ISO 27001 vs ISO 27002: wat is het verschil en wat heb jij nodig

In dit artikel leggen we helder uit wat beide normen inhouden, hoe ze zich tot elkaar verhouden en wanneer je de een, de ander of allebei nodig hebt. Geen theoretische verhandeling, maar een praktische leidraad die je helpt om de juiste keuzes te maken voor je organisatie, of je nu net begint met ISO 27001 of al bezig bent met de implementatie van beheersmaatregelen.

ISO 27001 en ISO 27002 in het kort

Waarom deze vergelijking vaak wordt gemaakt

De verwarring tussen ISO 27001 en ISO 27002 komt niet uit de lucht vallen. Beide normen delen dezelfde beheersmaatregelen: de 93 maatregelen die in Annex A van ISO 27001 staan, zijn exact dezelfde maatregelen die in ISO 27002 worden beschreven. Het verschil zit in de diepgang en het doel. ISO 27001 noemt elke maatregel met een korte beschrijving van het doel. ISO 27002 pakt diezelfde maatregel vast en geeft vervolgens uitgebreide implementatierichtlijnen, voorbeelden en toelichting.

Die overlap zorgt ervoor dat mensen de twee normen door elkaar halen of denken dat ze hetzelfde document zijn. Dat is niet het geval. ISO 27001 is de norm waarop je gecertificeerd kunt worden. ISO 27002 is het begeleidende document dat je helpt om de maatregelen uit die norm in de praktijk te brengen. Het onderscheid is vergelijkbaar met het verschil tussen een bouwvergunning (wat er gebouwd moet worden) en een constructietekening (hoe je het bouwt). Je hebt de vergunning nodig om te mogen bouwen, maar de tekening helpt je om het goed te doen.

Wanneer het verschil relevant wordt

Het verschil tussen ISO 27001 en ISO 27002 wordt pas echt relevant wanneer je concrete keuzes moet maken. Moet je beide documenten aanschaffen? Moet je beide normen implementeren? Wat verwacht een auditor? En wat verwachten je klanten wanneer ze vragen of je "ISO 27001-gecertificeerd" bent? Op al die momenten is het belangrijk om te weten welke norm welke rol speelt.

Voor veel startups en scale-ups die voor het eerst met certificering aan de slag gaan, is ISO 27001 het vertrekpunt. Dat is de norm die klanten vragen, die auditors toetsen en die op je certificaat staat. ISO 27002 is het naslagwerk dat je erbij pakt wanneer je wilt begrijpen hoe je een specifieke beheersmaatregel invult. Wanneer je dit verschil kent, voorkom je dat je onnodig tijd en geld besteedt aan zaken die niet vereist zijn, terwijl je tegelijkertijd de juiste hulpmiddelen inzet waar ze daadwerkelijk waarde toevoegen.

Wat ISO 27001 is

Doel en positionering van de norm

ISO/IEC 27001:2022 is de internationale norm die de eisen beschrijft voor het opzetten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (ISMS). De norm is gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC). Het is de enige norm binnen de ISO 27000-familie waarop je daadwerkelijk gecertificeerd kunt worden.

De kern van ISO 27001 bestaat uit twee delen. Het eerste deel (clausules 4 tot en met 10) beschrijft de managementvereisten: hoe je de context van je organisatie bepaalt, hoe het management betrokken moet zijn, hoe je risico's identificeert en behandelt, hoe je meet of je ISMS werkt en hoe je continu verbetert. Het tweede deel is Annex A, dat een overzicht geeft van 93 beheersmaatregelen verdeeld over vier categorieën: organisatorisch (37 maatregelen), personen (8 maatregelen), fysiek (14 maatregelen) en technisch (34 maatregelen). Je selecteert uit die 93 maatregelen welke van toepassing zijn op jouw situatie en legt dat vast in de Verklaring van Toepasselijkheid.

Certificering en audit

Het onderscheidende kenmerk van ISO 27001 is dat het een certificeerbare norm is. Een geaccrediteerde certificeringsinstantie voert een audit uit in twee fasen: fase 1 (documentbeoordeling) en fase 2 (beoordeling van de implementatie en effectiviteit). Na een succesvolle audit ontvang je een certificaat dat drie jaar geldig is, met jaarlijkse controleaudits in het tweede en derde jaar en een hercertificeringsaudit na drie jaar.

