ISO 27001 vs ISO 27002: wat is het verschil en wat heb jij nodigImage source: Bing image creator
12 min leestijd

ISO 27001 vs ISO 27002: wat is het verschil en wat heb jij nodig

Geschreven door
  • Dennis van de WielDennis van de Wiel · Founder & CEOLinkedIn
Laatst bijgewerkt
Jun 26, 2026

Zodra je je verdiept in informatiebeveiliging kom je 2 normen tegen die op elkaar lijken: ISO 27001 en ISO 27002. Ze horen tot dezelfde familie, gaan allebei over informatiebeveiliging en bevatten dezelfde beheersmaatregelen. Toch zijn het fundamenteel verschillende documenten. Het verschil begrijpen bepaalt wat je aanschaft, wat je implementeert en waar je je tijd in steekt.

De kortste samenvatting: ISO 27001 is de norm waarop je gecertificeerd wordt, ISO 27002 is het naslagwerk dat uitlegt hoe je de maatregelen invult. Op ISO 27002 bestaat geen certificering. Dit artikel legt uit waar dat verschil vandaan komt, hoe de twee samenwerken, en wanneer je de een, de ander of allebei nodig hebt.

Waarom de twee zo vaak worden verward

De verwarring heeft een logische oorzaak: beide documenten bevatten exact dezelfde lijst van 93 beheersmaatregelen. De maatregelen in Annex A van ISO 27001 zijn inhoudelijk identiek aan die in ISO 27002. Het verschil zit in de diepgang. ISO 27001 noemt elke maatregel met een korte omschrijving van het doel, vaak één of 2 regels. ISO 27002 pakt diezelfde maatregel en wijdt er meerdere pagina's aan: doel, gedetailleerde implementatierichtlijnen en aanvullende overwegingen.

Een vergelijking die het verschil vat: ISO 27001 is de bouwvergunning die voorschrijft wat er moet worden gebouwd. ISO 27002 is het constructiehandboek dat uitlegt hoe je het uitvoert. De vergunning heb je nodig om te mogen bouwen. Het handboek is geen verplichting, maar het verkleint de kans op fouten.

Wat ISO 27001 is

ISO/IEC 27001:2022 is de internationale norm met de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (ISMS). Gepubliceerd door ISO en IEC, en het enige document binnen de ISO 27000-familie waarop je gecertificeerd kunt worden.

De norm bestaat uit 2 delen. De clausules 4 tot en met 10 beschrijven de managementeisen: hoe je de context van je organisatie bepaalt, hoe het management betrokken is, hoe je risico's behandelt, hoe je meet of je ISMS werkt en hoe je verbetert. Daarnaast is er Annex A, met de 93 beheersmaatregelen verdeeld over 4 thema's: organisatorisch (37), personen (8), fysiek (14) en technologisch (34). Uit die 93 selecteer je welke van toepassing zijn op jouw situatie, vastgelegd in de Verklaring van Toepasselijkheid.

Het onderscheidende kenmerk is certificeerbaarheid. Een geaccrediteerde certificeringsinstantie voert een audit uit in 2 fasen: een documentbeoordeling (fase 1) en een beoordeling van de implementatie en effectiviteit (fase 2). Na een succesvolle audit ontvang je een certificaat dat drie jaar geldig is, met jaarlijkse controleaudits en een hercertificering na drie jaar. Dat certificaat is wat klanten, partners en toezichthouders vragen.

Wat ISO 27002 is

ISO/IEC 27002:2022 is geen norm met eisen maar een richtlijn. De volledige titel is "Information security, cybersecurity and privacy protection. Information security controls". Het biedt een referentieverzameling van beheersmaatregelen met uitgebreide implementatierichtlijnen, bedoeld voor organisaties die een ISMS opbouwen op basis van ISO 27001, maar ook voor wie zijn beveiliging wil verbeteren zonder certificering.

Waar ISO 27001 Annex A een maatregel in een paar regels beschrijft, wijdt ISO 27002 er meerdere pagina's aan. Neem maatregel 5.15 (toegangsbeheer). Annex A stelt dat je regels moet vaststellen voor fysieke en logische toegang. ISO 27002 gaat vervolgens in op het principe van minimale rechten, periodieke beoordeling van toegangsrechten, functiescheiding en concrete voorbeelden. Die verdieping maakt het document waardevol voor teams die willen begrijpen wat er achter een maatregel zit.

