ISO 27002
ISO/IEC 27002 is een internationale norm voor informatiebeveiliging die richtlijnen en algemene principes biedt voor het initiëren, implementeren, handhaven en verbeteren van informatiebeveiligingsbeheer binnen een organisatie. De norm is ontwikkeld en gepubliceerd door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC). Het vormt een aanvulling op en ondersteunt ISO/IEC 27001, de norm voor informatiebeveiligingsbeheersystemen (ISMS).
ISO/IEC 27002 is van toepassing op organisaties van elke omvang en uit verschillende sectoren en helpt hen bij het identificeren en beheren van de risico's die verbonden zijn aan de vertrouwelijkheid, integriteit en beschikbaarheid van hun informatie. De norm bevat aanbevelingen voor de implementatie van beveiligingscontroles die zijn afgestemd op de specifieke behoeften van de organisatie en de geïdentificeerde risico's.
De norm is opgebouwd rond een reeks van 14 beveiligingsdomeinen die samen een uitgebreid overzicht bieden van informatiebeveiligingsaspecten. Deze domeinen omvatten onder meer:
- Informatiebeveiligingsbeleid
- Organisatie van informatiebeveiliging
- Personeelsbeveiliging
- Toegangsbeheer
- Cryptografie
- Fysieke en omgevingsbeveiliging
- Beheer van bedrijfsmiddelen
- Beveiliging van communicatie en operaties
- Beveiliging van systeem- en netwerkacquisitie, -ontwikkeling en -onderhoud
- Beheer van informatiebeveiligingsincidenten
- Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- Naleving
Organisaties kunnen ISO/IEC 27002 gebruiken als leidraad bij het ontwikkelen en verbeteren van hun informatiebeveiligingspraktijken en als basis voor het voldoen aan andere normen, wet- en regelgeving op het gebied van informatiebeveiliging.