Dat certificaat is wat klanten, partners en toezichthouders vragen wanneer ze willen weten of je informatiebeveiliging op orde is. Het is een onafhankelijke bevestiging dat een externe partij je ISMS heeft getoetst aan de normeisen. Het certificaat transformeert je verkoopproces: grotere klanten die voorheen aarzelden, krijgen het vertrouwen dat ze nodig hebben om de samenwerking aan te gaan. Dat effect heeft ISO 27001 omdat het een erkende, geaudite norm is, niet slechts een verzameling richtlijnen.

Wat ISO 27002 is

Richtlijnen en best practices

ISO/IEC 27002:2022 is geen certificeerbare norm maar een richtlijn. De volledige titel luidt "Information security, cybersecurity and privacy protection - Information security controls". Het document biedt een referentieverzameling van generieke beheersmaatregelen voor informatiebeveiliging, inclusief implementatierichtlijnen. Het is ontworpen om te worden gebruikt door organisaties die werken aan een ISMS op basis van ISO 27001, maar ook door organisaties die los van certificering hun informatiebeveiliging willen verbeteren.

Waar ISO 27001 Annex A elke maatregel beschrijft in een of twee regels, wijdt ISO 27002 per maatregel meerdere pagina's aan uitleg. Voor elke maatregel beschrijft ISO 27002 het doel, de implementatierichtlijnen en aanvullende informatie. Neem bijvoorbeeld maatregel 5.15 (toegangsbeheer): ISO 27001 Annex A zegt dat je regels moet vaststellen voor fysieke en logische toegang. ISO 27002 gaat vervolgens in op het principe van minimale rechten, de periodieke beoordeling van toegangsrechten, de scheiding van taken, en concrete voorbeelden van hoe je dat in de praktijk inricht. Die verdieping maakt ISO 27002 waardevol voor teams die willen begrijpen wat er achter elke maatregel zit.

Relatie met beheersmaatregelen

De 93 beheersmaatregelen in ISO 27002:2022 zijn inhoudelijk identiek aan de maatregelen in Annex A van ISO 27001:2022. De termen ISO 27002 en ISO 27001 Annex A zijn in de praktijk uitwisselbaar wanneer het gaat om de lijst van maatregelen. Het verschil is dat ISO 27001 Annex A een beknopt overzicht geeft als onderdeel van de certificerbare norm, terwijl ISO 27002 een zelfstandig document is dat die maatregelen uitgebreid toelicht.

ISO 27002:2022 heeft ten opzichte van de vorige versie (uit 2013) een fundamentele herstructurering doorgemaakt. De oude indeling van 114 maatregelen verdeeld over 14 domeinen is vervangen door 93 maatregelen in vier thema's. Daarnaast introduceerde de 2022-versie eigenschappen (attributen) per maatregel, waaronder het type maatregel (preventief, detectief, correctief), de beveiligingseigenschap (vertrouwelijkheid, integriteit, beschikbaarheid) en de cyberbeveiligingsfunctie (identificeren, beschermen, detecteren, reageren, herstellen). Die attributen maken het makkelijker om maatregelen te classificeren en toe te wijzen aan de juiste verantwoordelijken binnen je organisatie.

De belangrijkste verschillen tussen ISO 27001 en ISO 27002

Norm versus richtlijn

Het fundamentele verschil is de status van het document. ISO 27001 is een norm met eisen (in het Engels: "requirements"). Het bevat formuleringen als "de organisatie moet" (shall) die aangeven wat er verplicht is om aan de norm te voldoen. ISO 27002 is een richtlijn met aanbevelingen (in het Engels: "guidance"). Het bevat formuleringen als "het is raadzaam dat" (should) die aangeven wat best practice is, maar niet wat verplicht is.

