Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

ISO 27002

Compliance

Internationale norm die praktische richtlijnen en beheersmaatregelen geeft voor informatiebeveiliging. Wordt vaak gebruikt als aanvulling op ISO 27001.

ISO 27002 is een internationale standaard die praktische richtlijnen biedt voor het implementeren van informatiebeveiligingsmaatregelen. De norm is de praktische tegenhanger van ISO 27001: waar ISO 27001 beschrijft wat een Information Security Management System (ISMS) moet bevatten, geeft ISO 27002 gedetailleerde instructies over hoe je de beheersmaatregelen (controls) daadwerkelijk implementeert. De norm fungeert als een praktisch handboek dat security professionals stap voor stap begeleidt bij het opzetten van effectieve beveiligingsmaatregelen.

De meest recente versie, ISO 27002:2022, is in februari 2022 gepubliceerd en bevat een ingrijpende herstructurering ten opzichte van de vorige versie. Het totale aantal beheersmaatregelen is teruggebracht van 114 naar 93 door samenvoeging en inhoudelijke actualisatie, en er zijn 11 volledig nieuwe maatregelen toegevoegd die aansluiten bij moderne dreigingen zoals cloud security, threat intelligence en data masking. Deze herstructurering maakt de norm toegankelijker en beter toepasbaar in hedendaagse IT-omgevingen waarin cloud, remote werken en complexe supply chains de standaard zijn geworden.

Voor wie geldt ISO 27002?

ISO 27002 is relevant voor elke organisatie die werkt met informatiebeveiliging, ongeacht de sector of omvang. De norm is specifiek waardevol voor organisaties die ISO 27001-certificering nastreven of al gecertificeerd zijn en hun beheersmaatregelen willen verdiepen, omdat de maatregelen in ISO 27002 direct aansluiten op Annex A van ISO 27001. Waar Annex A elke maatregel in een of twee zinnen beschrijft, wijdt ISO 27002 gemiddeld een volle pagina aan elke maatregel.

De standaard wordt breed ingezet in sectoren waar informatiebeveiliging kritisch is: financiële dienstverlening, gezondheidszorg, overheid en technologie. In de zorgsector vormt ISO 27002 samen met NEN 7510 de basis voor informatiebeveiliging. Voor organisaties die onder de NIS2-richtlijn vallen, biedt ISO 27002 een concreet handvat om aan de vereisten voor passende beveiligingsmaatregelen te voldoen. Daarnaast gebruiken verzekeraars de norm als referentiekader bij het beoordelen van cyberverzekeringaanvragen, waarbij de mate van implementatie invloed heeft op de premie en dekkingsvoorwaarden.

Een belangrijk verschil met ISO 27001 is dat je op ISO 27002 niet kunt certificeren. Het is een richtlijn, geen certificeerbare norm. Je gebruikt ISO 27002 als naslagwerk en implementatiegids bij het opzetten en onderhouden van je ISMS conform ISO 27001. Veel auditors gebruiken ISO 27002 als referentie bij het beoordelen van de implementatie van Annex A-maatregelen. De norm biedt per maatregel een duidelijke beschrijving van het doel, de implementatierichtlijn en aanvullende informatie die helpt bij het vertalen van abstracte eisen naar concrete beveiligingspraktijken.

Wat zijn de vereisten van ISO 27002?

ISO 27002:2022 organiseert de 93 beheersmaatregelen in vier themas. Het thema Organisatie omvat 37 maatregelen gericht op beleid, processen en governance, zoals informatiebeveiligingsbeleid, verantwoordelijkheden, threat intelligence, leveranciersbeheer en het classificeren van informatie op basis van gevoeligheid. Het thema Mens bevat 8 maatregelen rond screening, bewustwording, training, disciplinaire processen en adequate beveiliging bij het beëindigen van dienstverbanden.

Het thema Fysiek omvat 14 maatregelen voor de fysieke beveiliging van locaties, apparatuur en bekabeling. Het thema Technologie bevat 34 maatregelen voor technische beveiliging, waaronder toegangscontrole, cryptografie, netwerksegmentatie, logging, malwarebescherming en secure development. Deze vierdeling vervangt de oude structuur van 14 hoofdstukken en maakt het eenvoudiger om maatregelen toe te wijzen aan verantwoordelijke teams binnen je organisatie. Deze structuur helpt ook bij het rapporteren aan het management, omdat de voortgang per thema inzichtelijk kan worden gemaakt.

