ISO 27002 geeft een referentieverzameling van generieke beheersmaatregelen voor informatie­beveiliging met inbegrip van implementatie­richtlijnen. Dit document is ontworpen om te worden gebruikt door organisaties: a) binnen de context van een managementsysteem voor informatie­beveiliging (ISMS) op basis van ISO/IEC 27001; b) om beheersmaatregelen voor informatie­beveiliging op basis van internationaal erkende 'best practices' te implementeren; c) voor hetontwikkelen van organisatie­specifieke richtlijnen voor informatie­beveiligings­beheer.


De ISO 27002 is een internationale standaard voor informatiebeveiliging die richtlijnen en best practices biedt voor het implementeren van beheersmaatregelen (controls) om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen. De standaard is bedoeld als een handleiding voor organisaties om een robuust informatiebeveiligingssysteem op te zetten en te onderhouden en vormt een belangrijke aanvulling op de ISO 27001-norm, die zich richt op de eisen voor een Information Security Management System (ISMS).

Belangrijke elementen van ISO 27002

ISO 27002 biedt een set van maatregelen die organisaties kunnen gebruiken om hun informatiebeveiliging te verbeteren. Deze maatregelen zijn gegroepeerd in verschillende domeinen, elk gericht op een specifiek aspect van beveiliging:

  1. Beleid voor informatiebeveiliging: Definieert de rollen, verantwoordelijkheden en regels voor informatie­beveiliging binnen een organisatie.

  2. Organiseren van informatiebeveiliging: Richtlijnen voor het opzetten van een gestructureerde informatie­beveiligings­organisatie, inclusief toewijzing van rollen en verantwoordelijkheden.

  3. Beveiliging van middelen: Regels en maatregelen voor het beschermen van bedrijfsmiddelen zoals hardware, software, en data.

  4. Beveiliging van mensen: Richt zich op bewustwording, training, en screening van medewerkers om de risico’s die door menselijke fouten of opzet ontstaan te beperken.

  5. Fysieke en omgevingsbeveiliging: Beveiliging van fysieke locaties en apparatuur tegen ongeoorloofde toegang en omgevingsrisico’s.

  6. Communicatie- en bedrijfsvoeringbeheer: Maatregelen voor het beveiligen van communicatie en operationele processen om continuïteit van bedrijfs­voering te garanderen.

  7. Toegangsbeveiliging: Beheersmaatregelen om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot informatie en systemen.

  8. Aanschaf, ontwikkeling en onderhoud van informatiesystemen: Richtlijnen voor het beveiligen van systemen tijdens het ontwikkelen, implementeren en onderhouden ervan.

  9. Informatiebeveiligingsincidentbeheer: Processen en procedures voor het identificeren, melden en reageren op beveiligings­incidenten.

  10. Continuïteitsbeheer van informatiebeveiliging: Maatregelen om ervoor te zorgen dat informatiebeveiliging ook tijdens noodsituaties en onderbrekingen in werking blijft.

  11. Naleving: Richtlijnen om te voldoen aan wettelijke, contractuele en interne eisen voor informatiebeveiliging.

Doel van ISO 27002

ISO 27002 is bedoeld als richtlijn voor organisaties die hun beveiligingsbeleid en maatregelen willen verbeteren of professionaliseren. Door het gebruik van deze standaard kunnen organisaties de risico’s met betrekking tot informatiebeveiliging effectief beheren, voldoen aan regelgeving en bijdragen aan het vertrouwen van klanten en partners.

Verschillen met ISO 27001

Waar ISO 27001 focust op de eisen voor het ISMS en een raamwerk biedt voor de implementatie en het beheer van informatiebeveiliging, gaat ISO 27002 dieper in op de specifieke beheersmaatregelen en biedt het praktische richtlijnen. ISO 27002 kan worden gezien als een aanvulling op ISO 27001, en veel organisaties gebruiken ze samen voor een compleet informatiebeveiligingsprogramma.

Samengevat

ISO 27002 biedt gedetailleerde richtlijnen voor informatiebeveiliging en vormt een belangrijke bron voor organisaties die hun beveiligingsmaatregelen willen structureren en verbeteren. De standaard is flexibel en toepasbaar op allerlei soorten organisaties, ongeacht hun grootte of sector.