Dit onderscheid heeft directe consequenties. Een auditor toetst je ISMS aan de eisen van ISO 27001. Wanneer je niet voldoet aan een eis uit clausule 4 tot en met 10 of aan een maatregel die je in je Verklaring van Toepasselijkheid hebt opgenomen, is dat een bevinding. ISO 27002 wordt niet geaudit. Een auditor kan je vragen hoe je een maatregel hebt geïmplementeerd en daarbij impliciet toetsen of je aanpak in lijn is met de richtlijnen uit ISO 27002, maar het document zelf is geen auditcriterium. Je kunt een maatregel op een andere manier implementeren dan ISO 27002 beschrijft, zolang de maatregel effectief is.

Certificeerbaar versus ondersteunend

Alleen ISO 27001 leidt tot een certificaat. Er bestaat geen ISO 27002-certificering. Geen enkele geaccrediteerde certificeringsinstantie biedt een ISO 27002-certificaat aan, omdat de norm daarvoor niet bedoeld is. Wanneer klanten of partners vragen of je gecertificeerd bent, bedoelen ze altijd ISO 27001. Wanneer een aanbesteding verwijst naar ISO 27002, is dat doorgaans in de context van "de maatregelen zoals beschreven in ISO 27002 moeten worden toegepast", wat in de praktijk neerkomt op de maatregelen uit Annex A van ISO 27001.

ISO 27002 speelt een ondersteunende rol: het helpt je om de maatregelen die je op basis van ISO 27001 selecteert, op de juiste manier te implementeren. Je kunt ISO 27002 vergelijken met een handleiding bij een product: je hebt het product (ISO 27001) nodig om te functioneren, maar de handleiding (ISO 27002) helpt je om het goed te gebruiken. De handleiding is niet verplicht, je kunt het product ook zonder bedienen, maar ze maakt het proces efficiënter en verkleint de kans op fouten.

Structuur en toepassing

ISO 27001 volgt een managementsysteemstructuur die bekend is uit andere ISO-normen (zoals ISO 9001 voor kwaliteit en ISO 42001 voor kunstmatige intelligentie): context, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. Die structuur maakt het mogelijk om meerdere ISO-normen geïntegreerd te implementeren, omdat de managementvereisten vergelijkbare patronen volgen.

ISO 27002 volgt een andere structuur. Het is georganiseerd rond de vier thema's van beheersmaatregelen (organisatorisch, personen, fysiek, technisch) en biedt per maatregel een uniforme opbouw: doel, implementatierichtlijn en aanvullende informatie. Het document is bedoeld als naslagwerk, niet als iets dat je van begin tot eind leest. Je raadpleegt het wanneer je bij een specifieke maatregel wilt weten hoe andere organisaties die in de praktijk invullen. Die fundamentele verschil in opzet, managementsysteem versus maatregelencatalogus, verklaart waarom de twee documenten elkaar aanvullen in plaats van overlappen.

Hoe ISO 27001 en ISO 27002 samenwerken

ISO 27002 als verdieping van maatregelen

De samenwerking tussen beide normen werkt als volgt: ISO 27001 vertelt je dat je beheersmaatregelen moet selecteren op basis van je risicoanalyse en deze moet vastleggen in je Verklaring van Toepasselijkheid. Maar hoe je die maatregelen vervolgens concreet implementeert, laat de norm grotendeels aan jou over. Daar komt ISO 27002 in beeld. Het document geeft per maatregel gedetailleerde richtlijnen die je als startpunt kunt gebruiken voor je eigen implementatie.

Neem bijvoorbeeld maatregel 8.13 (back-ups van informatie). ISO 27001 Annex A stelt dat je een back-upbeleid moet vaststellen en implementeren. ISO 27002 gaat daar vervolgens op in: hoe vaak moet je een back-up maken, wat moet je back-uppen, hoe test je of back-ups daadwerkelijk hersteld kunnen worden, hoe bescherm je back-ups tegen onbevoegde toegang, en hoe documenteer je dit alles. Die verdieping is bijzonder waardevol voor organisaties die voor het eerst met informatiebeveiliging werken en niet de ervaring hebben om elke maatregel zelfstandig in te vullen.

