Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.

Organisatorisch werkingsgebied

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Europese status
Nee

Nut en werking

Typering

Richtlijnen en principes voor informatiebeveiliging

Nut

De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001. 

Werking

ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie.

De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen.

Detailinformatie

Volledige naam
NEN-ISO/IEC 27002:2013
Versie
NEN-ISO/IEC 27002:2013
Beheerorganisatie
NEN

Toepassing

Community
Hulpmiddelen

Zie voor meer informatie over de diverse baselines de website van de NORA

In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.    

Toetsingsinformatie

Toelichting bij opname

Na plaatsing op de 'pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'pas toe of leg uit'-lijst.

Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.

Adoptieadviezen

Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:

  1. De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
  2. Op de ‘pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
  3. De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
  4. Het is geen eis om deze standaarden bij alleinkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
  5. In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
Uitstekend beheer
Nee
Datum van besluit
2015-05-18