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van informatie-veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid. Het is in feite een verdieping op ISO 27001. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002: het is namelijk geen managementsysteemstandaard. De norm is ondersteunend aan ISO 27001. Zodra je dus met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.

Lees ook het artikel: Wat is ISO 27001? Een introductie op de norm voor informatiebeveiliging

De transitie maken naar ISO 27002:2022? Doe de Transitiescan!

Is jouw organisatie ISO 27001 gecertificeerd en wil je de (om)slag maken naar de beheersmaatregelen uit nieuwe (2022-)versie van de ISO 27002 norm? Maak dan gebruik van onze Transitiescan ISO 27002:2022.

Meer informatie

Transitiescan ISO 27002

ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

Meer informatie? Lees ook het artikel: Het verschil tussen ISO 27001 en ISO 27002, hoe zit dat?

ISO 27002 maatregelen

Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van  beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

De ISO 27002 maatregelen zijn hetzelfde als die uit Bijlage A van de ISO 27001 norm. Deze zogenaamde controls kunnen worden gezien als aanbevelingen vanuit de ‘best practices’ voor informatiebeveiligingsmanagement. Wanneer je niet beschikt over de details uit 27002 dan is het lastig om de controls uit bijlage A van de ISO 27001 norm te implementeren. Je hebt dus beide normen nodig. Andersom geldt het namelijk ook dat 27002 ‘slechts’ een op zichzelf staand initiatief zou zijn als je daarbij het management framework van ISO 27001 niet gebruikt.

Transitie naar de nieuwe ISO 27002 norm?

In februari 2022 is een update van de ISO 27002 standaard gepubliceerd. De huidige ISO 27002 norm verandert door samenvoeging en uitbreiding met 11 maatregelen. Het totaal aantal beheersmaatregelen gaat terug van 114 naar 93 (door samenvoeging). Bovendien bevat de nieuwe ISO 27002 norm meer meta-informatie. Zo wordt elke beheersmaatregel voorzien van ‘Attributes’ en gekoppeld aan één of meer ‘operational capability’. Daardoor wordt het makkelijker om in te schatten wie de verantwoording krijgt over een beheersmaatregel. Wil je alles lezen over de nieuwe ISO 27002 norm en de geplande wijzigingen?

Bekijk dan het artikel: ISO 27002 wijzigingen in 2021: wat betekent dat voor jouw organisatie?

In principe heb je vanaf de lancering van de nieuwe ISO 27002:2022 norm twee of drie jaren om over te gaan op deze nieuwe norm. Uiteraard kunnen wij je van dienst zijn bij de transitie. Neem daarvoor gerust contact met ons op.

Doe de ISO 27002 zelftest en ontdek in enkele minuten wat de impact voor jouw organisatie is!

Wil je de transitie maken naar de nieuwe ISO 27002:2022? Een handig hulpmiddel hierbij is (hoe toepasselijk in deze tijden) deze ISO 27002 zelftest, waarmee je aan de hand van scoring van een aantal stellingen een eerste conclusie gepresenteerd krijgt over hoe groot of klein de impact voor jouw organisatie is.

Doe ISO 27002 zelftest
ISO 27001 externe audit

Ondersteuning nodig?

Wil je graag aan de slag met informatiebeveiliging binnen je organisatie? Maar weet je niet waar je moet beginnen? Of ben je juist benieuwd naar de oplossing die het beste past bij jouw organisatie en wil je daar graag eens over sparren? Neem dan gerust contact met ons op. We helpen je graag verder op weg met de implementatie!

Transitiescan meer info

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl

Transcriptie video
Wat is ISO 27002?

Dit is het wat en hoe van informatiebeveiliging. ISO 27002 is de algemene norm; hoe ga ik om met taken en verantwoordelijkheden en periodieke controles van of ik wel of niet goed bezig ben met het thema. ISO 27002 is; we hebben 14 inhoudelijke aandachtsgebieden, hoofdstukken. In die 14 hoofdstukken zitten 114 verschillende goede ideeën; best practices. Oké beste organisatie, jij hebt een aantal dingen die je moet doen voor informatiebeveiliging. Hoe verhoudt zich dat nou tot die 114 dingen? Dus je kan het heel mooi gebruiken als inspiratiemiddel om eens te lezen van wat is de lat, wat doen andere organisaties? En je moet het verplicht bekijken wat er in die 114 best practices zit, want het wordt onderdeel van je certificering. Dat is mooi want je hebt heel veel vrijheid in je managementsysteem. Maar je moet natuurlijk wel een gemeenschappelijk praatstuk hebben. Dus dat is ISO 27002.