FS:Nen-isoiec-27002: verschil tussen versies

Uit NORA Online
FS:Nen-isoiec-27002
Naar navigatie springen Naar zoeken springen
k (Tekst vervangen - '{{FS-standaard' door '<!--TS:20180928000000-->{{FS-standaard')
k (fix relatie)
 
(7 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
<!--TS:20180928000000-->{{FS-standaard
{{#element:
|Naam=NEN-ISO/IEC 27002
|Elementtype=FS-Standaard
|Omschrijving=Informatiebeveiliging richtlijn
|Concept-pagina FS=Nee
|Lijst=Verplicht (pas toe leg uit)
|Titel=NEN-ISO/IEC 27002
|Nut=De NEN-ISO/IEC 27002 standaard is een “best practice” van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van de NEN-ISO/IEC 27001.
|Introductie=De norm ISO 27002 bestaat uit voorbeelden van generieke beheersmaatregelen voor informatiebeveiliging in een organisatie. Ieder voorbeeld komt met richtlijnen voor het initiëren, implementeren, onderhouden en verbeteren ervan. ISO 27002 wordt gebruikt in relatie tot NEN ISO 27001 en helpt om een managementsysteem voor informatiebeveiliging te (her)ontwikkelen.
|Status lijst Forum Standaardisatie=Verplicht (pas toe leg uit)
|Functioneel toepassingsgebied=NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.
|Organisatorisch werkingsgebied=Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
|Omschrijving=Richtlijnen en principes voor informatiebeveiliging
|Nut=De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001
|Werking=ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie.


|Trefwoorden=Beveiliging, Informatiemanagement
De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen.
|Beheerorganisatie=NEN
|Domein Forum Standaardisatie=Veilig internet
|Specificatiedocument=https://www.nen.nl/NEN-Shop/Norm/NENENISOIEC-270022017-en.htm, https://lees-rijk.nl/
|Trefwoorden Forum Standaardisatie=Informatiebeveiliging, Informatiemanagement
|Community=Normencommissie [https://www.nen.nl/elasticsearch/?search=NEN-ISO%2FIEC%2027002&sortmode=asc&limit=20&viewmode=list Cybersecurity en gegevensbescherming.]
|Toelichting bij opname lijst Forum Standaardisatie=Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst.
 
==== Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017 ====
 
De [https://bio-overheid.nl/ Baseline Informatiebeveiliging Overheid (BIO)] is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.
|Uitstekend beheer=Nee
|Datum van besluit lijst Forum Standaardisatie=2015-05-18
|Volledige naam=NEN-ISO/IEC 27002:2013
|Volledige naam=NEN-ISO/IEC 27002:2013
|Versie=NEN-ISO/IEC 27002:2013
|Versie=NEN-ISO/IEC 27002:2013
|Relatie met andere standaarden=NEN-ISO/IEC 27001
|Specificatiedocument=https://www.nen.nl/nen-en-iso-iec-27002-2017-nl-245390 , https://lees-rijk.nl/
|Toelichting=27001 beschrijft de eisen om de risico’s op het gebied van informatiebeveiliging te kunnen beheersen (organisatorisch, technisch). De bijbehorende 27002 standaard is een “best practice” van beveiligingsmaatregelen om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening.<br />
|Beheerorganisatie=NEN
Na plaatsing op de 'pas-toe-of-leg-uit' lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden.  Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017.  Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'pas-toe-of-leg-uit' lijst.<br />
|Adoptieadviezen=Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'pas toe of leg uit' lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.
 
|Domein=Internet & Beveiliging
|Adoptieadviezen=Voor meer informatie over de adoptie adviezen van het Forum ga naar NEN-ISO/IEC27001 op de lijst.
 
|Functioneel toepassingsgebied=NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.<br />
Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.<br />
 
 
|Organisatorisch werkingsgebied=Overheden en instellingen uit de publieke sector.


|Toelichting bij opname=Als overheden voldoen aan de sectorale Baselines Informatiebeveiliging dan voldoen ze daarmee ook aan de ISO27002 norm. Voor meer informatie over opnamen van de standaard ga naar NEN-ISO/IEC27001 op de lijst.<br />
# De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard NEN-ISO/IEC 27002 aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.
# Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
# De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
# Het is geen eis om deze standaarden bij ''alle ''inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
# In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
|Opgenomen op Europese lijst MSP=Nee
|Implementatiehulpmiddelen=Zie voor meer informatie over de diverse baselines de website van de [https://www.noraonline.nl/wiki/Kaders_beveiliging NORA]. 


|Datum van besluit=18-05-2015
In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.    
|Documentatie=https://www.forumstandaardisatie.nl/sites/bfs/files/Onderzoek%20nieuwe%20versie%20NEN-ISO-IEC%2027001%2027002_0.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20ISO%2027001%20en%2027002_0.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Reacties%20uit%20de%20openbare%20consultatie_0.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Forum%20advies%20ISO27001%20en%2027002_0.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Advies%20Nationaal%20Beraad_0.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_11.pdf
|Relatie met andere FS-standaarden=FS:Nen-isoiec-27001
}}
}}

Huidige versie van 9 mei 2023 om 23:03

Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Nen-isoiec-27002

De norm ISO 27002 bestaat uit voorbeelden van generieke beheersmaatregelen voor informatiebeveiliging in een organisatie. Ieder voorbeeld komt met richtlijnen voor het initiëren, implementeren, onderhouden en verbeteren ervan. ISO 27002 wordt gebruikt in relatie tot NEN ISO 27001 en helpt om een managementsysteem voor informatiebeveiliging te (her)ontwikkelen.
Over de standaard
Lijst status Verplicht (pas toe leg uit)
Beschrijving Richtlijnen en principes voor informatiebeveiliging
Uitleg
Nut De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001. 
Werking

ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie.

De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen.
Waarvoor geldt de verplichting
Aanvullende verplichtingen
Trefwoorden Informatiebeveiliging, Informatiemanagement
Detailinformatie
Beheerorganisatie NEN
Uitstekend beheerNee
Specificatiedocument https://www.nen.nl/nen-en-iso-iec-27002-2017-nl-245390 , https://lees-rijk.nl/
Volledige naam NEN-ISO/IEC 27002:2013
Versie NEN-ISO/IEC 27002:2013
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest
Domein

Veilig internet

Relatie met andere standaarden
Toelichting
Toetsingsinformatie
Hulpmiddelen

Zie voor meer informatie over de diverse baselines de website van de NORA

In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.    
Functioneel toepassingsgebied NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.
Organisatorisch werkingsgebied Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Toelichting bij opname

Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst.

Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017

De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.
Datum van aanmelding
Datum van besluit 2015-05-18
Europese status (MSP) Nee
Documentatie
    Forum-Adviezen
    Advies aan beheerder
    Adoptieadviezen

    Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:

    1. De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
    2. Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
    3. De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
    4. Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
    5. In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
    Leveranciers
    bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

    Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

    De omschrijving van het functionele gebruik van de voorziening

    Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

    Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Nen-isoiec-27002&oldid=68979"