ISO 27001 en ISO 27002 zijn beide internationale normen voor informatiebeveiliging, maar vervullen verschillende rollen. ISO 27001 is de certificeerbare norm die de eisen stelt aan een informatiebeveiligingsmanagementsysteem (ISMS), terwijl ISO 27002 een praktische handleiding biedt met concrete beveiligingsmaatregelen. Beide normen vullen elkaar aan om een compleet informatiebeveiligingsframework te creëren voor organisaties.
Wat is het verschil tussen ISO 27001 en ISO 27002?
Het belangrijkste verschil ligt in hun functie: ISO 27001 is een managementsysteemnorm die certificeerbaar is, terwijl ISO 27002 een richtlijnendocument is dat praktische implementatieadviezen geeft. ISO 27001 stelt de eisen waaraan een organisatie moet voldoen om gecertificeerd te worden, terwijl ISO 27002 uitlegt hoe deze eisen in de praktijk kunnen worden ingevuld.
ISO 27001 richt zich op het opzetten van een systematische aanpak voor informatiebeveiliging. De norm beschrijft welke processen, documentatie en controles aanwezig moeten zijn, maar geeft weinig details over de specifieke implementatie. Hij volgt de Plan-Do-Check-Act-cyclus en vereist continue verbetering van het beveiligingsniveau.
ISO 27002 daarentegen bevat 93 concrete beveiligingsmaatregelen, verdeeld over vier hoofdcategorieën: organisatorische, personele, fysieke en technische maatregelen. Voor elke maatregel geeft de norm implementatieadviezen, voorbeelden en best practices. Dit maakt ISO 27002 een praktische handleiding voor beveiligingsprofessionals.
Een ander belangrijk verschil is de certificering. Alleen voor ISO 27001 kunnen organisaties een officieel certificaat behalen dat drie jaar geldig is. ISO 27002 is geen certificeerbare norm, maar ondersteunt wel de implementatie van de beveiligingsmaatregelen die ISO 27001 vereist.
Waarom heeft u beide ISO-normen nodig voor complete informatiebeveiliging?
Beide normen werken samen om een volledig informatiebeveiligingsframework te vormen. ISO 27001 biedt de structuur en ISO 27002 levert de praktische invulling. Zonder deze combinatie mist uw organisatie ofwel de systematische aanpak, ofwel de concrete implementatieadviezen.
ISO 27001 zorgt voor de managementlaag van informatiebeveiliging. De norm verplicht organisaties om risico’s systematisch te identificeren, te beoordelen en passende maatregelen te treffen. Ook eist de norm regelmatige evaluatie en verbetering van het beveiligingsniveau. Dit creëert een duurzame basis voor informatiebeveiliging die meebeweegt met veranderende bedrijfsomstandigheden.
ISO 27002 vult deze managementaanpak aan met praktische uitvoering. Wanneer ISO 27001 stelt dat u toegangscontroles moet implementeren, legt ISO 27002 uit welke soorten toegangscontroles bestaan en hoe deze effectief kunnen worden ingericht. Dit voorkomt dat organisaties belangrijke beveiligingsaspecten over het hoofd zien.
De synergie tussen beide normen wordt vooral zichtbaar bij de risicobehandeling. ISO 27001 vereist dat organisaties een risicoassessment uitvoeren en passende maatregelen selecteren. ISO 27002 biedt een uitgebreide catalogus van bewezen beveiligingsmaatregelen waaruit gekozen kan worden. Dit versnelt de implementatie en vergroot de kans op een effectieve beveiliging.
Welke norm moet u kiezen voor certificering van uw organisatie?
Voor certificering kiest u altijd ISO 27001, omdat dit de enige certificeerbare norm is. ISO 27002 kan niet los worden gecertificeerd, maar ondersteunt wel de implementatie van de beveiligingsmaatregelen die nodig zijn voor uw ISO 27001-certificaat. De meeste organisaties gebruiken beide normen tijdens hun certificeringstraject.
Het certificeringstraject begint met het opzetten van een ISMS volgens ISO 27001. Dit betekent het definiëren van het toepassingsgebied, het uitvoeren van een risicoassessment en het opstellen van beleid en procedures. Vervolgens selecteert u passende beveiligingsmaatregelen, vaak gebaseerd op de aanbevelingen uit ISO 27002.
Tijdens de implementatie fungeert ISO 27002 als praktische handleiding. De norm helpt bij het correct inrichten van beveiligingsprocessen en voorkomt veelgemaakte fouten. Dit vergroot de kans op een succesvolle certificeringsaudit aanzienlijk.
Voor organisaties die overwegen om gecertificeerd te worden, biedt professionele begeleiding belangrijke voordelen. Een ervaren auditinstelling kan helpen bij het efficiënt doorlopen van het certificeringstraject en ervoor zorgen dat uw ISMS écht waarde toevoegt aan uw organisatie. Bij DigiTrust combineren we onze expertise in ISO 27001-certificering met een contextgerichte benadering die aansluit bij uw specifieke bedrijfssituatie.
Het certificeringstraject vraagt een investering in tijd en middelen, maar levert ook concrete voordelen op. Naast het aantonen van uw beveiligingsniveau aan klanten en partners helpt een goed ingericht ISMS bij het structureel beheersen van informatiebeveiligingsrisico’s. Voor meer informatie over hoe wij u kunnen ondersteunen bij uw certificering, kunt u contact met ons opnemen.
Veelgestelde vragen
Hoe lang duurt het om een ISO 27001-certificaat te behalen?
Het certificeringstraject duurt gemiddeld 6 tot 12 maanden, afhankelijk van de grootte van uw organisatie en de huidige beveiligingsstatus. Deze periode omvat het opzetten van het ISMS, implementatie van maatregelen en de daadwerkelijke auditfase.
Wat kost de implementatie van ISO 27001 en ISO 27002 voor een middelgrote organisatie?
De kosten variëren sterk per organisatie, maar liggen doorgaans tussen €15.000 en €50.000 voor externe begeleiding en certificering. Daarnaast moet u rekening houden met interne tijd en eventuele investeringen in beveiligingstechnologie.
Welke veelgemaakte fouten moet u vermijden tijdens de ISO 27001-implementatie?
Veel organisaties onderschatten het belang van managementbetrokkenheid en focussen te veel op technische maatregelen. Ook het onvoldoende documenteren van processen en het overslaan van regelmatige evaluaties zijn veelvoorkomende valkuilen die certificering kunnen vertragen.
Hoe houdt u uw ISO 27001-certificaat geldig na de initiële certificering?
Na certificering zijn jaarlijkse surveillance-audits verplicht om uw certificaat geldig te houden. Daarnaast moet u uw ISMS continu onderhouden, incidenten registreren en verbetermaatregelen implementeren volgens de Plan-Do-Check-Act-cyclus.
