NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)
Uit NORA Online
 ID: NEN-ISO/IEC 27002 Type: Standaard Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: FS:NEN-ISO/IEC 27002 |
ISO 27002 'Code voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. binnen een organisatie. ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid.
- Nut: De NEN-ISO/IEC 27002 standaard is een “best practice” van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van de NEN-ISO/IEC 27001.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.
Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.
- Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Overheden en instellingen uit de publieke sector.
Meer informatie
- https://www.forumstandaardisatie.nl/standaard/nen-isoiec-27002, https://www.forumstandaardisatie.nl/open-standaarden/NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)
- https://www.nen.nl/NEN-Shop/Norm/NENENISOIEC-270022017-en.htm, https://lees-rijk.nl/
- Beheerorganisatie: NEN
Gerelateerd
NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen), BIO (Baseline Informatiebeveiliging Overheid), NEN-ISO/IEC 27001Realiseert
Lijst Open Standaarden voor Pas Toe of Leg UitToepassing in voorzieningen en bouwstenen
| Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
|---|---|---|---|---|---|
| BAG (Basisregistratie Adressen en Gebouwen) BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) | Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" opgenomen. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRI (Basisregistratie Inkomen) | De BRI voldoet aan de standaard beveiligingseisen van de Belastingdienst. Deze eisen zijn conform VIR met classificatie departementaal vertrouwelijk. Voor opsporingsgegevens (FIOD) geldt een strakker regime. Aangezien het beveiligingskader voor de gehele Belastingdienst geldt, is er geen apart in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" voor de BRI. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRO (Basisregistratie Ondergrond) |
| voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRT (Basisregistratie Topografie) | Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" opgenomen. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRV (Basisregistratie Voertuigen) | De BRV voldoet aan deze standaard. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DigiD | Op de Rijksoverheid is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing die is gebaseerd op NEN-ISO27001/2. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DigiD Machtigen | Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van de BIR norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DigiInkoop | DigiInkoop voldoet aan de BIR. Er is een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" afgegeven. Leveranciers voldoen aan ISO 27001. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Diginetwerk | Deze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Digipoort | DigiPoort voldoet aan de BIR. Leveranciers voldoen aan ISO 27001 of een vergelijkbare standaard. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Stelsel Elektronische Toegangsdiensten Idensys EHerkenning | De BIR is van toepassing op Logius, in het stelsel wordt certificering tegen ISO27001 geëist voor de deelnemers. De beheerorganisatie zelf is als stelselbeheerder ook gecertificeerd volgens ISO 27001. Daarvoor is ook een in control statementEen verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’" beschikbaar. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| MijnOverheid | Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV’en) aan de eigenaar (BZK/DGOBR). De ICV’s zijn nog up-to-date. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| NHR (Basisregistratie Handelsregister) | De KvK is sinds 2016 ISO 27001 gecertificeerd en hanteert ISO27002. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Ondernemersplein | Ondernemersplein is gehost bij de Kamer van Koophandel. Daar liep een ISO 27001 certificeringstraject en Ondernemersplein heeft dit inmiddels toegepast en is door een audit in april 2016 gecertificeerd hierop. Toetsing vond plaats in februari 2019 met goed resultaat. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BV BSN (Beheervoorziening BSN) GBA-V (GBA Verstrekkingsvoorziening) | De Rijksdienst voor Identiteitsgegevens heeft een beveiligingsplan op basis van de BIR. Hier worden externe audits op gedaan. Er is een In Control Verklaring (ICV) aanwezig. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Doc-Direkt | Voor de informatiesystemen waarvan Doc-Direkt eigenaar is, is in 2016 een ‘in controle verklaring’ opgesteld. Op de punten waar Doc-Direkt afwijkt is een uitleg gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat (explains) en er is een verbeterplan opgesteld. Verbeteringen worden inmiddels uitgevoerd. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DWR (Digitale Werkomgeving Rijksdienst) | SSC-ICT werkt via deze standaard en wordt hier ook op geaudit. De laatste audit heeft plaatsgevonden in 2019. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| ODC-Noord | Op 15 februari 2019 is door ODC-Noord een BIR in Control Verklaring voor 2018 afgegeven, ondersteund door een Assurance verklaring van de ADR. De onderliggende leveranciers voldoen aan de ISO. ODC-Noord voldoet aan de BIR. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Overheid.nl | Vanaf 2015 staat overheid.nl niet meer op de risicokaart van BZK en hoeft hiervoor geen ICV (In Control Verklaring) meer te worden afgegeven.
Voor OEB, de applicatie die centraal staat in het publiceren van overheidsinformatie en richtinggevend is voor alle KOOP-dienstverlening, wordt wel jaarlijks een ICV afgegeven; Deze is gebaseerd op de BIR die weer is gebaseerd op NEN-ISO/IEC 27001/27002. Alle dienstverlening van KOOP is ondergebracht bij een hostingpartij die jaarlijks een ISAE3402 Type II verklaring laat opstellen; deze verklaring baseert zich mede op de certificering met NEN-ISO/IEC 27001/27002. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| P-Direkt | De hosting van de dienstverleningssystemen van P-Direkt voldoet aan de BIR (BIR compliancy is integraal onderdeel van de inrichting van het Overheids Data Center, en als zodanig daarmee ook voor P-Direkt).
Daarmee wordt indirect voldaan aan NEN-ISO/IEC 27001/27002, de BIR is immers gebaseerd op NEN-ISO/IEC 27001/27002, aangevuld met overheidsspecifieke maatregelen. In Q2 2019 is in samenwerking met het Ministerie van Infrastructuur en Waterstaat een project gestart om volledig Baseline Informatiebeveiliging Overheid (BIO), en daarmee NEN-ISO/IEC 27001/27002 compliant te zijn. Verwachtte afronding is eind 2019, begin 2020. Een aantal P-Direkt systemen, inclusief beheerorganisatie voldoet inmiddels aan de BIO. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| PKIoverheid | Primair is het Webtrust normenkader van toepassing op PKIoverheid. Dit kader kent strengere eisen dan deze ISO standaarden vereisen. Implementatie van de BIR is daarnaast uitgevoerd op basis van best effort. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Rijksoverheid.nl | De leveranciers hebben een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIO-implementatie van het moederdepartement AZ. SSC-ICT werkt via deze standaard en wordt hier ook op geaudit. De laatste audit heeft plaatsgevonden in 2019. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Rijkspas | De Rijkspas heeft een eigen normen- en beveiligingskader gebaseerd op ISO-9001 en 27001/2. Jaarlijks worden hier ook audits op gedaan, onder andere door de Audit DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Rijk. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| TenderNed | TenderNed is ISO27001/2 gecertificeerd. Dit wordt jaarlijks geaudit. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
