Wat is ISO 27002?
ISO/IEC 27002 is een internationale norm die een uitgebreide set van best practices en richtlijnen voor informatiebeveiligingsmaatregelen biedt. De norm ondersteunt het opzetten en onderhouden van een Information Security Management System (ISMS) op basis van ISO 27001.
🧱 Wat doet ISO 27002?
ISO 27002 beschrijft hoe je de beheersmaatregelen uit ISO 27001 kunt implementeren. Waar ISO 27001 de eisen stelt, biedt ISO 27002 de uitwerking van de maatregelen (controls).
De norm bevat:
- Praktische uitleg per maatregel
- Implementatievoorbeelden
- Doelstellingen per maatregel
- Koppeling aan risico’s en bedreigingen
🔢 Structuur (versie 2022)
De vernieuwde versie van ISO 27002 (2022) bevat 93 maatregelen (voorheen 114), verdeeld over 4 domeinen:
| Domein | Aantal controls |
|---|---|
| Organisatorische maatregelen | 37 |
| Maatregelen voor mensen | 8 |
| Fysieke maatregelen | 14 |
| Technologische maatregelen | 34 |
Elke control bevat:
- Het doel (objective)
- Een toelichting (guidance)
- Optioneel: attributen (zoals type dreiging, toepassingsgebied)
🔄 Relatie met andere normen
| Norm | Functie |
|---|---|
| ISO 27001 | Stelt eisen voor een ISMS (Managementsysteem) |
| ISO 27002 | Biedt richtlijnen en uitleg voor de maatregelen (controls) |
| BIO | Nederlandse overheidsinvulling van ISO 27001/27002 |
| CSIR | Praktische toepassing voor OT/SCADA met BIO/IEC 62443 |
🛡️ Voorbeelden van ISO 27002-maatregelen
- A.5.7: Threat Intelligence
- A.8.3: Backup
- A.9.4: Access rights
- A.11.1: Physical Security perimeter
- A.12.6: Technical Vulnerability Management
📌 Samengevat
ISO 27002 is een praktische gids voor informatiebeveiliging, gebaseerd op risico’s en gericht op het correct implementeren van de maatregelen uit ISO 27001. Het vormt een cruciaal instrument voor elke organisatie die haar informatiebeveiliging professioneel wil inrichten.