Het verschil tussen ISO27001 en ISO27002.

ISO27001 beschrijft het ISMS, het information security management systeem. Voor een uitleg over het ISMS, zie het artikel “wat is een ISMS” op deze site.

ISO27002:2005 beschrijft 133 maatregelen die je kunt nemen ten aanzien van informatiebeveiliging. De nieuwe norm ISO27001:2013 kent er 114. Het is voornamelijk een samenvoeging van een aantal maatregelen uit de eerdere norm die maakt dat het aantal maatregelen minder is geworden.

Je moet deze maatregelen beoordelen en op basis van een risico analyse en besluiten of je deze maatregelen wilt implementeren binnen de organisatie. Dit zijn maatregen op het gebieden van bijvoorbeeld:

–        Personeel, denk aan screening.

–        Fysieke beveiliging, de toegang tot je bedrijf.

–        Hoe je systeem beheer / je operatie uitvoert.

–        Technische maatregelen als b.v. logging, inrichting systemen, etc.

–        Wettelijke bepalingen.

–        Etc.

Men laat zich normaal gesproken voor ISO27001 certificeren door een geaccrediteerde instelling. Het voordeel van een geaccrediteerde instelling is dat het certificaat breed geaccepteerd wordt in de markt.

Voor ISO27002 kun je je niet laten certificeren door een geaccrediteerde instelling. Wel zijn er bedrijven die een certificering aanbieden. Mijn advies is goed na te denken over de waarde hiervan. Daarnaast moet je je realiseren dat de keuze voor een ISO27002 certificering betekent dat er geen middel is om je informatiebeveiliging up-to-date te houden en te verbeteren. Hiervoor dient het ISMS.

We hebben het in dit artikel over het verschil, echter tussen beide normen is wel degelijk een overeenkomst. Want, om te komen tot een ISO27001 certificering moet je de ISO27001 norm betreffende het ISMS implementeren en de maatregelen voor informatiebeveiliging selecteren uit de ISO27002 en deze implementeren binnen je organisatie.