Informatiebeveiliging

ISO 27002

ISO 27002 is de praktijkrichtlijn bij ISO 27001. Waar 27001 beschrijft wát je moet regelen, beschrijft 27002 hóe je dat doet. Met concrete beheersmaatregelen per onderwerp — van toegangsbeheer en cryptografie tot personeelsbeleid en fysieke beveiliging.

ISO 27002 is zelf niet certificeerbaar. Het is de code of practice die je in je ISMS-implementatie gebruikt om invulling te geven aan je Statement of Applicability. Normity koppelt de 27002-maatregelen direct aan je risico's, processen en acties.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity en ISO 27002

Normity helpt je eenvoudig op weg met de ISO 27002. Vanzelfsprekend ondersteunt onze software alles wat je nodig hebt: van normenkaders, dreigingsmodellen, risicoanalyse en documentatie tot het vastleggen van jouw organisatie, het beheren van assets en het plannen van activiteiten. En nog veel meer. Niet voor niets staan wij voor grip op kwaliteit. Daarnaast staan onze adviseurs jou graag bij met hun expertise. Bijvoorbeeld bij het uitvoeren van een nulmeting of interne audit. Wij horen graag van je!

Informatiebeveiliging

ISO 27002 vult ISO 27001 aan met praktische guidance per beheersmaatregel. In de versie van 2022 zijn 93 maatregelen opgenomen, georganiseerd in vier overkoepelende thema's:

  • Organisatorische maatregelen — beleid, rollen, afspraken met derden, classificatie van informatie
  • Maatregelen voor mensen — awareness, contractuele afspraken, screening en wat te doen bij vertrek
  • Fysieke maatregelen — toegangscontrole, bedrading, opslaglocaties, omgang met apparatuur
  • Technologische maatregelen — toegangsbeheer, cryptografie, malware-bescherming, monitoring, back-ups, secure development

Per maatregel beschrijft de norm wat het doel is, wat je moet doen en welke aanvullende guidance er is. Geen kookboek met één recept — eerder een handleiding waarmee je per situatie kunt bepalen hoe het bij jouw organisatie past. Niet elke maatregel is voor iedereen relevant: in je Statement of Applicability leg je vast welke wel en welke niet, en waarom.

In de praktijk gebruik je 27002 elke dag, terwijl 27001 vooral op tafel komt rond audits en directiebeoordelingen. Goed om te weten als je een norm aanschaft: 27002 staat dichter bij het werk dan 27001. Veel organisaties kopen bewust beide, juist omdat ze elkaar aanvullen.

Normity koppelt de 27002-maatregelen rechtstreeks aan je risico's, processen, leveranciers, asset-categorieën en bedieningsprocedures. Zo zie je één keer per maatregel waar hij wordt geraakt — en omgekeerd: per risico of proces zie je welke maatregelen van toepassing zijn. Geen losse Excel-sheets meer.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

Waarom heb je een KMS nodig?

Een kwaliteitsmanagementsysteem (KMS) is een structurele manier om kwaliteit in je organisatie te borgen, meten en verbeteren — via processen, documentatie, audits en de PDCA-cyclus. Waarom heb je er een nodig en wat levert het op? In dit artikel bespreken we het nut en de noodzaak van kwaliteitsmanagement.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Tips voor audits: hoe voorkom je auditangst?

Auditangst is het gevoel van spanning rond een aanstaande interne of externe audit — vaak onterecht, want met goede voorbereiding is het prima te managen. In dit artikel delen we praktische tips om ontspannen en met vertrouwen een audit in te gaan, of het nu je eerste is of niet.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Wat is een audit?

Een audit is een systematisch onderzoek door een onafhankelijke auditor die beoordeelt of je organisatie werkt conform een norm zoals ISO 9001, ISO 27001 of HKZ. Audits kunnen intern of extern zijn en vormen het hart van certificering. In dit artikel lees je wat een audit precies is en hoe auditoren te werk gaan.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over ISO 27002

De vragen die we het vaakst krijgen over ISO 27002, met korte en feitelijke antwoorden.

ISO 27002 is een internationale praktijkrichtlijn voor informatiebeveiliging. De norm beschrijft 93 concrete beveiligingsmaatregelen (controls) die organisaties kunnen inzetten om risico's te beheersen. ISO 27002 zelf is niet certificeerbaar — hij fungeert als handleiding bij de wel-certificeerbare ISO 27001. De huidige versie is ISO 27002:2022.

ISO 27001 is certificeerbaar en bevat eisen aan het managementsysteem. ISO 27002 is een ondersteunende praktijkgids met uitgewerkte beveiligingsmaatregelen. Je certificeert tegen ISO 27001 en gebruikt ISO 27002 als naslag: wát moet je regelen (27001) versus hóe regel je het (27002).

ISO 27002:2022 groepeert 93 maatregelen in vier thema's: organisatorisch (37 controls over beleid, rollen, leveranciersrelaties), mensen (8 controls over training, incidenten, discipline), fysiek (14 controls over fysieke toegang en apparatuur) en technologisch (34 controls over IT-beheer, cryptografie, monitoring).

Attributes zijn labels die je in ISO 27002:2022 aan elke control kunt koppelen: control type (preventief/detectief/correctief), informatiebeveiligingseigenschap (vertrouwelijkheid/integriteit/beschikbaarheid), cybersecurityconcept, operationele capability en security domain. Hiermee filter je controls per doel of organisatiecontext.

Nee — ISO 27002 is een selectiemenu, geen verplichte lijst. Via een risicobeoordeling bepaal je welke controls relevant zijn voor jouw organisatie. Alle keuzes (inclusief wat je níet toepast, met onderbouwing) leg je vast in de verklaring van toepasselijkheid (VvT/SoA), een verplicht document onder ISO 27001.

Ja — elf nieuwe controls zijn toegevoegd, gericht op moderne risico's: threat intelligence, cloudsecurity, ICT-continuïteit, fysieke monitoring, configuratiemanagement, informatielekkagepreventie, data masking, datalekken-melding, webfilters, secure coding en het identificeren van juridische en regelgevingsvereisten.

Zeker. ISO 27002 is een waardevol naslagwerk voor elke organisatie die informatiebeveiliging serieus neemt, ook zonder certificeringsambitie. De controls geven een praktische richtlijn bij het opstellen van beleid, het invoeren van maatregelen of het voldoen aan specifieke eisen uit NIS2, BIO of NEN 7510.

ISO 27002 is internationaal. De BIO is de Nederlandse overheidsvariant (gebaseerd op ISO 27002), NEN 7510 de Nederlandse zorgvariant. Alle drie leunen zwaar op ISO 27002 als controls-bibliotheek, met per context extra eisen zoals patiëntgeheim (7510) of overheidsclassificatie (BIO).

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management