Wat is ISO 27002?
ISO/IEC 27002 is de internationale praktijkrichtlijn (in het Engels code of practice) voor beheersmaatregelen op het gebied van informatiebeveiliging. Waar veel normen alleen vóórschrijven wát een organisatie moet regelen, doet ISO 27002 iets anders: de norm beschrijft per beheersmaatregel uitgebreid het doel, geeft richtlijnen voor de implementatie en voorziet elke maatregel van toelichting. Het is daarmee het dikste en meest praktische document uit de hele ISO 27000-reeks — eerder een handboek dan een eisenlijst.
De volledige titel van de actuele versie luidt "Information security, cybersecurity and privacy protection — Information security controls". Die titel maakt meteen duidelijk dat de scope sinds 2022 breder is getrokken dan klassieke informatiebeveiliging: ook cybersecurity en privacybescherming vallen er nadrukkelijk onder. De norm wordt beheerd door het gezamenlijke technische comité ISO/IEC JTC 1/SC 27 en is wereldwijd het meest gebruikte naslagwerk voor securitymaatregelen.
Belangrijk om te begrijpen: ISO 27002 is zelf geen certificeerbare norm. Je kunt er geen certificaat voor behalen. De norm bestaat om de beheersmaatregelen van ISO 27001 — die in Annex A van die norm staan opgesomd — begrijpelijk en uitvoerbaar te maken. Certificeren doe je tegen ISO 27001; ISO 27002 is het gereedschap waarmee je de maatregelen daadwerkelijk inricht.
ISO 27002 versus ISO 27001: wát versus hóe
De relatie tussen beide normen is de meest gestelde vraag in dit onderwerp, en het antwoord is eenvoudiger dan het lijkt. Beide horen bij elkaar, maar ze hebben een totaal andere rol:
| ISO/IEC 27001 | ISO/IEC 27002 | |
|---|---|---|
| Type | Eisennorm (requirements) | Praktijkrichtlijn (guidance) |
| Antwoord op | Wát moet je regelen? | Hóe richt je het in? |
| Inhoud | Het managementsysteem (ISMS) plus Annex A met de korte lijst beheersmaatregelen | Per maatregel een uitgebreide toelichting en implementatierichtlijn |
| Certificeerbaar? | Ja | Nee |
In de praktijk werk je dus met beide tegelijk. Annex A van ISO 27001 bevat exact dezelfde 93 beheersmaatregelen als ISO 27002, maar dan in één regel per maatregel — net genoeg om te bepalen of een control van toepassing is. Zodra je wilt weten hóe je zo'n maatregel implementeert, sla je ISO 27002 open en lees je de bijbehorende paragraaf met doel, richtlijnen en aandachtspunten. Een handige vuistregel: Annex A is de inhoudsopgave, ISO 27002 is het boek.
De grote herziening van 2022
De vorige editie van ISO 27002 stamde uit 2013 en deelde de maatregelen in over veertien hoofdstukken (domeinen). In februari 2022 verscheen ISO/IEC 27002:2022, een ingrijpende herziening die de norm bij de tijd bracht. De belangrijkste wijzigingen op een rij:
- Het aantal beheersmaatregelen daalde van 114 naar 93. Dat klinkt als een uitdunning, maar in werkelijkheid zijn er vooral controls samengevoegd: 57 oude maatregelen zijn geconsolideerd tot 24 nieuwe, en één maatregel is gesplitst in twee.
- Er kwamen 11 volledig nieuwe controls bij die inspelen op moderne dreigingen zoals cloudgebruik, threat intelligence en datalekpreventie.
- De veertien domeinen werden vervangen door vier overzichtelijke thema's.
- Elke maatregel kreeg een set attributen waarmee je de controls kunt filteren en koppelen aan andere kaders.
Voor organisaties die al gecertificeerd waren tegen de oude versie gold een transitieperiode. Die liep af op 31 oktober 2025: sindsdien zijn alle geldige ISO 27001-certificaten gebaseerd op de 2022-structuur en de bijbehorende ISO 27002:2022-maatregelen. Wie nu met de norm begint, werkt dus automatisch met de actuele indeling.
