ISO 27001 versus ISO 27002
Aangezien ISO 27000 een reeks normen is die door ISO zijn geïnitieerd om de veiligheid en beveiliging binnen de organisaties wereldwijd te waarborgen, is het de moeite waard om het verschil te kennen tussen ISO 27001 en ISO 27002, twee van de normen in de ISO 27000 serie. Deze normen zijn in het leven geroepen ten behoeve van de organisaties en ook om een kwaliteitsservice aan de klanten te bieden. Dit artikel analyseert de verschillen tussen ISO 27001 en ISO 27002.
Wat is ISO 27001?
ISO 27001-standaard is om de informatiebeveiliging en gegevensbescherming in organisaties over de hele wereld te waarborgen. Deze norm is zo belangrijk voor bedrijfsorganisaties bij het beschermen van hun klanten en vertrouwelijke informatie van de organisatie tegen bedreigingen. Implementatie van het informatiebeveiligingsbeheersysteem zou zorgen voor kwaliteit, veiligheid, service en productbetrouwbaarheid van de organisatie die op het hoogste niveau kan worden gewaarborgd.
Het primaire doel van de norm is om eisen te stellen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). In de meeste bedrijven worden beslissingen over het aannemen van dit soort normen genomen door het topmanagement. Ook ontstaat de vereiste om dit soort informatiebeveiligingssysteem voor de organisatie te hebben vanwege verschillende factoren, zoals organisatiedoelen en -doelstellingen, beveiligingsvereisten, grootte en structuur van de organisatie, enz.
In de vorige versie van de standaard in 2005, werd deze ontwikkeld op basis van de PDCA-cyclus, het Plan-Do-Check-Act-model om de processen te structureren en dat was op een manier die de principes weerspiegelde die door de OECG waren uiteengezet richtlijnen. De nieuwe versie uit 2013 legt de nadruk op het meten en evalueren van de effectiviteit van de organisatieprestaties in ISMS. Ook is er een paragraaf opgenomen op basis van outsourcing en is er meer aandacht voor de informatiebeveiliging in organisaties.
Wat is ISO 27002?
De ISO 27002-standaard is oorspronkelijk ontstaan als ISO 17799-standaard die is gebaseerd op de praktijkcode voor informatiebeveiliging. Het belicht verschillende beveiligingscontrolemechanismen voor organisaties met de richtlijnen van ISO 27001.
De standaard is tot stand gekomen op basis van verschillende richtlijnen en principes voor het initiëren, implementeren, verbeteren en onderhouden van informatiebeveiligingsmanagement binnen een organisatie. De feitelijke controles in de norm richten zich op specifieke vereisten door middel van een formele risicobeoordeling. De standaard bestaat uit specifieke richtlijnen voor de ontwikkelingen in beveiligingsstandaarden van organisaties en effectieve praktijken voor beveiligingsbeheer die nuttig zouden zijn bij het opbouwen van vertrouwen binnen activiteiten tussen organisaties.
De bestaande versie van de norm werd in 2013 gepubliceerd als ISO 27002:2013 met 114 controles. De belangrijkste factor die moet worden opgemerkt, is dat in de loop der jaren een aantal branchespecifieke versies van ISO 27002 zijn ontwikkeld of in ontwikkeling zijn op het gebied van bijvoorbeeld de gezondheidssector, productie, enz.
Wat is het verschil tussen ISO 27001 & ISO 27002?
• De ISO 27001-norm geeft de vereisten weer voor informatiebeveiligingsbeheer in organisaties en de ISO 27002-norm biedt ondersteuning en begeleiding voor degenen die verantwoordelijk zijn voor het initiëren, implementeren of onderhouden van informatiebeveiligingsbeheersystemen (ISMS).
• ISO 27001 is een auditstandaard gebaseerd op controleerbare vereisten, terwijl ISO 27002 een implementatiegids is op basis van best practice-suggesties.
• ISO 27001 bevat een lijst met beheersmaatregelen voor de organisaties, terwijl ISO 27002 een lijst met operationele controles voor de organisaties heeft.
• ISO 27001 kan worden gebruikt om het informatiebeveiligingsbeheersysteem van de organisatie te auditen en te certificeren en ISO 27002 kan worden gebruikt om de volledigheid van het informatiebeveiligingsprogramma van een organisatie te beoordelen.
Beeldtoeschrijving: “CIAJMK1209” door John M. Kennedy T. (CC BY-SA 3.0)