Check iconAlles op 1 plek
Check iconOverzichtelijk
Check iconEenvoudig
Check iconStructuur

Wat is het verschil tussen ISO 27002 en ISO 27001?

Daniëlle de Vaal

Wat is het verschil tussen ISO 27001 en 27002? Een welbekende vraag die geregeld aan ons gesteld wordt. ISO 27002 geeft verdieping op de beheersmaatregelen die gesteld worden in de ISO 27001, de norm voor Informatiebeveiliging. Wanneer je gaat voor certificering van ISO 27001 dien je invulling te geven aan een set beheersmaatregelen en aan de High Level Structure (HLS). Deze beheersmaatregelen zijn opgenomen in de Annex A. De toelichting van de maatregelen uit de Annex A in de ISO 27001 norm zijn kort toegelicht en daardoor is niet altijd duidelijk wat de norm van jouw bedrijf verwacht.

Wat is ISO 27001?

ISO 27001 is de internationale norm voor informatiebeveiliging. Wanneer je invulling geeft aan deze norm, toon je als organisatie aan dat je op vertrouwelijke wijze omgaat met informatie. Je dient aan specifieke eisen te voldoen waarmee je laat zien dat jouw organisatie maatregelen heeft getroffen om informatiebeveiligingsrisico’s te beheersen. Zo krijg je binnen deze norm te maken met een set beheersmaatregelen en de HLS. In de Annex A; de bijlage, staat beschreven wat de norm eist, echter bevat dit slechts een korte toelichting op de gestelde beheersmaatregelen. De ISO 27002 geeft verdieping op deze beheersmaatregelen.

Wat is ISO 27002?

NEN-ISO-IEC 27002, ook bekend onder de naam ISO 27002 is een officieel erkende norm. Hier wordt een praktijkrichtlijn gegeven waarin beschreven wordt hoe je invulling kunt geven aan de beheersmaatregelen. Eigenlijk geeft deze handvaten voor het inrichten van de ISO 27001 norm in jouw Information Security Management System (ISMS).

Het grote verschil tussen ISO 27002 en ISO 27001

De ISO 27002 biedt alleen een implementatie richtlijn voor de invulling van de beheersmaatregelen, je kunt je niet laten certificeren voor deze norm. Dit is dan ook het grootste verschil met ISO 27001 certificering want op ISO 27001 kun je wel een certificaat behalen. Tijdens een audit wordt getoetst op welke wijze jouw organisatie invulling heeft gegeven aan deze beheersmaatregelen. Het is wel mogelijk om een interne audit uit te laten voeren op de ISO 27002 waardoor je inzichtelijk krijgt of jouw organisatie de beheersmaatregelen op de juiste manier geïmplementeerd heeft om te voldoen aan de eisen uit deze norm.

Verklaring van toepasselijkheid

Ga je invulling geven aan de ISO 27001 en jouw organisatie wilt laten certificeren, is het belangrijk dat er duidelijk verband is tussen de maatregelen ook wel de controls genoemd, die jij van toepassing hebt verklaard en de risico’s die je loopt als organisatie. Je maakt inzichtelijk welke van de totaal honderdveertien controls voor jou van toepassing zijn.

Niet alle controls ook wel beheersmaatregelen genoemd, zijn van toepassing op jouw organisatie hieronder een aantal mogelijke voorbeelden:

  • Control A.9.4.5: Toegangsbeveiliging van programmabroncode: wanneer je als organisatie zelf niets ontwikkelt heb je ook geen broncode tot je beschikking, waardoor deze control niet van toepassing is.
  • Control A.14.2.1: Beleid voor beveiligd ontwikkelen: wanneer je als organisatie niets ontwikkeld aan software is het ook niet nodig om daar een beleid ten aanzien van beveiligd ontwikkelen voor op te stellen.
  • Control A.14.2.6: Beveiligde ontwikkelomgeving: wanneer je als organisatie niets ontwikkeld aan software is er ook geen ontwikkelstraat waar maatregelen voor getroffen dienen te worden.
  • Control A.14.2.8: Uitbestede softwareontwikkeling: wanneer je als organisatie niets laat ontwikkelen door een derde partij, bijvoorbeeld een leverancier die op jouw verzoek maatwerk software ontwikkelt is deze niet van toepassing en dien je daar ook geen afspraken en beleid ten aanzien van te hebben vastgelegd.

Welke beheersmaatregelen zijn van toepassing

Bepaal voor jouw organisatie op basis van de risicobeoordeling welke beheersmaatregelen van toepassing zijn. Per control geef je aan of je hieraan voldoet of beschrijft eventuele redenen van uitsluiting. Deze dienen te worden opgenomen in de Verklaring van Toepasselijkheid (VVT). Wanneer je dit niet doet kun je hier en afwijking op krijgen tijdens een audit, hier wordt namelijk op getoetst door de certificerende instelling (CI). In de PCT zie je automatisch welke controls welke risico’s afdekken.

ISO 27001 en ISO 27002 in de PCT

De norm vraagt om een managementsysteem in te richten, een ISMS. De ProActive Compliance Tool (PCT) is een ISMS software tool om op overzichtelijke wijze onder andere de norm voor informatiebeveiliging ISO 27001 te implementeren. Binnen de PCT is het mogelijk om gebruik te maken van voorzetteksten. Deze voorzetteksten die zijn gebaseerd op zowel de ISO 27001 als de ISO 27002 en geven richting hoe je invulling kunt geven aan de vereiste set beheersmaatregelen.

Jouw bedrijf laten certificeren op ISO 27001?

De PCT biedt de basis voor jouw informatiebeveiligingssysteem, plan een demo in en ervaar het gemak van onze ISMS tool of neem contact met ons op.

Ervaar het gemak en de gebruiksvriendelijkheid
van de Proactive Compliance Tool

Probeer nu gratis uit
Demo aanvragen

ProActive Compliance Tool

ISMS software
ISO 27001 software
ISO certificeringen
Online managementsysteem
FAQ

Contact

085 - 06 08 584

Volg ons

Privacy policy

Algemene voorwaarden