Bijna dagelijks ziet u verschillende ISO-normeringen voorbij komen. Het kan bijvoorbeeld gaan om ISO 9001, een kwaliteitsaanduidelijk voor de eisen aan kwaliteitsmanagement. Ook in de informatiebeveiling worden ISO-normen gehanteerd: ISO 27001 en ISO 27002. In beide gevallen zijn het door ISO en IEC erkende normen en in die hoedanigheid ook officieel gepubliceerd. De grote vraag is wat u aan die normering heeft in uw organisatie en wat de verschillen zijn.

Wat houdt ISO 27001 in?

Als we het over ISO 27001 hebben dan refereert dit aan de internationaal erkende norm op het gebied van de beveiliging van informatie. ISO 27001 geeft de nodige handvaten voor het inrichten van een correcte vorm van informatiebeveiliging binnen uw organisatie. Met behulp van deze norm is het mogelijk om aantoonbaar te maken dat uw organisatie voldoet aan alle beveiligingseisen. Daarnaast betekent een ISO 27001 normering dat er afdoende maatregelen zijn genomen om de risico’s bij informatiebeveiliging te minimaliseren.

iso 27001

ISO 27001 certificering

Gaat u in uw organisatie aan de slag met ISO 27001, dan heeft dit direct raakvlakken met ISO 27002. Ondanks het gegeven dat beide ISO-normeringen beschikken over een internationale erkenning, is het enkel mogelijk om een ISO 27001 certificering te ontvangen. In tegenstelling tot ISO 27001 is ISO 27002 geen managementstandaard. Hierdoor is het niet mogelijk een ISO 27002 certificering te krijgen.

Certificering of TPM

Voor een correcte certificering is een audit op basis van een vastgesteld normenkader zoals ISO 27001 noodzakelijk. Een dergelijke certificering geeft een grote mate van zekerheid met betrekking tot de informatiebeveiliging van een onderneming of organisatie. Naast het certificeren is de afgifte van een TPM (Third Party Memorandum) ook een optie. Ook een TPM wordt verstrekt op basis van een audit door een onafhankelijke partij. Bij de afgifte van een TPM wordt vaak gebruik gemaakt van een normenkader waarvoor certificeren niet mogelijk is, zoals ISO 27002.

Wat is ISO 27002?

De richtlijnen en handreikingen in ISO 27001 geven de ondernemer voldoende inzicht om op een duidelijke manier aan de slag te gaan met het informatiebeveiligings vraagstuk. ISO 27002 is in feite een aanvulling hierop. Door middel van ISO 27002 krijgt de ondernemer nog meer mogelijkheden om een risicoanalyse uit te voeren. Dit laatste is namelijk een verplicht onderdeel binnen ISO 27001.

ISO 27002 is bevat een groot aantal maatregelen die genomen kunnen worden op basis van een eerder uitgevoerde risicoanalyse. De geïdentificeerde risico’s kunnen aan de hand van de maatregelen die in ISO 27002 staan vermeld, worden beperkt.

iso 27002

ISO 27002: de besturingselementen en -mechanismen

In ISO 27002 staan de zogenaamde controls vermeld. Dit zijn in totaal 114 mogelijke besturingselementen en -mechanismen. Deze controls kunnen aan de hand van ISO 27001 worden geïmplementeerd. Deze lijst met besturingselementen en -mechanismen zijn gelijk aan de controls die in bijlage A bij ISO 27001 staan vermeld, echter zijn deze in ISO 27002 gedetailleerder uitgewerkt.

Het verschil tussen ISO 27001 en 27002

Zoals hierboven beschreven gaan ISO 27001 en ISO 27002 hand in hand. De gedetailleerde opzet van de aanbevelingen in ISO 27002 maakt het mogelijk om de controls zoals deze vermeld worden in bijlage A van ISO 27001 correct toe te passen. Dit geldt andersom ook. ISO 27001 vormt het management framework voor ISO 27002. Zonder dit framework is ISO 27002 niks meer dan een opsomming van maatregelen zonder voldoende draagvlak in een organisatie

 

Heeft u interesse in ISO2HANDLE? Vraag dan een gratis demo aan!