Wat is ISO 27002?

De NEN-ISO/IEC 27002 is een norm voor informatiebeveiliging. Maar wat is het precies en wat is het verschil met ISO 27001, eveneens een norm voor informatiebeveiliging? Beide normen zijn door ISO en IEC gepubliceerd en officieel erkend. In dit artikel wordt uitgelegd wat ISO 27002 is, hoe je het toepast voor je organisatie en wat de relatie is met ISO 27001.

ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van informatie-veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid. Het is in feite een verdieping op ISO 27001. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002: het is namelijk geen managementsysteemstandaard. De norm is ondersteunend aan ISO 27001. Zodra je dus met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.

ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van  beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd.

De ISO 27002 maatregelen zijn hetzelfde als die uit Bijlage A van de ISO 27001 norm. Deze zogenaamde controls kunnen worden gezien als aanbevelingen vanuit de ‘best practices’ voor informatiebeveiligingsmanagement. Wanneer je niet beschikt over de details uit 27002 dan is het lastig om de controls uit bijlage A van de ISO 27001 norm te implementeren. Je hebt dus beide normen nodig. Andersom geldt het namelijk ook dat 27002 ‘slechts’ een op zichzelf staand initiatief zou zijn als je daarbij het management framework van ISO 27001 niet gebruikt.

In februari 2022 is een update van de ISO 27002 standaard gepubliceerd. De huidige ISO 27002 norm verandert door samenvoeging en uitbreiding met 11 maatregelen. Het totaal aantal beheersmaatregelen gaat terug van 114 naar 93 (door samenvoeging). Bovendien bevat de nieuwe ISO 27002 norm meer meta-informatie. Zo wordt elke beheersmaatregel voorzien van ‘Attributes’ en gekoppeld aan één of meer ‘operational capability’. Daardoor wordt het makkelijker om in te schatten wie de verantwoording krijgt over een beheersmaatregel. Wil je alles lezen over de nieuwe ISO 27002 norm en de geplande wijzigingen?

In principe heb je vanaf de lancering van de nieuwe ISO 27002:2022 norm twee of drie jaren om over te gaan op deze nieuwe norm. Uiteraard kunnen wij je van dienst zijn bij de transitie. Neem daarvoor gerust contact met ons op.

Wil je graag aan de slag met informatiebeveiliging binnen je organisatie? Maar weet je niet waar je moet beginnen? Of ben je juist benieuwd naar de oplossing die het beste past bij jouw organisatie en wil je daar graag eens over sparren? Neem dan gerust contact met ons op. We helpen je graag verder op weg met de implementatie!