Praktische toepassing binnen ISO 27001

In de praktijk gebruiken de meeste organisaties ISO 27002 als referentie tijdens de implementatiefase van hun ISO 27001-traject. Zodra de risicoanalyse is uitgevoerd en de maatregelen zijn geselecteerd, raadplegen ze ISO 27002 om te begrijpen wat er per maatregel verwacht wordt. Die werkwijze is efficiënt omdat je gericht kunt zoeken: je slaat het document open bij de maatregel die je op dat moment implementeert en leest de bijbehorende richtlijn.

Het is daarbij goed om te weten dat ISO 27002 niet de enige bron is voor implementatierichtlijnen. Veel GRC-platforms bieden voorgebouwde beheersmaatregelen die de essentie van ISO 27002 al hebben vertaald naar concrete taken en bewijsvereisten. Tidal Control biedt bijvoorbeeld beheersmaatregelen die direct gekoppeld zijn aan de ISO 27001 Annex A-verwijzingen, inclusief taken die beschrijven wat je per maatregel moet doen. Daarmee vervult het platform deels de rol die ISO 27002 traditioneel heeft: de vertaalslag van abstracte maatregel naar concrete actie. Dat kan het aanschaffen van ISO 27002 als los document minder urgent maken, hoewel het document waarde blijft houden als diepgaande referentie.

Wat je organisatie nodig heeft in de praktijk

Wanneer ISO 27001 voldoende is

Voor de meeste organisaties die certificering nastreven, is ISO 27001 het primaire document. Het bevat alle eisen waaraan je moet voldoen, de structuur van je ISMS en de lijst van beheersmaatregelen waaruit je selecteert. Wanneer je werkt met een platform dat voorgebouwde maatregelen en implementatierichtlijnen biedt, of wanneer je beschikt over een consultant met ISO 27001-ervaring, kun je in veel gevallen het certificeringstraject doorlopen zonder ISO 27002 als apart document aan te schaffen.

Dat geldt vooral voor kleinere organisaties met een overzichtelijke scope en standaard beheersmaatregelen. Als je volledig in de cloud werkt, een beperkt aantal systemen hebt en de meeste maatregelen uit Annex A op een gangbare manier implementeert (meervoudige verificatie, versleuteling, toegangsbeheer, incidentprocedures), bieden de beschrijvingen in Annex A samen met de richtlijnen in je platform of van je consultant voldoende houvast. ISO 27002 wordt in die situatie eerder een "nice to have" dan een "must have".

Wanneer ISO 27002 toegevoegde waarde heeft

ISO 27002 voegt waarde toe in situaties waar de standaardimplementatie niet volstaat. Wanneer je een complexe IT-omgeving hebt, wanneer je maatregelen op een niet-standaard manier moet implementeren, of wanneer je team onzeker is over de juiste invulling van een specifieke maatregel, biedt ISO 27002 de verdieping die je nodig hebt. Het document helpt je om gefundeerde keuzes te maken in plaats van te gokken.

Een concreet voorbeeld: maatregel 5.19 (informatiebeveiliging in leveranciersrelaties) is voor veel organisaties een uitdaging. Hoe beoordeel je de informatiebeveiliging van je leveranciers? Welke eisen neem je op in contracten? Hoe bewaak je of leveranciers aan die eisen blijven voldoen? ISO 27002 beschrijft dit in detail, inclusief overwegingen voor verschillende typen leveranciers. Voor organisaties met een groot leveranciersportfolio is die richtlijn uiterst praktisch.

Combinatie van beide

De meest voorkomende aanpak in de praktijk is een combinatie: ISO 27001 als certificeerbare norm die de structuur en eisen definieert, en ISO 27002 als naslagwerk dat je raadpleegt wanneer je bij specifieke maatregelen verdieping nodig hebt. Die combinatie is ook wat ISO zelf beoogt: de twee documenten zijn ontworpen als complementair paar.

Belangrijk is dat je ISO 27002 niet van kaft tot kaft hoeft te lezen of te implementeren. Het is een referentiedocument. Je raadpleegt het selectief, bij de maatregelen die je daadwerkelijk toepast en waar je behoefte hebt aan meer context. Die gerichte aanpak voorkomt dat je overweldigd raakt door de omvang van het document (ISO 27002:2022 telt meer dan 150 pagina's) en zorgt ervoor dat je de richtlijnen toepast waar ze het meest bijdragen aan de kwaliteit van je implementatie.

