Je komt ongetwijfeld de termen ISO 27001 en ISO 27002 wel eens tegen. Ze lijken misschien op elkaar, maar ze hebben elk een eigen doel en focus. Om voor eens en altijd een einde te maken aan de verwarring, leggen we in dit blog uit wat beide normen precies inhouden.
ISO 27001: Het Raamwerk
Laten we beginnen met ISO 27001. Dit is dé internationale norm voor informatiebeveiligingsmanagementsystemen (ISMS). Het biedt een raamwerk voor het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS binnen een organisatie. Hier gaat het vooral om wat je moet doen. Wat zijn de eisen voor een effectief ISMS? Welke controls (beheersmaatregelen) moeten worden overwogen?
Een belangrijk onderdeel van ISO 27001 is Annex A, dat een lijst van 93 controls bevat die een organisatie kan implementeren, afhankelijk van de resultaten van hun risicobeoordeling. Maar, en hier komt het, hoewel ISO 27001 je vertelt wát je moet overwegen, gaat het niet in detail over hóe je deze controls implementeert. En daar komt ISO 27002 om de hoek kijken.
ISO 27002: De Details
Zie het als een recept; ISO 27001 geeft aan welke ingrediënten (controls) je nodig hebt, ISO 27002 legt je stap voor stap uit hoe je die ingrediënten moet combineren, bereiden en serveren. ISO 27002 geeft gedetailleerde richtlijnen over hoe je elke control kunt implementeren.
Dus, als je echt wilt weten hoe je een effectief ISMS opzet en de controls uit Annex A wilt implementeren, dan heb je beide normen nodig. ISO 27001 geeft je het overzicht en het raamwerk, en ISO 27002 de gedetailleerde instructies.
Kun je je certificeren voor ISO 27002?
Het korte antwoord is: nee. ISO 27002 dient als een begeleidende norm die best practices en richtlijnen biedt. Het is geen certificeerbare standaard op zich.
Zet de volgende stap in informatiebeveiliging
Een effectief ISMS bestaat niet alleen uit tools en processen, maar ook uit mensen die over de juiste vaardigheden beschikken. Wil je ervoor zorgen dat het ISMS binnen jouw organisatie goed werkt én goed blijft werken? Dan is een goed getrainde Security Officer cruciaal.
Heb je nog geen Security Officer in huis, of heeft je kennis even een opfrisser nodig? Kijk dan eens naar onze Security Officer Training!