De 11 nieuwe maatregelen in ISO 27002:2022 weerspiegelen actuele dreigingen en technologische ontwikkelingen. Voorbeelden zijn threat intelligence (het systematisch verzamelen en gebruiken van dreigingsinformatie), cloud security (specifieke maatregelen voor cloudomgevingen), data masking (het onherkenbaar maken van gevoelige data), monitoring van fysieke beveiliging, en web filtering. Elke maatregel heeft nu ook attributen meegekregen, zoals het type (preventief, detectief, correctief), de cybersecurityeigenschap die het beschermt (vertrouwelijkheid, integriteit, beschikbaarheid) en het operationele domein. Deze attributen maken het mogelijk om maatregelen te filteren en te groeperen op basis van specifieke behoeften, bijvoorbeeld wanneer je wilt focussen op alle preventieve maatregelen die de vertrouwelijkheid beschermen.

Wat gebeurt er bij niet-naleving?

Omdat ISO 27002 een richtlijn is en geen certificeerbare norm, zijn er geen directe juridische sancties voor niet-naleving. Het ontbreken van ISO 27002 als referentie heeft echter wel aanzienlijke indirecte gevolgen voor je organisatie. Organisaties die ISO 27001-gecertificeerd zijn, worden tijdens audits beoordeeld op de implementatie van Annex A-maatregelen, en ISO 27002 is de standaardreferentie die auditors hanteren.

Als je beheersmaatregelen onvoldoende geïmplementeerd zijn volgens de richtlijnen van ISO 27002, riskeer je non-conformiteiten tijdens je ISO 27001-audit. Dit kan leiden tot het niet verkrijgen of verliezen van je certificering, met alle gevolgen van dien voor je marktpositie en klantenvertrouwen. In sectoren waar ISO 27001-certificering een contractuele of wettelijke vereiste is, heeft dit directe commerciële gevolgen.

Daarnaast stellen toezichthouders zoals de Autoriteit Persoonsgegevens en sectorale toezichthouders steeds vaker dat organisaties aantoonbaar passende maatregelen moeten nemen. ISO 27002 wordt daarbij als benchmark gebruikt. Bij een datalek of beveiligingsincident kan het ontbreken van maatregelen die in ISO 27002 staan beschreven, als argument worden gebruikt dat je organisatie onvoldoende beveiliging had getroffen. Dit kan leiden tot hogere boetes of aansprakelijkheidsclaims, omdat de rechter of toezichthouder kan oordelen dat internationaal erkende beveiligingsstandaarden de minimale zorgplicht vertegenwoordigen.

Veelgestelde vragen over ISO 27002

Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 beschrijft de eisen voor een ISMS en is certificeerbaar. ISO 27002 geeft gedetailleerde implementatierichtlijnen voor de beheersmaatregelen uit Annex A van ISO 27001. Je kunt op ISO 27002 niet certificeren, het dient als praktische handleiding.

Hoeveel maatregelen bevat ISO 27002:2022?

ISO 27002:2022 bevat 93 beheersmaatregelen, verdeeld over vier themas: Organisatie (37), Mens (8), Fysiek (14) en Technologie (34). De vorige versie had 114 afzonderlijke maatregelen verdeeld over 14 hoofdstukken. Er zijn 11 nieuwe maatregelen toegevoegd.

Moet je alle 93 maatregelen implementeren?

Nee. Op basis van je risicoanalyse bepaal je welke maatregelen relevant zijn voor je organisatie. In je Statement of Applicability (SoA) documenteer je welke maatregelen je implementeert en welke je uitsluit, inclusief de onderbouwing daarvoor. Deze onderbouwing moet aansluiten bij de uitkomsten van je risicoanalyse en laten zien dat je een weloverwogen afweging hebt gemaakt.

Wat zijn de nieuwe maatregelen in ISO 27002:2022?

De 11 nieuwe maatregelen omvatten onder andere threat intelligence, cloud security, ICT-gereedheid voor bedrijfscontinuïteit, data masking, data leakage prevention, monitoring, web filtering en secure coding. Deze sluiten aan bij hedendaagse dreigingen en technologieën.

Hoe verhoudt ISO 27002 zich tot NEN 7510?

NEN 7510 is de Nederlandse zorgnorm voor informatiebeveiliging, gebaseerd op ISO 27001 en ISO 27002 met aanvullende zorgeisen. Organisaties in de zorg gebruiken ISO 27002 als implementatiegids naast de specifieke NEN 7510-vereisten voor patiëntgegevens. De overlap tussen beide normen maakt het mogelijk om met een geïntegreerde aanpak aan meerdere normenkaders tegelijk te voldoen.

Implementeer informatiebeveiligingsmaatregelen met expertise. Vergelijk Consultancy & Advies specialisten op IBgidsNL.