FS:NEN-ISO/IEC 27001

Uit NORA Online
Ga naar: navigatie, zoeken
Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/NEN-ISO/IEC 27001
Over de standaard
Beschrijving Informatiebeveiliging richtlijn
Lijst status Verplicht (pas toe leg uit)
Uitleg
Nut De NEN-ISO/IEC 27001 standaard bevat eisen waar het managementsysteem voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleid voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. Dit zorgt voor duidelijkheid in de relatie tussen (overheids-)opdrachtgever en leveranciers van ICT-producten en -diensten. Met de standaarden kunnen leveranciers aantonen dat zij aan de vereiste informatiebeveiligingsnormen voldoen. Bij certificering wordt ook tegen deze norm geaudit.
Werking Dit veld kan nog niet overgenomen worden van 27001 forumstandaardisatie.nl
Waarvoor geldt de verplichting
TrefwoordenBeveiliging, Informatiemanagement
Detailinformatie
BeheerorganisatieNEN
Uitstekend beheer
Specificatiedocumenthttps://www.nen.nl/NEN-Shop/Norm/NENENISOIEC-270012017-en.htm, https://lees-rijk.nl
Volledige naamNEN-ISO/IEC 27001:2013
VersionNEN-ISO/IEC 27001:2013
Inkoop
AandachtspuntenIn het geval van aanbesteding van ICT-producten, stellen overheidsinstellingen vaak de volgende eisen aan haar leverancier:

​Te voldoen aan het informatiebeveiligingsbeleid van de overheidsinstelling.
De informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. moet zowel organisatorisch als technisch op een adequaat niveau zijn.
Leveranciers voldoen als zodanig niet aan de baselines informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., maar dienen te voldoen aan ISO/IEC 27001 en de maatregelen uit de 27002 standaard. Dit conform de 'pas toe of leg uit'-lijst. 
Additioneel kunnen aanvullende geformuleerde beveiligingseisen worden geëist. Deze additionele beveiligingseisen die voor de dienst of het betreffende systeem van belang zijn kunnen zijn afgeleid van de desbetreffende baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen..

Afhankelijk van het product dat wordt gevraagd kan het voldoen aan ISO/IEC 27001 en 27002 worden aangetoond door een 27001 of gelijkwaardig certificaat te overleggen, inclusief een toelichting op de getroffen beveiligingsmaatregelen conform de 27002 standaard. De woorden 'of gelijkwaardig' dient te worden vermeld. Dit betekent dat door aanbieders aangedragen alternatieve oplossingen die aan de specificaties voldoen niet mogen worden afgewezen. In de context van deze selectie-eis worden de baselines informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. als gelijkwaardig aan ISO 27002:2013 beschouwd. Op basis van het aangeleverde certificaat stelt de overheidsinstelling vast of de scope van het certificaat overeenkomt met de af te nemen ICT-producten en of de getroffen beveiligingsmaatregelen voldoende zekerheid biedt. Hiermee geeft de overheidsinstelling zichzelf zekerheid over de mate waarin de leverancier in control is van de uitgevoerde beveiligingsmaatregelen. Het kan gezien de marktsituatie te zwaar zijn om van alle gegadigden volledige certificatie te vragen. Een en ander is tevens afhankelijk van de risico-inschatting van de gegevensverwerking en de aard van de dienstverlening.
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest
DomeinInternet & Beveiliging
Relatie met andere standaarden
  • NEN-ISO/IEC 27002
  • Toelichting27001 beschrijft de eisen om de risico’s op het gebied van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen beheersen (organisatorisch, technisch). De bijbehorende 27002 standaard is een “best practice” van beveiligingsmaatregelen om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de informatievoorziening.

    Na plaatsing op de 'pas-toe-of-leg-uit' lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden.  Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27001:2017.  Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27001:2013 die getoetst is voor opname op de 'pas-toe-of-leg-uit' lijst.
    In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27001:2013.  SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software.  SSD staat niet op de 'pas toe of leg uit' lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.
     

     
    Toetsingsinformatie
    HulpmiddelenVoor meer informatie over de Baselines Informatiebeveiliging voor gemeenten zie de website van de IBD.

    Voor meer informatie over de Baselines Informatiebeveiliging voor provincies zie de website van het IPO.
    Voor meer informatie over de Baselines Informatiebeveiliging voor waterschappen zie de website van de UvW.
    Klik hier voor meer informatie over de Baselines Informatiebeveiliging voor de rijksoverheid.

     
    Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en het vaststellen van het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening (de scope) van dit managementsysteem.
    Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.
    Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. Overheden en instellingen uit de publieke sector.
    Toelichting bij opname Op de standaard is de ‘pas toe of leg uit’-verplichting van toepassing bij de inkoop (waaronder bij aanbestedingen) van die ICT-producten en –diensten, waarvoor met een risicotaxatie door de behoeftesteller wordt vastgesteld dat naleving van de standaarden door de leverancier vereist is. Deze ‘pas toe of leg uit’-verplichting houdt niet in dat leveranciers gecertificeerd moeten zijn voor NEN-ISO/IEC 27001.   Voor NEN-ISO/IEC 27002 geldt dat de behoeftesteller beleid dient vast te stellen aan de hand waarvan de te vereisen beveiligingsmaatregelen worden bepaald uit de set van beveiligingsmaatregelen die NEN-ISO/IEC 27002 beschrijft. Voor overheden kunnen dit de Baselines Informatiebeveiliging zijn.
    In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van deze standaard NEN-ISO/IEC 27001 aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.
    Datum van aanmelding
    Datum van besluit18-05-2015
    Europese status (MSP)
    Documentatiehttps://www.forumstandaardisatie.nl/sites/bfs/files/Onderzoek%20nieuwe%20versie%20NEN-ISO-IEC%2027001%2027002.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20ISO%2027001%20en%2027002.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Reacties%20uit%20de%20openbare%20consultatie.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Forum%20advies%20ISO27001%20en%2027002.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Advies%20Nationaal%20Beraad.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_10.pdf
    Forum-Adviezen
    Advies aan beheerder
    AdoptieadviezenTen aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:

    De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden;
    Op de ‘pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen;
    De relatie tussen de normen en de baselines informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. met de beheerders van de baselines te bewaken via de Werkgroep Normatiek;
    Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.;

    In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
    LeveranciersDe volgende leveranciers hebben het leveranciersmanifest ondertekend m.b.t. deze standaard:
    Lost Lemon