top of page

HET VERSCHIL TUSSEN ISO 27001 EN ISO 27002



De meeste mensen die zich bezighouden met informatiebeveiliging zullen weleens gehoord hebben van ISO 27001. Het is immers de meest bekende standaard op dit gebied. Dat ISO 27002 een soort van uitbreiding is op ISO 27001, dat is minder bekend.

In dit artikel leggen we in het kort uit wat de twee normen inhouden, wat het verschil is en wanneer je welke norm kunt gebruiken.


grafische weergave van laptop en data security


Wat is ISO 27001?

Kortgezegd is de ISO 27001 norm een wereldwijd erkende standaard die gaat over informatiebeveiliging. Met ISO 27001 certificering laat je zien dat je een managementsysteem hebt geïmplementeerd - een ISMS - dat voldoet aan alle eisen rondom informatiebeveiliging. De norm laat zien hoe je procesmatig om moet gaan met het beveiligen van informatie. Het uiteindelijke doel? De vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker stellen. Dit wordt in de basis bereikt door het beheersen van risico's.


H(L)S en Annex A

Als je kijkt naar ISO 27001, zie je dat de norm is opgesplitst in twee delen. Het eerste deel gaat over de structuur van het managementsysteem voor informatiebeveiliging. Dit werd vroeger High Level Structure (HLS) genoemd, nu heet dit Harmonised Structure (HS).

Het tweede stuk, de Annex A, bestaat uit een groot aantal onderwerpen. Deze worden ook wel beheersmaatregelen of controls genoemd. De maatregelen gaan over verschillende aspecten van informatiebeveiliging die geadresseerd dienen te worden. Denk hierbij aan bijvoorbeeld apparatuur, personeel, toegangsbeveiliging, encryptie, fysieke beveiliging, incidentenbeheer, leveranciersmanagement of bedrijfscontinuïteit. Het is niet verplicht voor alles iets te hebben, maar je moet een goede reden hebben om een control of een gedeelte daarvan niet van toepassing te laten zijn.


In de Annex worden de verschillende onderwerpen summier uitgelegd, maximaal een of twee zinnen. Zo staat er bijvoorbeeld over eigendom van bedrijfsmiddelen dat de bedrijfsmiddelen die in een overzicht worden bijgehouden een eigenaar moeten hebben. Dat vindt ISO 27001 en daar moet u het mee doen.


Wat is ISO 27002?

De ultrakorte definitie: ISO 27002 is een uitbreiding op ISO 27001.

In 27002 wordt de summiere uitleg die in de Annex van 27001 wordt gegeven een stuk uitgebreid en krijgt elke beheersmaatregel meer handen en voeten. Concreet wordt er in plaats van een of twee zinnen, een complete pagina of meer aan een beheersmaatregel gewijd, bestaande uit de beheersmaatregel zelf, een implementatierichtlijn en daar waar relevant een kopje overige informatie. Je weet dus veel beter wat er van je organisatie wordt verwacht.


In het eerdergenoemde voorbeeld over eigendom van bedrijfsmiddelen, zie je dat de implementatierichtlijn o.a. aangeeft wie er in aanmerking komen om eigenaar te zijn, dat er meestal een procedure is over het toekennen van het eigendom, dat de eigenaar zich aan een aantal, benoemde, regels moet houden en dat de eigenaar niet per se eigendomsrechten hoeft te hebben.


ISO 27001 versus 27002

Als je het bovenstaande hebt gelezen, zal het je niet verbazen dat er een behoorlijk verschil zit tussen ISO 27001 en ISO 27002.


Toepasbaarheid

Daar waar 27001 je vertelt hoe een ISMS eruit zou moeten zien, geeft 27002 je alleen maar informatie over het implementeren over de beheersmaatregelen. Een referentiemodel. Maar het vertelt je niets over bijvoorbeeld het bepalen van je scope, het bepalen van je huidige stand van zaken op informatiebeveiligingsgebied, de 'gap' tussen wat je hebt en wat er moet gebeuren, je risicoanalyse en de processen daarvoor, de te nemen maatregelen, je documentatie en de processen daaromheen, de bewustmaking van de betrokkenen en de interne en externe auditing. Plus het continue verbeteren van techniek, gedrag en organisatie. Dat hoort allemaal bij 27001.


Certificatie

Voor ISO 27001 kun je je laten certificeren. Hiermee kun je aan de wereld laten zien dat je een succesvol managementsysteem op het gebied van informatiebeveiliging hebt.Voor ISO 27002 kun je je niet laten certificeren. Je kunt het uiteraard wel toepassen in je organisatie en daarmee je informatiebeveiliging naar een hoger niveau tillen. Maar je hebt daarmee nog geen managementsysteem waarmee dat ook zo blijft.


Detail

Daar waar ISO 27001 in de Annex weinig detail geeft over de beheersmaatregelen die je kunt implementeren, doet ISO 27002 dat juist wel. Van een of twee regels per beheersmaatregelen naar soms wel een pagina per maatregel.


Wanneer gebruik je ISO 27001 en wanneer ISO 27002?

Eigenlijk kunnen de normen niet zonder elkaar. Als je ISO 27001 wilt gaan implementeren, dan zul je vaak vastlopen bij de beheersmaatregelen uit de Annex A omdat deze simpelweg vaag zijn omschreven. Dan helpt ISO 27002 enorm. En als je informatiebeveiliging goed wilt optuigen in je organisatie, dan is het uitvoeren van de richtlijnen uit ISO 27002 niet voldoende, omdat dit geen garantie biedt voor o.a. de betrokkenheid van de directie, risicomanagement en continue verbetering.


Comments


bottom of page