NEN-ISO/IEC 27001

Uit NORA Online
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF


Standaarden
Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
Naam
NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)
ID

NEN-ISO/IEC 27001

Type

Standaard

Wijzigingsdatum
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl. Schaduwkopie: NEN-ISO/IEC 27001


Managementsysteem voor informatiebeveiliging


  • Nut: De NEN-ISO/IEC 27001-standaard bevat eisen waar het managementsysteem voor informatiebeveiliging aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleid.
  • Werking: Deze standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s van een organisatie. 

De Nederlandse overheid heeft haar eigen kaders voor informatiebeveiliging die zijn afgeleid van de 27001- en 27002-normen. 


Waar toepasbaar

  • Functioneel toepassingsgebied: NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem.
  • Organisatorisch werkingsgebied: Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Meer informatie

Gerelateerd

BIO (Baseline Informatiebeveiliging Overheid), NEN-ISO/IEC 27002

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
BAG (Basisregistratie Adressen en Gebouwen)		Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statement opgenomen.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRI (Basisregistratie Inkomen)De BRI voldoet aan de standaard beveiligingseisen van de Belastingdienst. Deze eisen zijn conform VIR met classificatie departementaal vertrouwelijk. Voor opsporingsgegevens (FIOD) geldt een strakker regime. Aangezien het beveiligingskader voor de gehele Belastingdienst geldt, is er geen apart in control statement voor de BRI.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)
  • TNO (en hosting partij Solvinity) zijn ISO 27001/27002 compliant
  • ICTU (en hosting partij SP
voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRT (Basisregistratie Topografie)Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statement opgenomen.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)De BRV voldoet aan deze standaard.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiDOp de Rijksoverheid is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing die is gebaseerd op NEN-ISO27001/2. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiD MachtigenOp de Rijksoverheid is de BIO van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van de BIR norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiInkoopDigiInkoop voldoet aan de BIR. Er is een in control statement afgegeven. Leveranciers voldoen aan ISO 27001.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DiginetwerkDeze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigipoortDigiPoort voldoet aan de BIR. Leveranciers voldoen aan ISO 27001 of een vergelijkbare standaard.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
EHerkenning
Idensys
Stelsel Elektronische Toegangsdiensten		In het afsprakenstelsel wordt certificering tegen ISO27001 geëist voor de deelnemers. De beheerorganisatie eHerkenning is als stelselbeheerder ook gecertificeerd volgens ISO 27001. Daarvoor is ook een in control statement beschikbaar.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
HR (Basisregistratie Handelsregister)De KvK is sinds 2016 ISO 27001 gecertificeerd en hanteert ISO27002.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
MijnOverheidOp de Rijksoverheid is de BIO van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV'en) aan de eigenaar (BZK/DGOBR). De ICV's zijn nog up-to-date.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
OndernemerspleinOndernemersplein is onderdeel van de website van de Kamer van Koophandel. KVK is ISO 27001 gecertificeerd vanaf 2016. KVK is in 2019 opnieuw succesvol gecertificeerd.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Rijksoverheid.nl e-mailDe leveranciers hebben een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIO-implementatie van het moederdepartement AZ. SSC-ICT werkt via deze standaard en wordt hier ook op geaudit. De laatste audits hebben plaatsgevonden in 2019 en 2020.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Website RDW.nlDe BRV voldoet aan deze standaard.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
GBA-V (GBA Verstrekkingsvoorziening)
Beheervoorziening BSN		De Rijksdienst voor Identiteitsgegevens heeft een beveiligingsplan op basis van de BIR. Hier worden externe audits op gedaan. Er is een In Control Verklaring (ICV) aanwezig.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Doc-DirektVoor de informatiesystemen waarvan Doc-Direkt eigenaar is, is in 2016 een ‘in controle verklaring’ opgesteld. Op de punten waar Doc-Direkt afwijkt is een uitleg gegeven (explains) en er is een verbeterplan opgesteld.  Verbeteringen worden inmiddels uitgevoerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)SSC-ICT werkt via deze standaard en wordt hier ook op geaudit. De laatste audit heeft plaatsgevonden in 2019.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordOp 15 februari 2019 is door ODC-Noord een BIR in Control Verklaring voor 2018 afgegeven, ondersteund door een Assurance verklaring van de ADR. De onderliggende leveranciers voldoen aan de ISO. ODC-Noord voldoet aan de BIR.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlVanaf 2015 staat overheid.nl niet meer op de risicokaart van BZK en hoeft hiervoor geen ICV (In Control Verklaring) meer te worden afgegeven. Voor OEB, de applicatie die centraal staat in het publiceren van overheidsinformatie en richtinggevend is voor alle KOOP-dienstverlening, wordt wel jaarlijks een ICV afgegeven; deze is gebaseerd op de BIO die weer is gebaseerd op NEN-ISO/IEC 27001/27002. Alle dienstverlening van KOOP is ondergebracht bij een hostingpartij die jaarlijks een ISAE3402 Type II verklaring laat opstellen; deze verklaring baseert zich mede op de certificering met NEN-ISO/IEC 27001/27002.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
P-DirektDe hosting van de dienstverleningssystemen van P-Direkt voldoet aan de BIR (BIR compliancy is integraal onderdeel van de inrichting van het Overheids Data Center, en als zodanig daarmee ook voor P-Direkt).

Daarmee wordt indirect voldaan aan NEN-ISO/IEC 27001/27002, de BIR is immers gebaseerd op NEN-ISO/IEC 27001/27002, aangevuld met overheidsspecifieke maatregelen.

In Q2 2019 is in samenwerking met het Ministerie van Infrastructuur en Waterstaat een project gestart om volledig Baseline Informatiebeveiliging Overheid (BIO), en daarmee NEN-ISO/IEC 27001/27002 compliant te zijn. Verwachtte afronding is eind 2019, begin 2020. Een aantal P-Direkt systemen, inclusief beheerorganisatie voldoet inmiddels aan de BIO. 		voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
PDOKHet Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd en is deels door standaarden op basis van de BIO vervangen. In het jaarverslag is een in control statement opgenomen.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
PKIoverheidPrimair is het Webtrust normenkader van toepassing op PKIoverheid. Dit kader kent strengere eisen dan deze ISO standaarden vereisen. Implementatie van de BIO is daarnaast uitgevoerd op basis van best effort.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Rijksoverheid.nlDe leveranciers hebben een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIO-implementatie van het moederdepartement AZ.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
RijkspasDe Rijkspas heeft een eigen normen- en beveiligingskader gebaseerd op ISO-9001 en 27001/2. Jaarlijks worden hier ook audits op gedaan, onder andere door de Audit Dienst Rijk. voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
TenderNedTenderNed is ISO27001/2 gecertificeerd. Dit wordt jaarlijks geaudit.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Toelichting: Bouwstenen en gebruikte standaarden

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

De omschrijving van het functionele gebruik van de voorziening

Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

Een verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen.

Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’"

Overgenomen van "https://www.noraonline.nl/index.php?title=NEN-EN-ISO/IEC_27001:2017_(Managementsystemen_voor_informatiebeveiliging_-_Eisen)&oldid=47868"