ISO 27002 uitgelegd:uw blauwdruk voor robuuste informatiebeveiligingscontroles

De Internationale Organisatie voor Standaardisatie (ISO) is een niet-gouvernementele entiteit die bestaat om normen te maken voor voornamelijk technische onderwerpen. ISO 27002 is een reeks normen en procedures die informatiebeveiliging afdwingen en controles uitvoeren waarmee een bedrijf de juiste beveiliging kan uitvoeren. Tot 2005 droeg ISO 27002 nog twee andere namen. Deze norm wordt grotendeels aangevuld door ISO 27001, waarin de managementtaken zoals risicobeoordeling en het beoordelen van de beveiliging worden beschreven, in plaats van het controleaspect van 27002.

Er gingen twee normen vooraf aan de ISO 27002, elk vergelijkbaar qua onderwerp en qua beheersing. De eerste incarnatie was in 1995 en verscheen in het Verenigd Koninkrijk (VK) als BS7799. Nadat het was opgeschoond en gemoderniseerd, werd het opnieuw gepubliceerd door de ISO, dit keer als ISO 17799. In 2005 kreeg het, na verdere bewerkingen, de naam ISO 27002. Hoewel elke versie anders is en achtereenvolgens modernere problemen en controles belicht, hebben alle drie de incarnaties te maken met informatiebeveiliging.

De 27002-standaard belicht honderden manieren om met informatiebeveiliging om te gaan en bevat veel verschillende hoofdstukken voor de verschillende aspecten van het beveiligen van informatie. Sommige hoofdstukken gaan over human resources en hun interactie met informatie, terwijl andere een bedrijf vertellen hoe de toegang en bedrijfscontinuïteit kan worden gecontroleerd met behulp van hun beveiligingsprocedures. Informatiebeveiliging impliceert meestal informatietechnologie (IT), maar ISO 27002 heeft ook betrekking op papieren informatie en bedrijfsmiddelen, hoewel het grootste deel van de norm gericht is op de IT-afdeling.

In de eerste release was de 27002-standaard bedoeld als een brede standaard voor alle instellingen die informatiebeveiliging nodig hadden. Dit betekent dat een onderneming, een instelling zonder winstoogmerk, een overheidsinstantie en een bedrijf allemaal dezelfde standaard zouden volgen. Toekomstige publicaties van deze standaard zijn gericht op het scheiden van de standaard voor verschillende sectoren om efficiënter te zijn.

ISO 27002 gaat gedetailleerd in op de controles en procedures die betrokken zijn bij het veilig houden van informatie. Andere normen, zoals de aanvullende ISO 27001, bieden slechts één of twee zinnen over de controle. In plaats daarvan gaat 27002 zeer gedetailleerd in op de controle, maar biedt weinig in het geval van management. Met de ISO 27001 zijn alle managementaspecten vastgelegd.

Veel mensen verwarren de ISO 27001 en 27002, omdat ze dezelfde onderwerpen op verschillende manieren behandelen. Dit betekent dat veel mensen zich afvragen waarom de standaard in twee delen is verdeeld. De reden hiervoor is dat, als beide delen samen zouden bestaan, het te lang zou zijn voor één publicatie.

About Mechanics streeft ernaar nauwkeurige en betrouwbare informatie te verstrekken. We selecteren zorgvuldig gerenommeerde bronnen en hanteren een rigoureus proces van factchecking om aan de hoogste normen te voldoen. Lees ons redactionele proces voor meer informatie over onze toewijding aan nauwkeurigheid.