FS:Nen-isoiec-27001

Uit NORA Online
FS:Nen-isoiec-27001 /
Versie door Jdirks2 (overleg | bijdragen) op 28 sep 2018 om 17:55 (Tekst vervangen - '{{FS-standaard' door '<!--TS:20180928000000-->{{FS-standaard')
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF

Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Nen-isoiec-27001

Over de standaard
Lijst status
Beschrijving Informatiebeveiliging richtlijn
Uitleg
Nut De NEN-ISO/IEC 27001 standaard bevat eisen waar het managementsysteem voor informatiebeveiliging aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleid voor informatiebeveiliging. Dit zorgt voor duidelijkheid in de relatie tussen (overheids-)opdrachtgever en leveranciers van ICT-producten en -diensten. Met de standaarden kunnen leveranciers aantonen dat zij aan de vereiste informatiebeveiligingsnormen voldoen. Bij certificering wordt ook tegen deze norm geaudit.
Werking Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl
Waarvoor geldt de verplichting
Aanvullende verplichtingen
Trefwoorden
Detailinformatie
Beheerorganisatie NEN
Uitstekend beheer
Specificatiedocument https://www.nen.nl/NEN-Shop/Norm/NENENISOIEC-270012017-en.htm, https://lees-rijk.nl
Volledige naam NEN-ISO/IEC 27001:2013
Versie NEN-ISO/IEC 27001:2013
Inkoop
Aandachtspunten

In het geval van aanbesteding van ICT-producten, stellen overheidsinstellingen vaak de volgende eisen aan haar leverancier:
​Te voldoen aan het informatiebeveiligingsbeleid van de overheidsinstelling.
De informatiebeveiliging moet zowel organisatorisch als technisch op een adequaat niveau zijn.
Leveranciers voldoen als zodanig niet aan de baselines informatiebeveiliging, maar dienen te voldoen aan ISO/IEC 27001 en de maatregelen uit de 27002 standaard. Dit conform de 'pas toe of leg uit'-lijst. 
Additioneel kunnen aanvullende geformuleerde beveiligingseisen worden geëist. Deze additionele beveiligingseisen die voor de dienst of het betreffende systeem van belang zijn kunnen zijn afgeleid van de desbetreffende baseline.

Afhankelijk van het product dat wordt gevraagd kan het voldoen aan ISO/IEC 27001 en 27002 worden aangetoond door een 27001 of gelijkwaardig certificaat te overleggen, inclusief een toelichting op de getroffen beveiligingsmaatregelen conform de 27002 standaard. De woorden 'of gelijkwaardig' dient te worden vermeld. Dit betekent dat door aanbieders aangedragen alternatieve oplossingen die aan de specificaties voldoen niet mogen worden afgewezen. In de context van deze selectie-eis worden de baselines informatiebeveiliging als gelijkwaardig aan ISO 27002:2013 beschouwd. Op basis van het aangeleverde certificaat stelt de overheidsinstelling vast of de scope van het certificaat overeenkomt met de af te nemen ICT-producten en of de getroffen beveiligingsmaatregelen voldoende zekerheid biedt. Hiermee geeft de overheidsinstelling zichzelf zekerheid over de mate waarin de leverancier in control is van de uitgevoerde beveiligingsmaatregelen. Het kan gezien de marktsituatie te zwaar zijn om van alle gegadigden volledige certificatie te vragen. Een en ander is tevens afhankelijk van de risico-inschatting van de gegevensverwerking en de aard van de dienstverlening.
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest
Domein
Relatie met andere standaarden
    Toelichting
    Toetsingsinformatie
    Hulpmiddelen
    Functioneel toepassingsgebied

    NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem.

    Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.
    Organisatorisch werkingsgebied Overheden en instellingen uit de publieke sector.
    Toelichting bij opname
    Datum van aanmelding
    Datum van besluit
    Europese status (MSP)
    Documentatie
      Forum-Adviezen
      Advies aan beheerder
      Adoptieadviezen

      Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
      De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden;
      Op de ‘pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen;
      De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek;
      Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging;

      In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
      Leveranciers

      De volgende leveranciers hebben het leveranciersmanifest ondertekend m.b.t. deze standaard:

      Lost Lemon
      bijlagen:
      Copyright
      Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

      Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

      Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

      De omschrijving van het functionele gebruik van de voorziening

      Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

      Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Nen-isoiec-27001&oldid=32276"