Een detail dat verwarring geeft: in de versie van 2013 heette ISO 27002 nog een "code of practice". Die term is in de 2022-versie geschrapt, maar de functie bleef gelijk: best-practice-advies over hoe je de maatregelen uit Annex A implementeert.

Wat er in 2022 veranderde

ISO 27002 is op 15 februari 2022 ingrijpend herzien, en die herziening werd direct weerspiegeld in Annex A van ISO 27001:2022. De oude structuur van 114 maatregelen over 14 domeinen werd vervangen door 93 maatregelen in vier thema's. Dat is een netto reductie van 21, maar geen schrapping van eisen. Bestaande maatregelen zijn grotendeels samengevoegd om overlap te verwijderen, en er zijn 11 volledig nieuwe maatregelen toegevoegd voor moderne risico's zoals clouddiensten, dreigingsinformatie en veilige ontwikkeling.

De 2022-versie introduceerde ook attributen per maatregel: labels zoals het type (preventief, detectief, correctief), de beveiligingseigenschap (vertrouwelijkheid, integriteit, beschikbaarheid) en de cyberbeveiligingsfunctie (identificeren, beschermen, detecteren, reageren, herstellen). Daarmee kun je maatregelen makkelijker filteren, classificeren en toewijzen.

De kernverschillen op een rij

Norm versus richtlijn. ISO 27001 is een norm met eisen, met formuleringen als "de organisatie moet" (shall). ISO 27002 is een richtlijn met aanbevelingen, met "het is raadzaam" (should). Een auditor toetst je ISMS aan de eisen van ISO 27001, niet aan ISO 27002.

Certificeerbaar versus ondersteunend. Alleen ISO 27001 leidt tot een certificaat; een ISO 27002-certificering bestaat niet. Vraagt een klant of je "gecertificeerd" bent, dan bedoelt hij altijd ISO 27001. Verwijst een aanbesteding naar ISO 27002, dan gaat het om de maatregelen zelf, die identiek zijn aan Annex A.

Structuur en gebruik. ISO 27001 volgt de managementsysteemstructuur die je ook kent van ISO 9001 en ISO 42001: context, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. Daardoor kun je meerdere ISO-normen geïntegreerd implementeren. ISO 27002 is een naslagwerk, georganiseerd rond de 4 thema's, met per maatregel een vaste opbouw van doel, richtlijn en aanvullende informatie. Je raadpleegt het bij de maatregel waar je mee bezig bent.

Hoe de twee samenwerken

In de praktijk werken de normen complementair. ISO 27001 vertelt je dat je maatregelen moet selecteren op basis van je risicoanalyse en moet vastleggen in je Verklaring van Toepasselijkheid. Hoe je die maatregelen concreet invult, laat de norm grotendeels aan jou over. Daar komt ISO 27002 in beeld, met gedetailleerde richtlijnen per maatregel.

Neem maatregel 8.13 (back-ups). Annex A stelt dat je een back-upbeleid moet vaststellen en uitvoeren. ISO 27002 gaat erop in: hoe vaak maak je een back-up, wat back-up je, hoe test je of een herstel werkt, hoe bescherm je back-ups tegen onbevoegde toegang. Die verdieping is vooral waardevol voor organisaties die voor het eerst met informatiebeveiliging werken.

Belangrijk: ISO 27002 is niet de enige bron voor implementatierichtlijnen. Veel GRC-platforms bieden voorgebouwde maatregelen die de essentie van ISO 27002 al hebben vertaald naar concrete taken en bewijsvereisten. Dat kan het aanschaffen van ISO 27002 als los document minder urgent maken, al blijft het waarde houden als diepgaande referentie.

Wat jouw organisatie nodig heeft

Voor de meeste organisaties die certificering nastreven is ISO 27001 het primaire document: het bevat alle eisen, de structuur van je ISMS en de lijst maatregelen. Werk je met een platform dat voorgebouwde maatregelen biedt, of met een ervaren consultant, dan kun je het traject vaak doorlopen zonder ISO 27002 als apart document. Dat geldt vooral voor kleinere organisaties met een overzichtelijke scope.

ISO 27002 voegt waarde toe waar de standaardinvulling niet volstaat: bij een complexe IT-omgeving, bij maatregelen die maatwerk vragen, of wanneer je team onzeker is over een specifieke maatregel zoals leveranciersbeheer (5.19) of incidentafhandeling. De meest voorkomende aanpak is een combinatie: ISO 27001 bepaalt de structuur en eisen, ISO 27002 raadpleeg je selectief. Je hoeft het document van 150+ pagina's niet van begin tot eind te lezen; gericht gebruiken voorkomt dat je erin verdwaalt.