De vier thema's en 93 controls
De kern van de herziening is de overstap van veertien domeinen naar vier thema's. Die indeling is intuïtiever en sluit beter aan op de manier waarop organisaties hun beveiliging organiseren. Elke maatregel heeft een nummer dat begint met het clausulenummer van het thema (5 tot en met 8):
| Thema (clausule) | Aantal controls | Voorbeelden |
|---|---|---|
| 5. Organisatorische maatregelen | 37 | Informatiebeveiligingsbeleid, rollen en verantwoordelijkheden, leveranciersbeheer, classificatie van informatie |
| 6. Maatregelen voor mensen | 8 | Screening, arbeidsvoorwaarden, bewustwording en training, melden van incidenten |
| 7. Fysieke maatregelen | 14 | Beveiligde zones, toegangsbeveiliging, clear desk, bescherming van apparatuur en bekabeling |
| 8. Technologische maatregelen | 34 | Toegangsrechten, encryptie, logging en monitoring, back-up, veilige ontwikkeling |
Samen vormen deze vier thema's exact 93 maatregelen. Het zwaartepunt ligt op de organisatorische en technologische thema's, die samen ruim driekwart van alle controls bevatten. Dat onderstreept een belangrijke boodschap van de norm: informatiebeveiliging is geen puur technische kwestie. Beleid, leveranciersafspraken en heldere verantwoordelijkheden wegen minstens zo zwaar als firewalls en encryptie.
De 11 nieuwe controls
De meeste aandacht bij de herziening ging uit naar de 11 nieuwe beheersmaatregelen. Ze weerspiegelen de dreigingen en technologieën die in 2013 nog niet of nauwelijks speelden — van clouddiensten tot datalekpreventie. Voor iedereen die met de norm werkt, is dit de lijst om te kennen:
| Nr. | Nieuwe control | Waar het over gaat |
|---|---|---|
| 5.7 | Threat intelligence | Dreigingsinformatie verzamelen en analyseren om proactief maatregelen te nemen |
| 5.23 | Informatiebeveiliging bij cloudgebruik | Beveiligingseisen rond het afnemen, gebruiken en beëindigen van clouddiensten |
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | ICT-herstel afstemmen op continuïteitsdoelstellingen (link met ISO 22301) |
| 7.4 | Fysieke beveiligingsmonitoring | Permanente bewaking van panden en zones, bijvoorbeeld met camera's en alarmen |
| 8.9 | Configuratiebeheer | Veilige configuraties van hardware, software en netwerken vastleggen en bewaken |
| 8.10 | Informatie verwijderen | Data verwijderen zodra die niet langer nodig is, mede met het oog op de AVG |
| 8.11 | Datamaskering | Gevoelige gegevens afschermen via maskering, pseudonimisering of anonimisering |
| 8.12 | Datalekpreventie (DLP) | Technische maatregelen tegen ongeoorloofde uitstroom van informatie |
| 8.16 | Monitoringactiviteiten | Netwerken, systemen en applicaties bewaken op afwijkend gedrag |
| 8.23 | Webfiltering | Toegang tot kwaadaardige of ongewenste websites beperken |
| 8.28 | Veilig programmeren | Secure coding-principes toepassen tijdens softwareontwikkeling |
Een rode draad door deze nieuwe controls is de verschuiving naar proactieve en cloudgerichte beveiliging. Threat intelligence, monitoring en datalekpreventie gaan over het vroegtijdig signaleren van dreigingen, terwijl de cloud- en configuratiecontrols aansluiten op de manier waarop organisaties hun IT vandaag inrichten.
Op zoek naar een baan in IT-security en compliance?
Professionals die normen als ISO 27001 en ISO 27002 kunnen implementeren, auditen en borgen zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor security-, audit- en compliancespecialisten in Nederland.
Bekijk Security VacaturesHet attributensysteem: filteren met hashtags
Naast de nieuwe indeling introduceerde ISO 27002:2022 een slim hulpmiddel: attributen. Elke maatregel is voorzien van vijf soorten kenmerken (in de norm weergegeven met een #hashtag-notatie) waarmee je de 93 controls vanuit verschillende invalshoeken kunt sorteren en filteren. Dat maakt het bijvoorbeeld mogelijk om in één oogopslag alle preventieve maatregelen of alle maatregelen die over ‘identity and access management’ gaan bij elkaar te zetten.
| Attribuut | Wat het beschrijft |
|---|---|
| Control type | Wanneer de maatregel werkt: preventief, detecterend of correctief |
| Information security properties | Welk principe wordt geraakt: vertrouwelijkheid, integriteit of beschikbaarheid |
| Cybersecurity concepts | Aansluiting op de NIST-functies: identify, protect, detect, respond, recover |
| Operational capabilities | Het operationele vakgebied, zoals governance, asset management of systeembeveiliging |
| Security domains | Het bredere domein, zoals governance & ecosystem, protection, defence of resilience |
De attributen zijn niet verplicht en spelen geen rol bij de certificering, maar ze zijn in de praktijk enorm waardevol. Door de koppeling met de NIST Cybersecurity Framework-functies (identify, protect, detect, respond, recover) sluit ISO 27002 naadloos aan op andere kaders, wat het werk van security officers en auditors die in meerdere frameworks moeten rapporteren aanzienlijk vereenvoudigt.