Veelgemaakte misverstanden over ISO 27001 en ISO 27002

ISO 27002 als verplicht onderdeel

Een hardnekkig misverstand is dat je ISO 27002 moet implementeren om ISO 27001-gecertificeerd te worden. Dat is niet het geval. ISO 27001 verwijst naar de maatregelen in Annex A, niet naar ISO 27002 als document. De maatregelen zijn dezelfde, maar de implementatierichtlijnen uit ISO 27002 zijn geen auditvereiste. Een auditor toetst of je maatregelen effectief zijn, niet of je ze hebt geïmplementeerd conform de letter van ISO 27002.

In de praktijk betekent dit dat je volledige vrijheid hebt in hoe je een maatregel implementeert, zolang het resultaat aantoonbaar werkt. Als je toegangsbeheer op een manier hebt ingericht die afwijkt van de ISO 27002-richtlijn maar aantoonbaar effectief is voor jouw situatie, is dat prima. De auditor beoordeelt het resultaat, niet de methode. ISO 27002 is een hulpmiddel, geen verplichting.

Beide tegelijk implementeren

Een tweede misverstand is dat je ISO 27001 en ISO 27002 als twee aparte projecten moet implementeren. Dat is niet nodig en zelfs niet wenselijk. Je implementeert ISO 27001 als managementsysteem en gebruikt ISO 27002 als referentie waar nodig. Er is geen apart "ISO 27002-project", het document ondersteunt je ISO 27001-implementatie maar heeft geen eigen implementatietraject.

Organisaties die proberen om ISO 27002 als apart raamwerk te implementeren naast ISO 27001, creëren onnodige complexiteit. Ze eindigen met dubbele documentatie, overlappende processen en verwarring bij het team over welke norm welke eisen stelt. De juiste aanpak is: implementeer je ISMS volgens ISO 27001 en raadpleeg ISO 27002 wanneer je behoefte hebt aan richtlijnen voor specifieke maatregelen. Een traject, een managementsysteem, een set maatregelen.

Overcomplexiteit

Het derde misverstand is dat het betrekken van ISO 27002 automatisch leidt tot een complexer traject. Het tegendeel kan waar zijn: door de implementatierichtlijnen uit ISO 27002 te gebruiken, neem je het giswerk weg dat anders nodig is om een maatregel in te vullen. Dat maakt het traject niet complexer maar juist efficiënter, mits je het document selectief gebruikt.

De complexiteit ontstaat pas wanneer je probeert om elke richtlijn uit ISO 27002 letterlijk toe te passen, ongeacht of die relevant is voor jouw situatie. ISO 27002 beschrijft best practices voor organisaties van alle typen en omvangen. Niet alles is van toepassing op een startup met tien medewerkers. De kunst is om de richtlijnen te gebruiken als inspiratie en startpunt, en ze vervolgens aan te passen aan je eigen context en risicoprofiel. Die pragmatische benadering houdt het traject beheersbaar.

De rol van tooling bij ISO 27001 en ISO 27002

Overzicht in maatregelen

Een GRC-platform biedt overzicht in welke maatregelen je hebt geselecteerd, hoe ze zijn geïmplementeerd en welk bewijs erbij hoort. Dat overzicht is waardevol ongeacht of je ISO 27002 als apart document gebruikt. Het platform vertaalt de abstracte beschrijvingen uit Annex A naar concrete taken en bewijsvereisten, waardoor je voor elke maatregel weet wat er van je verwacht wordt.

Waar ISO 27002 die vertaalslag maakt op papier, maakt tooling diezelfde vertaalslag interactief en volgbaar. Je ziet niet alleen wat je moet doen, maar ook of het al gedaan is, door wie en wanneer. Die zichtbaarheid voorkomt dat maatregelen op papier bestaan maar in de praktijk niet worden uitgevoerd, precies het soort discrepantie dat auditors bij certificeringsaudits signaleren. Het platform fungeert daarmee als de praktische vertaling van wat ISO 27002 in theorie beschrijft.

