Naar de inhoud Naar de navigatie

NEN-ISO/IEC 27002

Exporteer naar RDF


Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Nen-isoiec-27002

Beschrijving
De norm ISO 27002 bestaat uit voorbeelden van generieke beheersmaatregelen voor informatiebeveiliging in een organisatie. Ieder voorbeeld komt met richtlijnen voor het initiëren, implementeren, onderhouden en verbeteren ervan. ISO 27002 wordt gebruikt in relatie tot NEN ISO 27001 en helpt om een managementsysteem voor informatiebeveiliging te (her)ontwikkelen.
Status
Lijst status Verplicht (pas toe leg uit)
Functioneel toepassingsgebied NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.
Organisatorisch werkingsgebied Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Aanvullende verplichtingen
Europese status (MSP)Nee
Nut en werking
Typering
Nut De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001. 
Werking ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen.
Relatie met andere standaarden
    Domein

    Veilig internet

    TrefwoordenInformatiebeveiliging, Informatiemanagement
    Gangbaar
    Detailinformatie
    Volledige naamNEN-ISO/IEC 27002:2013
    VersieNEN-ISO/IEC 27002:2013
    Specificatiedocumenthttps://www.nen.nl/nen-en-iso-iec-27002-2017-nl-245390 , https://lees-rijk.nl/
    BeheerorganisatieNEN
    CommunityNormencommissie Cybersecurity en gegevensbescherming.
    HulpmiddelenZie voor meer informatie over de diverse baselines de website van de NORA.  In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/productcategorieen-en-workshops/?type=Secure+Software) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.    
    Conformiteitstest
    Praktijkvoorbeelden
    Toetsingsinformatie
    Toelichting bij opname Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst.

    Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017

    De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.
    AdoptieadviezenTen aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
    1. De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
    2. Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
    3. De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
    4. Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
    5. In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
    Uitstekend beheerNee
    Documentatie
      Datum van aanmelding
      Datum van besluit2015-05-18
      Overig
      Waarvoor geldt de verplichting
      Toelichting
      Aandachtspunten
      Advies aan beheerder
      Sjabloon-bestektekst
      CPV-code(s)
      Leveranciers
      Bijlagen:
      Copyright
      Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

      Groep mensen die samenwerken om specifieke doelen te bereiken.

      Ga naar de pagina met de definitie van 'organisatie'

      Een samenhangend stelsel van middelen waarmee je doelen realiseert.

      Ga naar de pagina met de definitie van 'managementsysteem'

      Het domein waarin iets uitwerking heeft. 

      Ga naar de pagina met de definitie van 'werkingsgebied'

      Vaststaand, erkend voorbeeld of model.

      Ga naar de pagina met de definitie van 'standaard'

      Een praktische beschrijving van de wijze waarop een taak wordt uitgevoerd.

      Ga naar de pagina met de definitie van 'practice'

      Het geheel van voorzieningen waarmee een gebruiker in zijn informatiebehoefte kan voorzien.

      Ga naar de pagina met de definitie van 'informatievoorziening'

      De betekenis die mensen geven aan gegevens in een context.

      Ga naar de pagina met de definitie van 'informatie'

      Alle handelingen die relevant zijn voor het instandhouden van iets.

      Ga naar de pagina met de definitie van 'beheer'
      Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Nen-isoiec-27002&oldid=75816"