Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem.

Organisatorisch werkingsgebied

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Europese status
Nee

Nut en werking

Typering

Managementsysteem voor informatiebeveiliging

Nut

De NEN-ISO/IEC 27001-standaard bevat eisen waar het managementsysteem voor informatiebeveiliging aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleid.

Werking

Deze standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s van een organisatie. 

De Nederlandse overheid heeft haar eigen kaders voor informatiebeveiliging die zijn afgeleid van de 27001- en 27002-normen. 

Detailinformatie

Volledige naam
NEN-ISO/IEC 27001:2013
Versie
NEN-ISO/IEC 27001:2013
Beheerorganisatie
NEN

Toepassing

Community
Hulpmiddelen

Zie voor meer informatie over de diverse baselines de website van de NORA

In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27001:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.    

Toetsingsinformatie

Toelichting bij opname

Na plaatsing op de 'pastoe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27001:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27001:2013 die getoetst is voor opname op de 'pas toe of leg uit'-lijst.

Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.

Adoptieadviezen

Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:

  1. De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
  2. Op de ‘pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
  3. De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
  4. Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
  5. In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
Uitstekend beheer
Nee
Datum van besluit
2015-05-18