Borging en onderhoud

Na de implementatie is borging de grootste uitdaging. Maatregelen die bij de eerste audit op orde waren, kunnen na verloop van tijd versloffen wanneer er geen mechanisme is om ze periodiek te toetsen. ISO 27002 geeft richtlijnen over wat er per maatregel onderhouden moet worden, maar het is aan jou om dat onderhoud daadwerkelijk uit te voeren.

Tooling automatiseert een deel van dat onderhoud. Geautomatiseerde tests controleren doorlopend of technische maatregelen correct zijn geconfigureerd. Herinneringen signaleren wanneer beleidsdocumenten verlopen of wanneer beheersmaatregelen opnieuw getoetst moeten worden. Die automatisering vervangt het handmatige werk dat anders nodig is om de richtlijnen uit ISO 27002 structureel na te leven.

Samenhang met andere frameworks

Een bijkomend voordeel van tooling is de mogelijkheid om beheersmaatregelen te koppelen aan meerdere normkaders. De maatregelen uit ISO 27001 Annex A overlappen significant met andere normen: SOC 2 Trust Services Criteria, NIS2-vereisten, AVG-maatregelen en ISO 42001-beheersmaatregelen voor kunstmatige intelligentie. Wanneer je een maatregel eenmaal implementeert en die koppelt aan meerdere normen, bespaar je dubbel werk.

ISO 27002 beschrijft maatregelen in de context van informatiebeveiliging, maar diezelfde maatregelen zijn vaak breder toepasbaar. Toegangsbeheer is relevant voor ISO 27001, SOC 2 en AVG. Incidentafhandeling is een vereiste onder ISO 27001, NIS2 en DORA. Door die verbanden zichtbaar te maken in een platform, benut je de investering in elke maatregel maximaal. Dat is efficiënter dan voor elk normkader apart de implementatierichtlijnen uit ISO 27002 of vergelijkbare documenten doorwerken.

Hoe Tidal Control ondersteunt bij ISO 27001 en ISO 27002

Structuur en overzicht

Tidal Control biedt voorgebouwde beheersmaatregelen die direct zijn gekoppeld aan de ISO 27001 Annex A-verwijzingen. Elke maatregel bevat concrete taken die beschrijven wat je moet doen om aan de vereisten te voldoen. Daarmee biedt het platform een praktische invulling van de rol die ISO 27002 traditioneel speelt: de vertaling van abstracte normeisen naar uitvoerbare acties.

De risicobibliotheek van Tidal Control bevat veelvoorkomende scenario's met automatische koppeling naar relevante maatregelen. Wanneer je een risico identificeert, zie je direct welke maatregelen dat risico afdekken en welke taken daarbij horen. Die samenhang tussen risico's, maatregelen en taken is precies wat ISO 27001 vraagt en wat ISO 27002 in de praktijk ondersteunt. Het platform maakt die samenhang zichtbaar en volgbaar, zonder dat je twee aparte documenten naast elkaar hoeft te leggen.

Praktische toepassing van maatregelen

Tijdens de implementatiefase helpt het platform je om elke maatregel concreet in te vullen. Taken worden toegewezen aan de juiste personen, deadlines worden bewaakt en bewijsvoering wordt automatisch verzameld via integraties met meer dan 150 geautomatiseerde tests over Microsoft Azure, AWS, Google Cloud, GitHub, GitLab en Jira. Dat doorlopende karakter van bewijsverzameling vervangt het handmatige werk dat anders nodig is bij elke controleaudit.

De meer dan dertig beleidssjablonen die Tidal Control meelevert, zijn ontwikkeld op basis van honderden audittrajecten. Elk sjabloon is afgestemd op de normeisen uit ISO 27001 en de richtlijnen uit ISO 27002, waardoor je niet zelf hoeft uit te zoeken welke elementen een beleidsdocument moet bevatten.

Schaalbaarheid

Naarmate je organisatie groeit en aanvullende normen in beeld komen, schaalt het platform mee. ISO 27001 is vaak het startpunt, maar SOC 2, NIS2, AVG, ISO 42001 en ISO 9001 volgen wanneer klanten, toezichthouders of markten daarom vragen. Tidal Control ondersteunt meer dan dertig normen en maakt het mogelijk om beheersmaatregelen eenmaal in te richten en voor meerdere normen te hergebruiken.

