ISO/IEC 27001 en ISO 27002: wat zijn de verschillen en overeenkomsten?
Cybersecurity wordt een steeds belangrijker speerpunt voor organisaties. Het implementeren van een Informatiebeveiligingsmanagementsysteem (ISMS) kan een bijdrage leveren aanhet managen van informatiebeveiligingsrisico's. Voor veel organisaties is cybersecurity een nieuw en complex onderwerp. Vooral ISO/IEC 27001, informatiebeveiliging, en ISO 27002,informatiebeveiligingscontroles, kunnen hierbij van grote waarde zijn. Deze normen zijn specifiek ontworpen om organisaties te ondersteunen bij het veilig houden van hun informatiemiddelen.
ISO/IEC 27001 of ISO 27002?
De officiële benamingen van deze normen zijn ISO/IEC 27001 en ISO/IEC 27002. Hoewel ze vaak ISO/IEC 27001 en ISO 27002 worden genoemd, is dit feitelijk onjuist. Doordat deze normen gezamenlijk zijn ontwikkeld en gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) hanteren ze de naam ISO/IEC 27001 en ISO/IEC 27002. Desondanks verwijzen veel mensen nog steeds naar de vereenvoudigde benamingen.
Wat is ISO/IEC 27001?
Organisaties zich willen beschermen tegen cyberdreigingen en willen voldoen aan de wet- en regelgeving voeren idealiter een ISMS in. Een ISMS is een Information Management System. ISO/IEC 27001 is de internationaal erkende norm voor ISMS en biedt een allesomvattende aanpak voor informatiebeveiligingsmanagement. Met behulp van deze norm kunnen organisaties beleid, doelstellingen en processen op te stellen, belangrijke risicoanalyses uitvoeren, noodzakelijke controles implementeren en duidelijke doelen stellen om de informatiebeveiliging te optimaliseren.
De onderwerpen die binnen ISO/IEC 27001 vallen zijn divers. Ze omvatten alles van digitale informatie en papieren documenten tot fysieke activa zoals computers en netwerken, en zelfs de kennis van medewerkers. Daarnaast biedt de norm compatibiliteit met andere managementsysteemnormen, waardoor integratie in bestaande bedrijfsprocessen eenvoudiger wordt.
Wat houdt ISO/IEC 27002 in?
In tegenstelling tot ISO/IEC 27001 is ISO/IEC 27002 geen certificeerbare norm. ISO/IEC 27002 richt zich op het begeleiden van organisaties bij het selecteren en implementeren van beveiligingscontroles binnen hun ISMS. Waar ISO/IEC 27001 een lijst van 93 aanbevolen beveiligingscontroles geeft, beschrijft ISO/IEC 27002 de controles in detail en biedt richtlijnen voor praktische toepassing.
Deze aanvullende norm is vooral interessant voor organisaties die hun informatiebeveiliging willen verbeteren, zelfs als ze geen ISO/IEC 27001-certificering ambiëren. ISO/IEC 27002 behandelt aspecten zoals toegangscontrole, cryptografie, personeelstraining en incidentrespons, en stelt organisaties in staat om informatiebeveiliging proactief te benaderen.
De verschillen tussen ISO/IEC 27001 en ISO 27002
ISO/IEC 27001 is een certificeerbare norm die organisaties helpt om een ISMS op te zetten en dit te certificeren. Dit kan klanten, partners en toezichthouders vertrouwen bieden in de naleving van informatiebeveiligingswetgeving.
ISO/IEC 27002 daarentegen is een niet-certificeerbare leidraad die best practices biedt voor informatiebeveiligingscontroles. Het biedt kansen voor organisaties die hun beveiligingsmanagement willen verbeteren zonder direct een certificering na te streven.
Beide normen worden regelmatig bijgewerkt om te blijven voldoen aan de veranderende eisen en bedreigingen in het cyberlandschap.
