ISO 27001 vs. ISO 27002: wat is het verschil?
ISO 27001 en ISO 27002 horen bij elkaar, maar ze hebben een verschillend doel. ISO 27001 is de norm waarop je gecertificeerd wordt. ISO 27002 is een richtlijn die uitlegt hoe je de maatregelen invult. Beide zijn in Nederland verkrijgbaar via NEN . Op deze pagina leggen we het verschil helder uit.
Kort gezegd: ISO 27001 zegt wat je moet doen, ISO 27002 legt uit hoe je het kunt aanpakken. Je kunt alleen voor ISO 27001 certificeren, niet voor ISO 27002.
ISO 27001 vs. ISO 27002: het korte antwoord
ISO 27001 is de certificeerbare norm. Hij beschrijft de eisen voor een Information Security Management System (ISMS) in hoofdstuk 4 tot en met 10, plus een lijst van 93 beheersmaatregelen in Annex A.
ISO 27002 is de implementatiegids. Hij geeft per beheersmaatregel uit Annex A gedetailleerde uitleg, voorbeelden en best practices. Het is een hulpmiddel, geen norm waar een auditor je aan toetst.
| Aspect | ISO 27001 | ISO 27002 |
|---|---|---|
| Type | Norm (eisen) | Richtlijn (implementatiegids) |
| Certificeerbaar | Ja | Nee |
| Wat het zegt | Wat je moet hebben | Hoe je het invult |
| Bevat | ISMS-eisen + Annex A | Uitleg per maatregel |
| Rol bij audit | Auditor toetst hieraan | Achtergrond, niet getoetst |
| Verplicht | Ja, voor certificering | Nee, maar zeer nuttig |
Wat staat er in ISO 27001?
ISO 27001 beschrijft de eisen voor je managementsysteem voor informatiebeveiliging. De eisen van de norm staan in hoofdstuk 4 tot en met 10: context, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering.
Daarnaast bevat ISO 27001 in Annex A een referentielijst van 93 beheersmaatregelen. Per maatregel staat alleen een korte titel en een doelstelling. Voorbeeld: A.8.5 “Veilige authenticatie”. De norm zegt niet hóe je veilige authenticatie inricht.
Wat staat er in ISO 27002?
ISO 27002 pakt diezelfde 93 maatregelen op en werkt ze uit. Per maatregel lees je wat de bedoeling is, hoe je hem kunt implementeren, en waar je op moet letten. Bij A.8.5 “Veilige authenticatie” geeft ISO 27002 bijvoorbeeld uitleg over wachtwoordbeleid, multi-factor authenticatie en het beperken van inlogpogingen.
De meeste organisaties kopen beide normen. ISO 27001 om te weten waar je aan moet voldoen, ISO 27002 om te begrijpen hoe je de maatregelen praktisch invult.
Wanneer gebruik je welke?
Je gebruikt ze allebei, maar op verschillende momenten in je traject.
| Situatie | Welke norm |
|---|---|
| Certificeren | ISO 27001 (dat is de norm) |
| Begrijpen wat de norm vraagt | ISO 27001 |
| Een maatregel praktisch invullen | ISO 27002 |
| Twijfel over hoe een control eruit moet zien | ISO 27002 |
| De verklaring van toepasselijkheid opstellen | ISO 27001 (Annex A) + ISO 27002 als toelichting |
In je stappenplan gebruik je ISO 27001 als kader en ISO 27002 als naslagwerk bij de invoering van maatregelen.
De 2022-update van beide normen
Beide normen zijn in 2022 herzien, en ze sluiten op elkaar aan.
ISO 27001:2022 herorganiseerde Annex A: van 114 maatregelen in 14 categorieën naar 93 maatregelen in vier thema’s (organisatorisch, menselijk, fysiek, technologisch). Er kwamen 11 nieuwe maatregelen bij, zoals threat intelligence en cloudbeveiliging.
ISO 27002:2022 volgde diezelfde nieuwe structuur en voegde aan elke maatregel zogenoemde attributen toe. Daarmee kun je maatregelen filteren op bijvoorbeeld type (preventief, detecterend, corrigerend) of beveiligingseigenschap. Lees meer over de wijzigingen op de pagina actuele wijzigingen.
Meer informatie
- Wat is ISO 27001? – Introductie tot de norm
- Eisen van de norm – Alle hoofdstukken uitgelegd
- Annex A – De 93 beheersmaatregelen
- Vergelijking met andere normen – SOC 2, NEN 7510, NIS2 en meer
- ISO 27002:2022 bij ISO.org – De officiële implementatiegids