Die schaalbaarheid is relevant voor de verhouding tussen ISO 27001 en ISO 27002. De richtlijnen uit ISO 27002 zijn specifiek geschreven voor informatiebeveiliging, maar veel maatregelen zijn breder inzetbaar. Een maatregel voor toegangsbeheer die je implementeert voor ISO 27001, geldt ook voor SOC 2 en AVG. Door die maatregel eenmaal in het platform in te richten en aan meerdere normen te koppelen, maximaliseer je de waarde van je investering. Dat principe van hergebruik is uiteindelijk waardevoller dan het document ISO 27002 zelf: het gaat niet om het lezen van richtlijnen, maar om het structureel toepassen ervan in je dagelijkse werkwijze.

Veelgestelde vragen over ISO 27001 en ISO 27002

Wat is het belangrijkste verschil tussen ISO 27001 en ISO 27002?

ISO 27001 is een certificeerbare norm die de eisen beschrijft voor een managementsysteem voor informatiebeveiliging. ISO 27002 is een niet-certificeerbare richtlijn die implementatieaanbevelingen geeft voor de beheersmaatregelen die in Annex A van ISO 27001 staan. De maatregelen zelf zijn identiek in beide documenten. Het verschil zit in het doel: ISO 27001 stelt eisen waaraan je moet voldoen, ISO 27002 beschrijft hoe je die eisen in de praktijk kunt invullen. Je certificeert op ISO 27001, je raadpleegt ISO 27002 als hulpmiddel.

Heb je ISO 27002 nodig om ISO 27001 gecertificeerd te worden?

Nee. ISO 27002 is geen vereiste voor certificering. Een auditor toetst je ISMS aan de eisen van ISO 27001, niet aan de richtlijnen van ISO 27002. Je bent vrij om maatregelen op elke manier te implementeren die aantoonbaar effectief is. ISO 27002 is wel een waardevol naslagwerk dat je helpt om maatregelen goed te implementeren, maar het aanschaffen en toepassen ervan is een keuze, geen verplichting.

Wanneer voegt ISO 27002 daadwerkelijk waarde toe voor een organisatie?

ISO 27002 voegt vooral waarde toe wanneer je team onvoldoende ervaring heeft met informatiebeveiliging om maatregelen zelfstandig in te vullen, wanneer je een complexe IT-omgeving hebt die maatwerk vereist, of wanneer je bij specifieke maatregelen (zoals leveranciersbeheer of incidentafhandeling) behoefte hebt aan gedetailleerde richtlijnen. Voor organisaties die werken met een GRC-platform dat voorgebouwde maatregelen en implementatierichtlijnen biedt, is de toegevoegde waarde van ISO 27002 als apart document beperkter, omdat het platform die vertaalslag al maakt.

Kun je ISO 27001 en ISO 27002 combineren zonder extra complexiteit?

Ja, mits je ISO 27002 gebruikt als naslagwerk en niet als apart implementatieproject. Implementeer je ISMS volgens de eisen van ISO 27001 en raadpleeg ISO 27002 selectief bij maatregelen waar je verdieping nodig hebt. Die aanpak voegt geen complexiteit toe maar maakt je implementatie juist gerichter. Vermijd de valkuil om elk punt uit ISO 27002 als aparte vereiste te behandelen, het is een richtlijn, geen checklist.

Welke rol speelt tooling bij het toepassen van ISO 27002 binnen ISO 27001?

Tooling maakt de vertaalslag van norm naar praktijk concreet en volgbaar. Een GRC-platform biedt voorgebouwde maatregelen die de essentie van ISO 27002-richtlijnen al bevatten, inclusief taken, bewijsvereisten en automatische koppelingen naar normverwijzingen. Daarmee vervult het platform deels de functie van ISO 27002: het helpt je begrijpen wat er per maatregel verwacht wordt en hoe je dat implementeert. Geautomatiseerde bewijsverzameling en doorlopende controles zorgen er bovendien voor dat de maatregelen niet alleen op papier bestaan maar in de praktijk worden nageleefd, precies wat zowel ISO 27001 als ISO 27002 beogen.