Van ISO 27002 naar de Verklaring van Toepasselijkheid
Hoe komen de maatregelen uit ISO 27002 nu concreet terug in een certificeringstraject? Via de Verklaring van Toepasselijkheid (Statement of Applicability, SoA) — een verplicht document binnen ISO 27001. In de SoA neem je alle 93 controls op en geef je per maatregel aan of die van toepassing is, waarom wel of niet, en hoe je hem hebt geïmplementeerd. De keuze om een maatregel op te nemen volgt uit je risicobeoordeling.
Bij die invulling is ISO 27002 onmisbaar: voor elke maatregel die je toepast, raadpleeg je de bijbehorende paragraaf om te bepalen wat een passende invulling is. De 11 nieuwe controls verdienen daarbij extra aandacht, omdat organisaties die overstapten van de oude versie deze maatregelen expliciet moeten beoordelen en in hun SoA verantwoorden — ook als ze besluiten een control níet toe te passen. Een auditor zal tijdens een ISO 27001-audit de SoA als rode draad gebruiken om te toetsen of de gekozen maatregelen ook werkelijk in de praktijk functioneren.
ISO 27002 en aanpalende kaders
ISO 27002 staat niet op zichzelf. De maatregelen vormen een gemeenschappelijke taal die in tal van andere normen en wetten terugkomt. De belangrijkste verbanden:
- ISO 27001: de directe partner. ISO 27001 bevat de eisen en de Annex A-lijst; ISO 27002 levert de toelichting. Je gebruikt ze altijd samen.
- NIS2 en de Cyberbeveiligingswet: de NIS2-richtlijn eist passende technische en organisatorische maatregelen. De controls uit ISO 27002 vormen een uitstekende basis om aan die zorgplicht aantoonbaar invulling te geven.
- BIO: de Baseline Informatiebeveiliging Overheid is gebaseerd op de ISO 27001/27002-structuur, waardoor overheidsorganisaties dezelfde maatregelenset hanteren.
- Privacy en de cloud: verdiepende normen als ISO 27017 (cloudbeveiliging), ISO 27018 (privacy in de cloud) en ISO 27701 (privacymanagement) bouwen rechtstreeks voort op ISO 27002 en breiden de maatregelen uit naar specifieke contexten.
- Assurance: serviceorganisaties vertalen hun ISO 27002-maatregelen vaak naar een SOC 2-rapportage om klanten extra zekerheid te geven over hun beheersmaatregelen.
Wat ISO 27002 betekent voor jouw carrière
Doordat vrijwel elke serieuze organisatie tegenwoordig met ISO 27001 werkt — gedreven door klanteisen, NIS2 en aanbestedingen — is praktische kennis van de onderliggende ISO 27002-maatregelen een gewild profiel. Wie de 93 controls niet alleen kan opsommen maar ook kan vertalen naar werkbare implementaties, is waardevol in een breed scala aan functies:
- IT security officer en CISO-office: verantwoordelijk voor het selecteren, implementeren en onderhouden van de beheersmaatregelen en de SoA;
- IT-compliance auditor en IT security auditor: beoordelen of de gekozen controls aanwezig en effectief zijn;
- GRC-manager en risk-specialist: verbinden de maatregelen met de risicobeoordeling en het bredere governancekader;
- Security consultant en ISMS-coördinator: begeleiden organisaties bij het inrichten en certificeren van hun managementsysteem.
Het sterkste profiel combineert kennis van de norm met een erkende certificering. Trajecten als de ISO 27001 Lead Implementer en Lead Auditor behandelen de ISO 27002-maatregelen in detail, en certificeringen als CISSP en CISA sluiten daar goed op aan. De onderliggende trend is duidelijk: informatiebeveiliging is van een IT-onderwerp een bestuurlijke prioriteit geworden, en daarmee blijft de vraag naar specialisten die de maatregelen aantoonbaar kunnen inrichten en toetsen onverminderd hoog. Bekijk de actuele security- en compliancevacatures om te zien welke werkgevers op zoek zijn, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.