Wat is ISO 27002De NEN-ISO/IEC 27002 is een norm voor informatiebeveiliging. Maar wat is het precies en wat is het verschil met ISO 27001, eveneens een norm voor informatiebeveiliging? Beide normen zijn door ISO en IEC gepubliceerd en officieel erkend. In dit artikel wordt uitgelegd wat ISO 27002 is, hoe je het toepast voor je organisatie en wat de relatie is met ISO 27001.

Wat is ISO 27002?

ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van die veiligheid. Het is in feite een verdieping op ISO 27001. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002; het is namelijk geen managementstandaard. De norm is ondersteunend aan ISO 27001; zodra je dus met ISO 27001 aan de slag gaat, kom je automatisch ook in aanraking met ISO 27002.

Lees ook het artikel: Wat is ISO 27001? Een introductie op de norm voor informatiebeveiliging

Alles weten over Informatiebeveiliging? [Whitepaper]

Wil jij alles weten over informatiebeveiliging? Download dan geheel vrijblijvend onze handige informatiegids ISO 27001.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

Meer informatie? Lees ook het artikel: Het verschil tussen ISO 27001 en ISO 27002, hoe zit dat?

114 beheersmaatregelen

Wanneer je wilt gaan certificeren voor ISO 27001, dan is het o.a. verplicht om een zogenaamde risicoanalyse uit te voeren voor je organisatie. Die risicoanalyse kan uitgevoerd worden met behulp van ISO 27002. Deze norm bestaat uit een lijst van 114 beheersmaatregelen – ook wel controls genoemd – waarmee je de risico’s die je als organisatie hebt geconstateerd kunt beperken of verkleinen. Je loopt daarbij door de lijst heen om passende maatregelen te nemen voor de risico’s die je vanuit je risicoanalyse hebt geïdentificeerd.

Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht

De controls uit ISO 27002 zijn hetzelfde als die uit Bijlage A van de ISO 27001 norm. Deze controls kunnen worden gezien als aanbevelingen vanuit de ‘best practices’ voor informatiebeveiligingsmanagement. Wanneer je niet beschikt over de details uit 27002 dan is het lastig om de controls uit bijlage A van de ISO 27001 norm te implementeren. Je hebt dus beide normen nodig. Andersom geldt het namelijk ook dat 27002 ‘slechts’ een op zichzelf staand initiatief zou zijn als je daarbij het management framework van ISO 27001 niet gebruikt.

Ondersteuning nodig?

Wil je graag aan de slag met informatiebeveiliging binnen je organisatie? Maar weet je niet waar je moet beginnen? Of ben je juist benieuwd naar de oplossing die het beste past bij jouw organisatie en wil je daar graag eens over sparren? Neem dan gerust contact met mij op. Ik help je graag verder op weg met de implementatie!

NEEM CONTACT OP


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl