NEN-ISO/IEC 27001

Uit NORA Online
Versie door M.M.Vos (Overleg | bijdragen) op 20 aug 2018 om 17:33 (met data in sjabloon consultatie)

Ga naar: navigatie, zoeken
Van 23 februari t/m 23 maart is er een internetconsultatie van het Forum Standaardisatie over deze standaard.
Standaard.png
Naam: NEN-ISO/IEC 27001
ID: NEN-ISO/IEC 27001
Type: StandaardPublicatiedatum: 2015/05/18
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl
Informatiebeveiliging richtlijn


ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. Het ISMS is ontworpen met het oog op adequate en proportionele beveiligingsmaatregelen die de informatie afdoende beveiligen en vertrouwen bieden.


  • Nut: De NEN-ISO/IEC 27001 standaard bevat eisen waar het managementsysteem voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleid voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. Dit zorgt voor duidelijkheid in de relatie tussen (overheids-)opdrachtgever en leveranciers van ICT-producten en -diensten. Met de standaarden kunnen leveranciers aantonen dat zij aan de vereiste informatiebeveiligingsnormen voldoen. Bij certificering wordt ook tegen deze norm geaudit.


Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en het vaststellen van het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening (de scope) van dit managementsysteem.

Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Overheden en instellingen uit de publieke sector.

Meer informatie

Gerelateerd

NEN-ISO/IEC 27002, BIO (Baseline Informatiebeveiliging Overheid)

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BRI (Basisregistratie Inkomen)De BRI voldoet aan de standaard beveiligingseisen van de Belastingdienst. Deze eisen zijn conform VIR met classificatie departementaal vertrouwelijk. Voor opsporingsgegevens (FIOD) geldt een strakker regime. Aangezien het beveiligingskader voor de gehele Belastingdienst geldt, is er geen apart in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" voor de BRI.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
BRT (Basisregistratie Topografie)Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" opgenomen.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
BRV (Basisregistratie Voertuigen)RDW is ISO 27001/2 gecertificeerd. RDW voldoet niet aan alle extra voorschriften van de BIR, dat hoeft ook niet want RDW is gehouden aan de VIR (en met auditor is afgesproken dat voldoen aan de 27001/27002 norm gelijk staat aan voldoen aan de VIR). Er is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" van de 27001/27002 en de BKR-audit.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiDOp de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiD MachtigenOp de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiInkoopDigi-Inkoop voldoet aan de BIR. Er is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" afgegeven. Leveranciers voldoen aan ISO 27001.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DiginetwerkDeze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigipoortDigiPoort voldoet aan de BIR. Leveranciers voldoen aan ISO 27001 of vergelijkbare standaard.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
MijnOverheidOp de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). De ICV's zijn nog up-to-date.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
NHR (Basisregistratie Handelsregister)De KvK is sinds 2016 ISO 27001 gecertificeerd en hanteert ISO27002.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
OndernemerspleinOndernemersplein is gehost bij de Kamer van Koophandel. Daar liep een ISO 27001 certificeringstraject en Ondernemersplein heeft dit inmiddels toegepast en is door een audit in april 2016 ook gecertificeerd hierop.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Stelsel Elektronische ToegangsdienstenDe BIR is van toepassing op Logius, in het stelsel wordt certificering tegen ISO27001 geëist voor de deelnemers. De beheerorganisatie zelf is als stelselbeheerder ook gecertificeerd volgens ISO 27001. Daarvoor is ook een in controlstatement beschikbaar.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
BV BSN (Beheervoorziening BSN)
GBA-V (GBA Verstrekkingsvoorziening)
De Rijksdienst voor Identiteitsgegevens heeft een beveiligingsplan op basis van de BIR. Hier worden externe audits op gedaan. Er is een In Control Verklaring (ICV) aanwezig.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Doc-DirektVoor de informatiesystemen waarvan Doc-Direkt eigenaar is, is in 2016 een 'in controle verklaring' opgesteld. Op de punten waar Doc-Direkt afwijkt is een uitleg gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat (explains) en er is een verbeterplan opgesteld.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DWR (Digitale Werkomgeving Rijksdienst)DWR voldoet aan de BIR en wordt hier ook op ge-audit. De laatste audit heeft plaatsgevonden in de periode 2015/2016.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
ODC-NoordODC-Noord implementeert op dit moment de BIR. Er is nog geen in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen.

Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’". De leveranciers van de rekencentra voldoen beide aan ISO 27001. Een BIR-audit op housing is uitgevoerd eind 2014.

Er werd in 2016 een ADR (Audit DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Rijk) onderzoek uitgevoerd per departement. Dit richt zich o.a. op de opvolging die de departementen hebben gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan nog uit te voeren activiteiten genoemd o.a. in de bevindingen uit het BIR onderzoek van de ADR over 2015 (bijvoorbeeld in de vorm van verbeterplannen verankerd in jaarplannen), en op de onderbouwing (dossiervorming) bij de systemen voor het wel of niet voldoen aan de BIR. Het onderzoek is in januari 2017 gepubliceerd, en er loopt op dit moment een verbeterplan met betrekking tot de ADR bevindingen. Er is echter nog geen concrete datum bekend.
voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Overheid.nlVanaf 2015 staat overheid.nl niet meer op die risicokaart van BZK en hoeft geen ICV meer worden afgegeven.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
P-DirektDe hosting van de dienstverleningssystemen van P-Direkt voldoet aan de BIR (BIR compliancy is integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van de inrichting van het ODC, en als zodanig daarmee ook voor P-Direkt). Echter, er bestaat bij de beheerorganisatie nog onduidelijkheid of de beheerorganisatie ook aan de BIR voldoet. Daarom staat de status hier op Deels.voldoet deelsvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
PKIoverheidPrimair is het Webtrust normenkader van toepassing op PKIoverheid. Dit kader kent strengere eisen dan deze ISO standaarden vereisen. Implementatie van de BIR is daarnaast uitgevoerd op basis van best effort.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Rijksoverheid.nlHosting leverancier Ordina heeft een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIR-implementatie van het moederdepartement AZ. AZ is het enige departement dat zonder bevindingen door de ADR audits is gekomen.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
RijkspasDe Rijkspas heeft een eigen normen- en beveiligingskader gebaseerd op ISO-9001 en 27001/2. Jaarlijks worden hier ook audits op gedaan, onder andere door de Audit DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Rijk.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
TenderNedTenderNed is ISO27001/2 gecertificeerd. Dit wordt jaarlijks geaudit.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Toelichting: Bouwstenen en gebruikte standaarden