ISO 27002 geeft een referentieverzameling van generieke beheersmaatregelen voor informatiebeveiliging met inbegrip van implementatierichtlijnen. Dit document is ontworpen om te worden gebruikt door organisaties: a) binnen de context van een managementsysteem voor informatiebeveiliging (ISMS) op basis van ISO/IEC 27001; b) om beheersmaatregelen voor informatiebeveiliging op basis van internationaal erkende 'best practices' te implementeren; c) voor hetontwikkelen van organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer.
De ISO 27002 is een internationale standaard voor informatiebeveiliging die richtlijnen en best practices biedt voor het implementeren van beheersmaatregelen (controls) om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen. De standaard is bedoeld als een handleiding voor organisaties om een robuust informatiebeveiligingssysteem op te zetten en te onderhouden en vormt een belangrijke aanvulling op de ISO 27001-norm, die zich richt op de eisen voor een Information Security Management System (ISMS).
Belangrijke elementen van ISO 27002
ISO 27002 biedt een set van maatregelen die organisaties kunnen gebruiken om hun informatiebeveiliging te verbeteren. Deze maatregelen zijn gegroepeerd in verschillende domeinen, elk gericht op een specifiek aspect van beveiliging:
Beleid voor informatiebeveiliging: Definieert de rollen, verantwoordelijkheden en regels voor informatiebeveiliging binnen een organisatie.
Organiseren van informatiebeveiliging: Richtlijnen voor het opzetten van een gestructureerde informatiebeveiligingsorganisatie, inclusief toewijzing van rollen en verantwoordelijkheden.
Beveiliging van middelen: Regels en maatregelen voor het beschermen van bedrijfsmiddelen zoals hardware, software, en data.
Beveiliging van mensen: Richt zich op bewustwording, training, en screening van medewerkers om de risico’s die door menselijke fouten of opzet ontstaan te beperken.
Fysieke en omgevingsbeveiliging: Beveiliging van fysieke locaties en apparatuur tegen ongeoorloofde toegang en omgevingsrisico’s.
Communicatie- en bedrijfsvoeringbeheer: Maatregelen voor het beveiligen van communicatie en operationele processen om continuïteit van bedrijfsvoering te garanderen.
Toegangsbeveiliging: Beheersmaatregelen om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot informatie en systemen.
Aanschaf, ontwikkeling en onderhoud van informatiesystemen: Richtlijnen voor het beveiligen van systemen tijdens het ontwikkelen, implementeren en onderhouden ervan.
Informatiebeveiligingsincidentbeheer: Processen en procedures voor het identificeren, melden en reageren op beveiligingsincidenten.
Continuïteitsbeheer van informatiebeveiliging: Maatregelen om ervoor te zorgen dat informatiebeveiliging ook tijdens noodsituaties en onderbrekingen in werking blijft.
Naleving: Richtlijnen om te voldoen aan wettelijke, contractuele en interne eisen voor informatiebeveiliging.
Doel van ISO 27002
ISO 27002 is bedoeld als richtlijn voor organisaties die hun beveiligingsbeleid en maatregelen willen verbeteren of professionaliseren. Door het gebruik van deze standaard kunnen organisaties de risico’s met betrekking tot informatiebeveiliging effectief beheren, voldoen aan regelgeving en bijdragen aan het vertrouwen van klanten en partners.
Verschillen met ISO 27001
Waar ISO 27001 focust op de eisen voor het ISMS en een raamwerk biedt voor de implementatie en het beheer van informatiebeveiliging, gaat ISO 27002 dieper in op de specifieke beheersmaatregelen en biedt het praktische richtlijnen. ISO 27002 kan worden gezien als een aanvulling op ISO 27001, en veel organisaties gebruiken ze samen voor een compleet informatiebeveiligingsprogramma.
Samengevat
ISO 27002 biedt gedetailleerde richtlijnen voor informatiebeveiliging en vormt een belangrijke bron voor organisaties die hun beveiligingsmaatregelen willen structureren en verbeteren. De standaard is flexibel en toepasbaar op allerlei soorten organisaties, ongeacht hun grootte of sector.