Over de standaard

Beschrijving

Informatiebeveiliging richtlijn

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

De NEN-ISO/IEC 27002 standaard is een “best practice” van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van de NEN-ISO/IEC 27001.

Werking

ISO 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid. De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001 en 27002 normen.

Trefwoorden
Beveiliging
Informatiemanagement

Implementatie

Toelichting

27001 beschrijft de eisen om de risico’s op het gebied van informatiebeveiliging te kunnen beheersen (organisatorisch, technisch). De bijbehorende 27002 standaard is een “best practice” van beveiligingsmaatregelen om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening.

Na plaatsing op de 'pas-toe-of-leg-uit' lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden.  Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017.  Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'pas-toe-of-leg-uit' lijst.

In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'pas toe of leg uit' lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.

Domein
Internet & Beveiliging
Community en Organisaties

Voor de diverse baselines van de overheid is er bij de diverse beheerorganisatie van de baselines informatie te vinden:

  1. Voor meer informatie over de Baselines Informatiebeveiliging voor gemeenten zie de website van de IBD.
  2. Voor meer informatie over de Baselines Informatiebeveiliging voor provincies zie de website van het IPO.
  3. Voor meer informatie over de Baselines Informatiebeveiliging voor waterschappen zie de website van de UvW.
  4. Klik hier voor meer informatie over de Baselines Informatiebeveiliging voor de rijksoverheid.

Toetsingsinformatie

Functioneel toepassingsgebied

NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.

Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

Organisatorisch werkingsgebied

Overheden en instellingen uit de publieke sector.

Toelichting bij opname

Als overheden voldoen aan de sectorale Baselines Informatiebeveiliging dan voldoen ze daarmee ook aan de ISO27002 norm. Voor meer informatie over opnamen van de standaard ga naar NEN-ISO/IEC27001 op de lijst.

In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard NEN-ISO/IEC 27002 aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.

Datum van besluit
2015-05-18

Adoptieadviezen

Adoptieadviezen

Voor meer informatie over de adoptie adviezen van het Forum ga naar NEN-ISO/IEC27001 op de lijst.