🚨 NIS2 is nu van kracht. Bewustwording op het gebied van informatiebeveiliging is nu wettelijk verplicht in de EU.

Check compliance
Start je gratis proefperiode
Terug naar het Resource Center

Verschil tussen ISO 27001 en ISO 27002

ISO 27001 en ISO 27002 worden vaak in één adem genoemd, maar het zijn niet dezelfde normen. De ene is een certificeringsnorm, de andere een praktische handleiding. Iedereen die informatiebeveiliging serieus neemt, heeft baat bij beide, maar op verschillende manieren.

Wat is ISO 27001?

ISO 27001 is de internationale norm voor informatiebeveiliging. Deze norm beschrijft de eisen voor een Informatiebeveiligingsbeheersysteem (ISMS): een samenhangend geheel van beleidsregels, processen en maatregelen om informatie te beschermen. Organisaties kunnen zich laten certificeren volgens ISO 27001, wat betekent dat een onafhankelijke auditor controleert of aan de eisen wordt voldaan.

De standaard definieert wat je moet regelen, niet hoe. Denk aan: risk assessments, interne audits, betrokkenheid van het management en het trainen van medewerkers in security awareness. Dit laatste staat expliciet vermeld in Annex A van de standaard.

Wat is ISO 27002?

ISO 27002 is de praktische uitwerking van de beveiligingsmaatregelen die ISO 27001 voorschrijft. Waar 27001 stelt dat je maatregelen moet nemen, legt 27002 uit hoe je die moet implementeren. Je kunt je niet laten certificeren volgens ISO 27002: het is een richtlijn, geen certificeringsnorm.

In 2022 werd ISO 27002 grondig herzien. Het aantal controls daalde van 114 naar 93, verdeeld over vier categorieën: organisatorisch, mensen, fysiek en technologisch. Security Awareness Training valt onder de categorie 'mensen'.

Verschil ISO 27001 en ISO 27002 in één oogopslag

ISO 27001 ISO 27002
Type Certificeringsnorm Richtlijn
Doel Vereisten voor een ISMS Richtlijnen voor het invoeren van controles
Is certificering mogelijk? Ja Nee
Aantal controles 93 (via bijlage A) 93 (uitgesplitst per controlegroep)
Verplicht? Voor certificering: ja Aanbevolen als naslagwerk
Doelgroep Het management, de accountants Beveiligingsteams, implementators

Welke norm heb je nodig?

Als je aan klanten, partners of toezichthouders wilt laten zien dat je informatiebeveiliging serieus neemt, is ISO 27001-certificering het doel. ISO 27002 dient als leidraad tijdens de implementatie: het helpt je te begrijpen welke maatregelen zinvol zijn en hoe je die in de praktijk kunt brengen.

De twee normen vullen elkaar aan. ISO 27001 zonder ISO 27002 is als bouwen zonder bouwtekening. ISO 27002 zonder ISO 27001 is weten hoe, maar niet weten waarom.

De rol van Security Awareness Training

Zowel ISO 27001 als ISO 27002 vereisen dat medewerkers getraind worden in informatiebeveiliging. ISO 27001 stelt dit als een vereiste (Annex A, control 6.3), terwijl ISO 27002 uitlegt hoe je die training effectief maakt: regelmatig, rol-specifiek en meetbaar.

Eenmalige e-learningmodules of jaarlijkse workshops voldoen in de praktijk zelden aan die eis. Guardey helpt organisaties om te voldoen aan de ISO 27001-eisen voor security awareness training, met wekelijkse microtrainingen, phishing simulaties en rapporten die klaar zijn voor audits.

Security awareness training dat voldoet aan ISO 27001

Guardey helpt organisaties om zonder gedoe te voldoen aan de opleidingsvereisten van ISO 27001. Vraag een demo aan en ontdek zelf wat het platform voor jouw organisatie kan betekenen.

Plan een demo
Dinela Lokvancic
Dinela Lokvancic Marketing Specialist Dinela houdt Guardey's online aanwezigheid up-to-date. Ze creëert content die complexe cybersecurity-onderwerpen toegankelijk maakt en helpt organisaties begrijpen waarom security awareness training belangrijk is voor hun teams.
KLAAR OM TE BEGINNEN?

Sluit je aan bij meer dan 500 bedrijven die hun teams al beschermen met Guardey

Start je gratis proefperiode van 14 dagen
14 dagen gratis · Geen creditcard nodig · Volledige toegang · Binnen 5 minuten klaar
Of plan een persoonlijke demo