Drie hardnekkige misverstanden

"Ik moet ISO 27002 implementeren om gecertificeerd te worden." Onjuist. ISO 27001 verwijst naar de maatregelen in Annex A, niet naar ISO 27002 als document. Een auditor toetst of je maatregelen effectief zijn, niet of je ze inricht conform de letter van ISO 27002. Je mag een maatregel op je eigen manier implementeren, zolang die aantoonbaar werkt.

"ISO 27001 en ISO 27002 zijn 2 aparte projecten." Onjuist en onwenselijk. Er is geen apart "ISO 27002-traject". Je implementeert je ISMS volgens ISO 27001 en raadpleegt ISO 27002 waar je richtlijnen nodig hebt. Wie het als 2 projecten aanpakt, creëert dubbele documentatie en verwarring.

"ISO 27002 erbij betrekken maakt het traject complexer." Meestal niet. Door de richtlijnen te gebruiken neem je giswerk weg. De complexiteit ontstaat pas als je elke richtlijn letterlijk wilt toepassen, ongeacht relevantie. Niet alles is relevant voor een kleine organisatie met een beperkte scope. Gebruik het als startpunt en pas het aan je context aan.

Hoe Tidal Control hierbij ondersteunt

Tidal Control biedt voorgebouwde beheersmaatregelen die direct gekoppeld zijn aan de ISO 27001 Annex A-verwijzingen. Elke maatregel bevat concrete taken die beschrijven wat je moet doen om aan de eis te voldoen, inclusief eigenaarschap, deadlines en bewijsvoering. Daarmee vervult het platform een deel van de rol die ISO 27002 traditioneel speelt: de vertaling van een abstracte maatregel naar een uitvoerbare actie.

Bewijs wordt automatisch verzameld via integraties met Microsoft Azure, AWS, Google Cloud, GitHub, GitLab en Jira, met meer dan 200 geautomatiseerde tests die doorlopend controleren of maatregelen werken. Omdat de maatregelen uit Annex A sterk overlappen met SOC 2, NIS2, DORA en de AVG, kun je een maatregel eenmaal inrichten en aan meerdere normen koppelen.

Wil je weten waar je organisatie staat?

Voordat je begint helpt het om te weten welke maatregelen je impliciet al hebt en waar de hiaten zitten. Doe de gratis quickscan en krijg in vijf minuten een eerste beeld van je positie en de logische vervolgstappen. Geen verkoopgesprek, geen verplichtingen.

Doe de gratis Quickscan →

De scan laat ook zien welke Annex A-maatregelen je al dekt.

Veelgestelde vragen

Wat is het belangrijkste verschil tussen ISO 27001 en ISO 27002?

ISO 27001 is een certificeerbare norm met de eisen voor een managementsysteem voor informatiebeveiliging. ISO 27002 is een niet-certificeerbare richtlijn die implementatieaanbevelingen geeft voor de maatregelen in Annex A van ISO 27001. De maatregelen zijn in beide documenten identiek; het verschil zit in het doel. ISO 27001 stelt eisen, ISO 27002 legt uit hoe je die invult. Je certificeert op ISO 27001 en raadpleegt ISO 27002 als hulpmiddel.

Heb je ISO 27002 nodig om ISO 27001 gecertificeerd te worden?

Nee. Een auditor toetst je ISMS aan de eisen van ISO 27001, niet aan de richtlijnen van ISO 27002. Je bent vrij om maatregelen op elke aantoonbaar effectieve manier te implementeren. ISO 27002 is een waardevol naslagwerk, maar het gebruiken ervan is een keuze, geen verplichting. Een ISO 27002-certificaat bestaat niet; certificering is voorbehouden aan ISO 27001.

Hoeveel beheersmaatregelen heeft ISO 27001:2022 en hoe zijn ze ingedeeld?

De norm telt 93 maatregelen in Annex A, verdeeld over 4 thema's. Dit verving de oude structuur van 114 maatregelen over 14 domeinen. De reductie kwam vooral door samenvoeging van overlappende maatregelen, en er werden 11 volledig nieuwe maatregelen toegevoegd voor moderne risico's zoals clouddiensten en veilige ontwikkeling. De verdeling is: organisatorisch (37), personen (8), fysiek (14) en technologisch (34).

Schrijf je in voor maandelijkse updates: wat er nieuw is bij Tidal, framework-nieuws en compliance-resources.

Door je e-mailadres in te sturen ga je akkoord met ons Privacybeleid.