ISO 27002 vs 27001: Wat is het verschil?

Je komt ongetwijfeld de termen ISO 27001 en ISO 27002 wel eens tegen. Ze lijken misschien op elkaar, maar ze hebben elk een eigen doel en focus. Om voor eens en altijd een einde te maken aan de verwarring, leggen we in dit blog uit wat beide normen precies inhouden.

ISO 27001: Het Raamwerk

Laten we beginnen met ISO 27001. Dit is dé internationale norm voor informatiebeveiligingsmanagementsystemen (ISMS). Het biedt een raamwerk voor het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS binnen een organisatie. Hier gaat het vooral om wat je moet doen. Wat zijn de eisen voor een effectief ISMS? Welke controls (beheersmaatregelen) moeten worden overwogen?

Een belangrijk onderdeel van ISO 27001 is Annex A, dat een lijst van 93 controls bevat die een organisatie kan implementeren, afhankelijk van de resultaten van hun risicobeoordeling. Maar, en hier komt het, hoewel ISO 27001 je vertelt wát je moet overwegen, gaat het niet in detail over hóe je deze controls implementeert. En daar komt ISO 27002 om de hoek kijken.

ISO 27002: De Details

Zie het als een recept; ISO 27001 geeft aan welke ingrediënten (controls) je nodig hebt, ISO 27002 legt je stap voor stap uit hoe je die ingrediënten moet combineren, bereiden en serveren. ISO 27002  geeft gedetailleerde richtlijnen over hoe je elke control kunt implementeren.

Dus, als je echt wilt weten hoe je een effectief ISMS opzet en de controls uit Annex A wilt implementeren, dan heb je beide normen nodig. ISO 27001 geeft je het overzicht en het raamwerk, en ISO 27002 de gedetailleerde instructies.

Kun je je certificeren voor ISO 27002?

Het korte antwoord is: nee. ISO 27002 dient als een begeleidende norm die best practices en richtlijnen biedt. Het is geen certificeerbare standaard op zich.

Zet de volgende stap in informatiebeveiliging

Een effectief ISMS bestaat niet alleen uit tools en processen, maar ook uit mensen die over de juiste vaardigheden beschikken. Wil je ervoor zorgen dat het ISMS binnen jouw organisatie goed werkt én goed blijft werken? Dan is een goed getrainde Security Officer cruciaal.

Heb je nog geen Security Officer in huis, of heeft je kennis even een opfrisser nodig? Kijk dan eens naar onze Security Officer Training!

Veelgestelde vragen

Wat is het verschil tussen ISO 27001 en 27002?

ISO 27001 is de certificeerbare norm met eisen voor het opzetten van een ISMS, terwijl ISO 27002 een richtlijn is met praktische implementatiehulp voor de beheersmaatregelen uit Annex A. Kortweg: ISO 27001 vertelt je wát je moet inrichten, ISO 27002 vertelt je hóé je dat doet. Je kunt niet tegen ISO 27002 certificeren; het document is een ondersteunende code of practice die je naast ISO 27001 gebruikt.

Wat is ISO 27002?

ISO 27002 is een internationale gedragscode (code of practice) die gedetailleerde richtlijnen geeft voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De norm bevat best-practice toelichting bij de 93 controls uit ISO 27001 Annex A (versie 2022). De Nederlandse overheid heeft haar Baseline Informatiebeveiliging Overheid (BIO) afgeleid van ISO 27001 en 27002. Je gebruikt 27002 als hands-on implementatiegids.

Wat is de ISO 27002-richtlijn voor informatiebeveiligingsmaatregelen?

ISO/IEC 27002:2022 is de internationale richtlijn die per beheersmaatregel concreet beschrijft hoe je deze selecteert, implementeert en onderhoudt. De huidige versie kent 93 controls verdeeld over vier thema’s: organisatorisch (37), mensen (8), fysiek (14) en technologisch (34). Per control geeft de norm context, doelstelling, implementatiehulp en aandachtspunten. Onmisbaar naslagwerk bij ISO 27001-implementaties en BIO-trajecten binnen de Nederlandse overheid.

Wat zijn de wachtwoordvereisten voor ISO 27002?

ISO 27002 stelt geen strikte lengte- of complexiteitsregels meer voor wachtwoorden, maar volgt de moderne NIST-aanpak (control 5.17 en 8.5): wachtwoorden mogen niet eenvoudig te raden zijn, geen woordenboekwoorden of voor de hand liggende combinaties bevatten, en moeten worden gecontroleerd tegen bekende gelekte wachtwoorden. Aanbevolen: minimaal 12 tekens, multifactor-authenticatie (MFA), wachtwoordmanagers en geen verplichte periodieke wisseling zonder concrete aanleiding.