ISO 27001 en ISO 27002 zijn twee internationale normen voor het beheer van informatiebeveiliging. Elk jaar zijn er ontzettend veel bedrijven en organisaties die voor één van deze normen kiezen. Beide normen zijn ontwikkeld en gepubliceerd door de Internationale Organisatie voor Normalisatie (ISO) en zijn bedoeld om organisaties te helpen hun gevoelige informatie te beschermen. Dit stelt u in staat om de vertrouwelijkheid, integriteit en beschikbaarheid van uw informatiesystemen te waarborgen. Maar voor welke norm kunt u nu het beste kiezen? Omdat we zien dat hier nog altijd onduidelijkheid over bestaat willen we u graag op weg helpen. In dit artikel geven we u daarom antwoord op de vraag: wat zijn de grootste verschillen tussen de ISO 27001 en ISO 27002 norm?
De ISO 27001 en ISO 27002 normen
Laten we eens beginnen met het in kaart brengen van de twee normen. Dit geeft ons immers een beter beeld over wat beide normen precies inhouden. ISO 27001 is een norm die de vereisten specificeert voor een beheersysteem voor informatiebeveiliging (ISMS). Een ISMS is een systematische aanpak voor het beheer van gevoelige informatie zodat deze zo veilig mogelijk blijft. Het omvat het beleid, de procedures en de controles die een organisatie nodig heeft om al haar informatie op een zo goed mogelijke manier te beschermen. Organisaties kunnen de ISO 27001 norm gebruiken om hun ISMS te certificeren. Dit zal aan belanghebbenden laten zien dat de organisatie de beveiliging serieus neemt.
ISO 27002 daarentegen is een praktijkcode voor informatiebeveiligingsbeheer. Het biedt richtlijnen en algemene beginselen voor het initiëren, implementeren, onderhouden en verbeteren van het beheer in een organisatie. Het is geen echte certificeringsnorm, maar biedt een gemeenschappelijk kader voor het beheer van informatiebeveiliging. Dit maakt het dan ook gelijk wezenlijk anders dan de ISO 27001 norm, ondanks het feit dat er maar een cijfer verschil zit tussen beide normen.
Verschillen tussen beide opties
Een van de grootste verschillen tussen ISO 27001 en ISO 27002 is de mate van detail die zij bieden. ISO 27001 is een norm die de eisen voor een ISMS specificeert, terwijl ISO 27002 een praktijkcode is die richtlijnen en algemene principes biedt. Dit betekent dat ISO 27001 strikter is en een duidelijke reeks vereisten biedt waaraan organisaties moeten voldoen, terwijl ISO 27002 flexibeler is en een algemeen kader biedt voor het beheer van informatiebeveiliging. Een ander verschil tussen de twee normen is het toepassingsgebied. ISO 27001 is van toepassing op alle soorten organisaties, ongeacht hun omvang of bedrijfstak. De ISO 27002 norm is vooral bedoeld voor gebruik door organisaties op het gebied van informatiebeveiliging. Tevens is het zo dat ISO 27001 richt zich op de managementsysteembenadering en omvat een proces voor regelmatige risicobeoordelingen en -beheer, terwijl ISO 27002 zich richt op de technische en operationele aspecten van informatiebeveiliging.
Als we kijken naar de inhoud van de systemen dan zien we hier ook een aantal grote verschillen tussen zitten. ISO 27001 biedt richtlijnen voor het ontwikkelen, implementeren, onderhouden en verbeteren van een ISMS. Hieronder valt onder andere de documentatie, audit voorbereiding en rapportage over het ISMS. ISO 27002 biedt richtlijnen voor een breed scala aan controles en tegenmaatregelen voor informatiebeveiliging, zoals toegangscontrole, incidentenbeheer en bedrijfscontinuïteitsbeheer. Dit houdt dan ook in dat er voor de ISO 27002 norm geen sprake is van interne en externe audits die uit moeten worden gevoerd om de naleving van de norm te waarborgen.
Een ander belangrijk verschil is dat ISO 27001 een norm voor certificering is, terwijl ISO 27002 dat in de officiële zin van het woord niet is. Het is nu eenmaal niet iets waar je een certificaat voor kunt halen. Organisaties kunnen ISO 27001 gebruiken om hun ISMS te certificeren, wat aan belanghebbenden laat zien dat de organisatie informatiebeveiliging serieus neemt. ISO 27002 daarentegen is geen norm voor certificering en is vooral bedoeld als leidraad voor informatiebeveiligingsbeheer.
Conclusie – ISO 27001 is dé keuze voor uw organisatie
We hopen dat u dankzij dit artikel meer te weten bent gekomen over ISO 27001 en ISO 27002 voor binnen uw organisatie of bedrijf. Zoals u heeft kunnen zien zitten er een aantal belangrijke verschillen tussen de twee normen. ISO 27001 is een norm die de eisen voor een ISMS specificeert en die echt laat zien aan uw klanten dat u de veiligheid van de informatie serieus neemt. Dit maakt het dan ook de beste keuze om voor te gaan. Hier op de site kunt u veel meer handige informatie vinden over de grootste voordelen van de ISO 27001 implementatie voor uw organisatie, instantie of bedrijf!