NEN-ISO/IEC 27001

Uit NORA Online
(Verschil tussen bewerkingen)
Ga naar: navigatie, zoeken
({{Internetconsultaties}})
(met data in sjabloon consultatie)
Regel 1: Regel 1:
{{Internetconsultaties}}  
+
{{Internetconsultaties|begin=23 februari|eind=23 maart}}
 
{{#Element:
 
{{#Element:
 
|Elementtype=Standaard
 
|Elementtype=Standaard

Versie van 20 aug 2018 om 17:33

Van 23 februari t/m 23 maart is er een internetconsultatie van het Forum Standaardisatie over deze standaard.
Standaard.png
Naam: NEN-ISO/IEC 27001
ID: NEN-ISO/IEC 27001
Type: Standaard

Publicatiedatum: 2015/05/18



ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. Het ISMS is ontworpen met het oog op adequate en proportionele beveiligingsmaatregelen die de informatie afdoende beveiligen en vertrouwen bieden.


Waar toepasbaar

  • Toepassingsgebied: Specificeren van eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie.
  • Werkingsgebied: Alle overheden


Meer informatie



  • Beheerorganisatie: NEN



Gerelateerd

NEN-ISO/IEC 27002

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

Voorziening Toelichting Oordeel Relevantie Volgens bron Gepubliceerd op
BRI (Basisregistratie Inkomen) De BRI voldoet aan de standaard beveiligingseisen van de Belastingdienst. Deze eisen zijn conform VIR met classificatie departementaal vertrouwelijk. Voor opsporingsgegevens (FIOD) geldt een strakker regime. Aangezien het beveiligingskader voor de gehele Belastingdienst geldt, is er geen apart in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" voor de BRI. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
BRT (Basisregistratie Topografie) Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" opgenomen. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
BRV (Basisregistratie Voertuigen) RDW is ISO 27001/2 gecertificeerd. RDW voldoet niet aan alle extra voorschriften van de BIR, dat hoeft ook niet want RDW is gehouden aan de VIR (en met auditor is afgesproken dat voldoen aan de 27001/27002 norm gelijk staat aan voldoen aan de VIR). Er is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" van de 27001/27002 en de BKR-audit. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DigiD Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DigiD Machtigen Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DigiInkoop Digi-Inkoop voldoet aan de BIR. Er is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" afgegeven. Leveranciers voldoen aan ISO 27001. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Diginetwerk Deze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Digipoort DigiPoort voldoet aan de BIR. Leveranciers voldoen aan ISO 27001 of vergelijkbare standaard. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
MijnOverheid Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). De ICV's zijn nog up-to-date. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
NHR (Basisregistratie Handelsregister) De KvK is sinds 2016 ISO 27001 gecertificeerd en hanteert ISO27002. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Ondernemersplein Ondernemersplein is gehost bij de Kamer van Koophandel. Daar liep een ISO 27001 certificeringstraject en Ondernemersplein heeft dit inmiddels toegepast en is door een audit in april 2016 ook gecertificeerd hierop. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Stelsel Elektronische Toegangsdiensten De BIR is van toepassing op Logius, in het stelsel wordt certificering tegen ISO27001 geëist voor de deelnemers. De beheerorganisatie zelf is als stelselbeheerder ook gecertificeerd volgens ISO 27001. Daarvoor is ook een in controlstatement beschikbaar. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
BV BSN (Beheervoorziening BSN)
GBA-V (GBA Verstrekkingsvoorziening)
De Rijksdienst voor Identiteitsgegevens heeft een beveiligingsplan op basis van de BIR. Hier worden externe audits op gedaan. Er is een In Control Verklaring (ICV) aanwezig. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Doc-Direkt Voor de informatiesystemen waarvan Doc-Direkt eigenaar is, is in 2016 een 'in controle verklaring' opgesteld. Op de punten waar Doc-Direkt afwijkt is een uitleg gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat (explains) en er is een verbeterplan opgesteld. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DWR (Digitale Werkomgeving Rijksdienst) DWR voldoet aan de BIR en wordt hier ook op ge-audit. De laatste audit heeft plaatsgevonden in de periode 2015/2016. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
ODC-Noord ODC-Noord implementeert op dit moment de BIR. Er is nog geen in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’". De leveranciers van de rekencentra voldoen beide aan ISO 27001. Een BIR-audit op housing is uitgevoerd eind 2014. Er werd in 2016 een ADR (Audit DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Rijk) onderzoek uitgevoerd per departement. Dit richt zich o.a. op de opvolging die de departementen hebben gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan nog uit te voeren activiteiten genoemd o.a. in de bevindingen uit het BIR onderzoek van de ADR over 2015 (bijvoorbeeld in de vorm van verbeterplannen verankerd in jaarplannen), en op de onderbouwing (dossiervorming) bij de systemen voor het wel of niet voldoen aan de BIR. Het onderzoek is in januari 2017 gepubliceerd, en er loopt op dit moment een verbeterplan met betrekking tot de ADR bevindingen. Er is echter nog geen concrete datum bekend. voldoet niet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Overheid.nl Vanaf 2015 staat overheid.nl niet meer op die risicokaart van BZK en hoeft geen ICV meer worden afgegeven. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
P-Direkt De hosting van de dienstverleningssystemen van P-Direkt voldoet aan de BIR (BIR compliancy is integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van de inrichting van het ODC, en als zodanig daarmee ook voor P-Direkt). Echter, er bestaat bij de beheerorganisatie nog onduidelijkheid of de beheerorganisatie ook aan de BIR voldoet. Daarom staat de status hier op Deels. voldoet deels van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
PKIoverheid Primair is het Webtrust normenkader van toepassing op PKIoverheid. Dit kader kent strengere eisen dan deze ISO standaarden vereisen. Implementatie van de BIR is daarnaast uitgevoerd op basis van best effort. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Rijksoverheid.nl Hosting leverancier Ordina heeft een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIR-implementatie van het moederdepartement AZ. AZ is het enige departement dat zonder bevindingen door de ADR audits is gekomen. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Rijkspas De Rijkspas heeft een eigen normen- en beveiligingskader gebaseerd op ISO-9001 en 27001/2. Jaarlijks worden hier ook audits op gedaan, onder andere door de Audit DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Rijk. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
TenderNed TenderNed is ISO27001/2 gecertificeerd. Dit wordt jaarlijks geaudit. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018

Toelichting: Bouwstenen en gebruikte standaarden

Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen