FS:NEN-ISO/IEC 27001
- Deze gegevens zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/NEN-ISO/IEC 27001
Over de standaard | |
---|---|
Beschrijving | Informatiebeveiliging richtlijn |
Lijst status | Verplicht (pas toe leg uit) |
Uitleg | |
Nut | De NEN-ISO/IEC 27001 standaard bevat eisen waar het managementsysteem voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. Dit zorgt voor duidelijkheid in de relatie tussen (overheids-)opdrachtgever en leveranciers van ICT-producten en -diensten. Met de standaarden kunnen leveranciers aantonen dat zij aan de vereiste informatiebeveiligingsnormen voldoen. Bij certificering wordt ook tegen deze norm geaudit. |
Werking | Dit veld kan nog niet overgenomen worden van 27001 forumstandaardisatie.nl |
Waarvoor geldt de verplichting | |
Trefwoorden | Beveiliging, Informatiemanagement |
Detailinformatie | |
Beheerorganisatie | NEN |
Uitstekend beheer | |
Specificatiedocument | https://www.nen.nl/NEN-Shop/Norm/NENENISOIEC-270012017-en.htm, https://lees-rijk.nl |
Volledige naam | NEN-ISO/IEC 27001:2013 |
Version | NEN-ISO/IEC 27001:2013 |
Inkoop | |
Aandachtspunten | In het geval van aanbesteding van ICT-producten, stellen overheidsinstellingen vaak de volgende eisen aan haar leverancier: Te voldoen aan het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de overheidsinstelling. |
Sjabloon-bestektekst | |
CPV-code(s) | |
Implementatie | |
Conformiteitstest | |
Domein | Internet & Beveiliging |
Relatie met andere standaarden | |
Toelichting | 27001 beschrijft de eisen om de risico’s op het gebied van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen beheersen (organisatorisch, technisch). De bijbehorende 27002 standaard is een “best practice” van beveiligingsmaatregelen om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en beschikbaarheid van de informatievoorziening. Na plaatsing op de 'pas-toe-of-leg-uit' lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27001:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27001:2013 die getoetst is voor opname op de 'pas-toe-of-leg-uit' lijst. |
Toetsingsinformatie | |
Hulpmiddelen | Voor meer informatie over de Baselines Informatiebeveiliging voor gemeenten zie de website van de IBD. Voor meer informatie over de Baselines Informatiebeveiliging voor provincies zie de website van het IPO. |
Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening | NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en het vaststellen van het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening (de scope) van dit managementsysteem. Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd. |
Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. | Overheden en instellingen uit de publieke sector. |
Toelichting bij opname | Op de standaard is de ‘pas toe of leg uit’-verplichting van toepassing bij de inkoop (waaronder bij aanbestedingen) van die ICT-producten en –diensten, waarvoor met een risicotaxatie door de behoeftesteller wordt vastgesteld dat naleving van de standaarden door de leverancier vereist is. Deze ‘pas toe of leg uit’-verplichting houdt niet in dat leveranciers gecertificeerd moeten zijn voor NEN-ISO/IEC 27001. Voor NEN-ISO/IEC 27002 geldt dat de behoeftesteller beleid dient vast te stellen aan de hand waarvan de te vereisen beveiligingsmaatregelen worden bepaald uit de set van beveiligingsmaatregelen die NEN-ISO/IEC 27002 beschrijft. Voor overheden kunnen dit de Baselines Informatiebeveiliging zijn. In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van deze standaard NEN-ISO/IEC 27001 aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document. |
Datum van aanmelding | |
Datum van besluit | 18-05-2015 |
Europese status (MSP) | |
Documentatie | https://www.forumstandaardisatie.nl/sites/bfs/files/Onderzoek%20nieuwe%20versie%20NEN-ISO-IEC%2027001%2027002.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20ISO%2027001%20en%2027002.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Reacties%20uit%20de%20openbare%20consultatie.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Forum%20advies%20ISO27001%20en%2027002.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Advies%20Nationaal%20Beraad.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_10.pdf |
Forum-Adviezen | |
Advies aan beheerder | |
Adoptieadviezen | Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven: De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden; |
Leveranciers | De volgende leveranciers hebben het leveranciersmanifest ondertekend m.b.t. deze standaard: Lost Lemon |