Wat is ISO 27002?

ISO 27002, een norm voor informatiebeveiliging? Maar wat is ISO 27002 precies en hoe pas je het toe?

Wat is ISO 27002
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De NEN-ISO/IEC 27002 is een norm voor informatiebeveiliging. Maar wat is het precies en wat is het verschil met ISO 27001, eveneens een norm voor informatiebeveiliging? Beide normen zijn door ISO en IEC gepubliceerd en officieel erkend. In dit artikel wordt uitgelegd wat ISO 27002 is, hoe je het toepast voor je organisatie en wat de relatie is met ISO 27001.

Wat is ISO 27002?

ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van informatie-veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid. Het is in feite een verdieping op ISO 27001. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002: het is namelijk geen managementsysteemstandaard. De norm is ondersteunend aan ISO 27001. Zodra je dus met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.

ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

ISO 27002 maatregelen

Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van  beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd.

De ISO 27002 maatregelen zijn hetzelfde als die uit Bijlage A van de ISO 27001 norm. Deze zogenaamde controls kunnen worden gezien als aanbevelingen vanuit de ‘best practices’ voor informatiebeveiligingsmanagement. Wanneer je niet beschikt over de details uit 27002 dan is het lastig om de controls uit bijlage A van de ISO 27001 norm te implementeren. Je hebt dus beide normen nodig. Andersom geldt het namelijk ook dat 27002 ‘slechts’ een op zichzelf staand initiatief zou zijn als je daarbij het management framework van ISO 27001 niet gebruikt.

Transitie naar de nieuwe ISO 27002 norm?

In februari 2022 is een update van de ISO 27002 standaard gepubliceerd. De huidige ISO 27002 norm verandert door samenvoeging en uitbreiding met 11 maatregelen. Het totaal aantal beheersmaatregelen gaat terug van 114 naar 93 (door samenvoeging). Bovendien bevat de nieuwe ISO 27002 norm meer meta-informatie. Zo wordt elke beheersmaatregel voorzien van ‘Attributes’ en gekoppeld aan één of meer ‘operational capability’. Daardoor wordt het makkelijker om in te schatten wie de verantwoording krijgt over een beheersmaatregel. Wil je alles lezen over de nieuwe ISO 27002 norm en de geplande wijzigingen?

In principe heb je vanaf de lancering van de nieuwe ISO 27002:2022 norm twee of drie jaren om over te gaan op deze nieuwe norm. Uiteraard kunnen wij je van dienst zijn bij de transitie. Neem daarvoor gerust contact met ons op.

Ondersteuning nodig?

Wil je graag aan de slag met informatiebeveiliging binnen je organisatie? Maar weet je niet waar je moet beginnen? Of ben je juist benieuwd naar de oplossing die het beste past bij jouw organisatie en wil je daar graag eens over sparren? Neem dan gerust contact met ons op. We helpen je graag verder op weg met de implementatie!

Transitiescan meer info

Transcriptie video: Wat is ISO 27002? In 1 minuut!

Wat is ISO 27002? ISO 27002. Dit is het wat en hoe van informatiebeveiliging. ISO 27001 is de algemene norm hoe ga ik om met taken en verantwoordelijkheden en periodieke controles van of ik wel goed bezig ben met het thema 27002 is; we hebben 14 inhoudelijke aandachtsgebieden, hoofdstukken en in die hoofdstukken zitten 114 verschillende goede ideeën; best practices. Oké beste organisatie, jij hebt een aantal dingen die je moet doen voor informatiebeveiliging. Hoe verhoudt zich dat nou tot die 114 dingen dus je kan het heel mooi gebruiken als inspiratiemiddel om eens te lezen van wat is de lat, wat doen andere organisaties? En je moet het verplicht bekijken wat er in die 114 best practices zit want het wordt onderdeel van je certificering. En dat is mooi want je hebt heel veel vrijheid in je managementsysteem maar je moet natuurlijk wel een gemeenschappelijk praatstuk hebben dus dat is ISO 27002.

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Voldoe aan de nieuwe ISO 27002 eisen!

Laat een transitiescan op maat uitvoeren!

  • Praktische tips
  • Stap voor stap inzicht
  • Advies op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields