Information Security

Differences between ISO 27001 and ISO 27002

Differences between ISO 27001 and ISO 27002
Wat is ISO 27001? ISO 27001 is een internationale standaard die de vereisten specificeert voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het biedt een gestructureerde aanpak voor het beheren van gevoelige bedrijfsinformatie, zodat deze veilig blijft. ISO 27001 is belangrijk voor organisaties die een systematische aanpak willen implementeren voor informatiebeveiliging. Deze norm stelt eisen aan risicobeoordeling, beveiligingsbeleid, personeelsbeveiliging, fysieke beveiliging en meer. De belangrijkste focus ligt op risicomanagement, dat organisaties helpt om proactief bedreigingen en kwetsbaarheden te beheersen.
This article was last updated on
9/12/2024

Wat is ISO 27001?

ISO 27001 is een internationale standaard die de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS) beschrijft. Het biedt een gestructureerde aanpak voor het beheren van gevoelige bedrijfsinformatie, zodat deze veilig blijft.

ISO 27001 is belangrijk voor organisaties die een systematische aanpak willen implementeren voor informatiebeveiliging. Deze norm stelt eisen aan risicobeoordeling, beveiligingsbeleid, personeelsbeveiliging, fysieke beveiliging en meer. De belangrijkste focus ligt op risicomanagement, dat organisaties helpt om proactief bedreigingen en kwetsbaarheden te beheersen.

Wat is ISO 27002?

In tegenstelling tot ISO 27001, richt ISO 27002 zich meer op praktische richtlijnen en maatregelen voor informatiebeveiliging. ISO 27002 is ontworpen als een ondersteunende norm voor ISO 27001, waarin specifieke beveiligingscontroles worden aanbevolen die organisaties kunnen implementeren. Deze richtlijnen zijn niet verplicht, maar bieden best practices om de beveiliging te versterken.

ISO 27002 biedt een uitgebreide lijst van beveiligingsmaatregelen op verschillende gebieden, zoals toegangsbeheer, fysieke beveiliging, personeelsbeveiliging en communicatiebeveiliging. Het helpt organisaties bij het kiezen van de juiste beveiligingsmaatregelen op basis van hun risicobeoordeling en de aard van hun bedrijfsactiviteiten.

Belangrijkste verschillen tussen ISO 27001 en ISO 27002

Hoewel ISO 27001 en ISO 27002 vaak samen worden genoemd, verschillen ze op enkele belangrijke punten:

  1. ISO 27001 richt zich op het managementsysteem voor informatiebeveiliging (ISMS) en is bedoeld om te worden gecertificeerd. Het is een eisenstellende norm. ISO 27002 daarentegen is een verzameling richtlijnen die helpen bij het implementeren van beveiligingscontroles, maar het vereist geen certificering.
  2. ISO 27001 is verplicht voor organisaties die een certificering willen behalen. Het legt vast wat een organisatie moet doen om aan de norm te voldoen. ISO 27002 is een adviesnorm die best practices biedt voor het implementeren van de beveiligingscontroles, maar er is geen verplichte certificering.
  3. ISO 27001 bevat vereisten voor het opzetten van een ISMS, terwijl ISO 27002 een uitgebreide lijst van beveiligingsmaatregelen biedt die door organisaties kunnen worden gekozen op basis van hun specifieke risicobeoordeling.

ISO 27001: De focus op het ISMS

Het hart van ISO 27001 is het Information Security Management System (ISMS). Dit managementsysteem zorgt ervoor dat een organisatie systematisch omgaat met informatiebeveiliging door risico’s te beheersen en passende controles in te stellen. De implementatie van een ISMS omvat een reeks processen, waaronder risicobeoordeling, het opstellen van beveiligingsbeleid en continue verbetering. ISO 27001 legt de nadruk op een cyclisch proces van plannen, uitvoeren, controleren en bijstellen (PDCA-cyclus), waardoor organisaties hun informatiebeveiliging voortdurend verbeteren.

ISO 27002: De focus op richtlijnen en maatregelen

ISO 27002 biedt concrete maatregelen die organisaties kunnen implementeren om hun informatiebeveiliging te versterken. Deze maatregelen zijn gebaseerd op best practices en kunnen worden aangepast aan de behoeften van een organisatie. Denk aan toegangsbeheer, databeveiliging, incidentmanagement en communicatiebeveiliging. Waar ISO 27001 zich richt op het beleid en het managementproces, richt ISO 27002 zich op de praktische uitvoering van beveiligingscontroles.

Certificering: ISO 27001 vs ISO 27002

ISO 27001 is een norm die is ontworpen voor certificering. Organisaties die voldoen aan de eisen van ISO 27001 kunnen door een geaccrediteerde instantie worden gecertificeerd. Dit biedt een officieel bewijs dat de organisatie voldoet aan de internationale standaarden voor informatiebeveiliging.

ISO 27002 biedt geen mogelijkheid tot certificering. Het is een verzameling richtlijnen die helpen bij het verbeteren van de beveiliging, maar er is geen formele certificering mogelijk. Bedrijven kunnen ISO 27002 gebruiken om hun ISO 27001-certificering te ondersteunen.

ISO 27001 en ISO 27002

Hoewel ISO 27001 en ISO 27002 afzonderlijke normen zijn, vullen ze elkaar goed aan. Organisaties kunnen ISO 27001 gebruiken om een managementsysteem voor informatiebeveiliging op te zetten en de certificering te behalen, terwijl ze ISO 27002 gebruiken om beveiligingsmaatregelen te implementeren. Samen vormen deze normen een krachtig kader voor het beheren van informatiebeveiliging op strategisch en operationeel niveau.

Conclusie: ISO 27001 en ISO 27002 in harmonie

ISO 27001 en ISO 27002 zijn twee complementaire normen die organisaties helpen hun informatiebeveiliging te beheren en te versterken. ISO 27001 legt de basis met eent managementsysteem, terwijl ISO 27002 praktische richtlijnen biedt voor het implementeren van beveiligingsmaatregelen. Samen bieden ze een uitgebreide aanpak voor het beschermen van gevoelige informatie en het beheersen van risico’s.

FAQ: Veelgestelde vragen over ISO 27001 en ISO 27002

  1. Wat is het belangrijkste verschil tussen ISO 27001 en ISO 27002?
    ISO 27001 is een norm die gericht is op het opzetten van een ISMS en vereist certificering. ISO 27002 biedt richtlijnen voor het implementeren van beveiligingsmaatregelen en is niet certificeringsgericht.
  2. Kan een organisatie zowel ISO 27001 als ISO 27002 gebruiken?
    Ja, ISO 27001 en ISO 27002 worden vaak samen gebruikt. ISO 27001 biedt de structuur voor een ISMS, terwijl ISO 27002 specifieke maatregelen biedt om de beveiliging te versterken.
  3. Is ISO 27002 verplicht?
    Nee, ISO 27002 is een verzameling richtlijnen en is niet verplicht. Organisaties kunnen de maatregelen uit ISO 27002 gebruiken om hun informatiebeveiliging te verbeteren.

What is ISO 27001? See what your organization needs to comply with. Get the ISO 27001 guide for free!
Download free whitepaper
Kilian Houthuijzen
Commercieel Manager & Partner
085 773 60 05
To news overview

Related articles

News
Why an AVG scan is important for your organization
read more
Customer case
Customer case study: cybersecurity week at GOOSE VPN
read more
KAM Certifications is now Fendix

We are a partner of