Wat is het verschil tussen ISO 27001 en 27002?
admin admin
ISO 27001
30/07/2024

Inleiding

ISO 27001 en ISO 27002 zijn beide belangrijke normen in het veld van informatiebeveiliging, maar ze hebben verschillende doelen en toepassingen. Dit artikel gaat dieper in op de verschillen tussen ISO 27001 en ISO 27002, met een nadruk op de updates in de 2022-versies van beide normen.

Wat is ISO 27001?

ISO 27001:2022 is een internationale norm die eisen stelt aan een Information Security Management System (ISMS). Deze norm helpt organisaties hun informatiebeveiliging systematisch te beheren en continue verbetering te realiseren. ISO 27001 richt zich op de strategische en managementaspecten van informatiebeveiliging en omvat de volgende hoofdstukken:

  • Inleiding en toepassingsgebied
  • Normatieve verwijzingen
  • Termen en definities
  • Context van de organisatie
  • Leiderschap
  • Planning
  • Ondersteuning
  • Operationele planning en beheersing
  • Evaluatie van de prestaties
  • Verbetering

Wat is ISO 27002?

ISO 27002:2022 biedt een gedetailleerde set van best practices voor informatiebeveiligingsbeheer. Deze norm is een uitbreiding op ISO 27001 en geeft praktische richtlijnen voor de implementatie van de controles die zijn geïdentificeerd in ISO 27001 Annex A. ISO 27002 is onderverdeeld in vier hoofdsecties:

  • Organisatorische beheersmaatregelen
  • Menselijke beheersmaatregelen
  • Fysieke beheersmaatregelen
  • Technische beheersmaatregelen

Inhoud van ISO 27002:2022

Organisatorische beheersmaatregelen omvatten beleidsontwikkeling, rolverdeling, asset management en de beheersing van derde partijen. Menselijke beheersmaatregelen richten zich op veiligheidsbewustzijn, training en het beheren van personeel gedurende hun dienstverband. Fysieke beheersmaatregelen behandelen fysieke toegangscontrole en beveiliging van de fysieke omgeving. Technische beheersmaatregelen omvatten toegangsbeheer, cryptografie, beveiliging van de systeemontwikkeling en het beheer van beveiligingsincidenten.

Belangrijke verschillen tussen ISO 27001 en ISO 27002

Hoewel ISO 27001 en ISO 27002 nauw met elkaar verbonden zijn, zijn er enkele belangrijke verschillen die organisaties moeten begrijpen:

Certificeerbaarheid

ISO 27001: Deze norm is certificeerbaar. Organisaties kunnen een ISO 27001-certificaat behalen door te voldoen aan de gestelde eisen, wat aangeeft dat ze een effectief ISMS hebben geïmplementeerd. ISO 27002: Deze norm is niet certificeerbaar. Het biedt praktische richtlijnen voor het implementeren van de beveiligingsmaatregelen die in ISO 27001 zijn geïdentificeerd.

Doelstelling

ISO 27001: Richt zich op het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS. Het doel is om een systematische benadering van informatiebeveiliging te waarborgen. ISO 27002: Biedt gedetailleerde richtlijnen en best practices voor de implementatie van informatiebeveiligingsmaatregelen. Het is een ondersteunende norm die helpt bij het invullen van de eisen van ISO 27001.

Detailniveau

ISO 27001: Beschrijft de eisen op een hoger niveau en biedt een raamwerk voor risicobeoordeling en managementprocessen. Het richt zich meer op het ‘wat’ van informatiebeveiliging. ISO 27002: Biedt gedetailleerde adviezen en best practices voor de implementatie van beveiligingsmaatregelen. Het richt zich meer op het ‘hoe’ van informatiebeveiliging.

Gebruik in de praktijk

ISO 27001: Wordt gebruikt door organisaties die een formeel, gecertificeerd ISMS willen implementeren. Het benadrukt managementbetrokkenheid en strategische risicoanalyse. ISO 27002: Wordt gebruikt als een gids voor het implementeren van specifieke beveiligingsmaatregelen. Het is nuttig voor organisaties die praktische adviezen nodig hebben zonder de noodzaak van certificering.

Belangrijke wijzigingen in de 2022-versies

De 2022-versies van ISO 27001 en ISO 27002 hebben verschillende belangrijke wijzigingen ondergaan:

  • Herziene lay-out en structuur: Beide normen zijn opnieuw ontworpen om de leesbaarheid en bruikbaarheid te verbeteren.
  • Invoering van attributen: ISO 27002 heeft attributen toegevoegd aan de controlemaatregelen om organisaties te helpen bij het selecteren en implementeren van de juiste maatregelen.
  • Vermindering en samenvoeging van maatregelen: Het aantal controlemaatregelen in ISO 27002 is verminderd en sommige zijn samengevoegd om duplicatie te voorkomen en de effectiviteit te verhogen.
  • Nieuwe controlemaatregelen: Er zijn nieuwe maatregelen toegevoegd die inspelen op de nieuwste ontwikkelingen in informatiebeveiliging, zoals cloudbeveiliging en fysieke veiligheidsbeheer.

Conclusie

ISO 27001 en ISO 27002 zijn essentiële normen voor informatiebeveiliging, elk met een uniek doel en toepassingsgebied. ISO 27001 biedt het strategische en managementraamwerk voor een ISMS, terwijl ISO 27002 gedetailleerde richtlijnen biedt voor de praktische implementatie van beveiligingsmaatregelen. Samen helpen deze normen organisaties om hun informatiebeveiliging systematisch en effectief te beheren, risico’s te verminderen en te voldoen aan internationale standaarden. Door de recente updates in 2022 zijn beide normen beter afgestemd op de huidige behoeften en uitdagingen op het gebied van informatiebeveiliging, wat ze tot waardevolle hulpmiddelen maakt voor organisaties wereldwijd.

-
Close
Search

Hit enter to search or ESC to close