Over de standaard

Beschrijving

Informatiebeveiliging richtlijn

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

De NEN-ISO/IEC 27002 standaard is een “best practice” van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van de NEN-ISO/IEC 27001.

Werking

ISO 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid. De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001 en 27002 normen.

Trefwoorden
Beveiliging
Informatiemanagement

Detailinformatie

Beheerorganisatie
NEN
Uitstekend beheer
Nee
Volledige naam
NEN-ISO/IEC 27002:2013
Version
NEN-ISO/IEC 27002:2013

Implementatie

Community en Organisaties

Voor de diverse baselines van de overheid is er bij de diverse beheerorganisatie van de baselines informatie te vinden:

  1. Voor meer informatie over de Baselines Informatiebeveiliging voor gemeenten zie de website van de IBD.
  2. Voor meer informatie over de Baselines Informatiebeveiliging voor provincies zie de website van het IPO.
  3. Voor meer informatie over de Baselines Informatiebeveiliging voor waterschappen zie de website van de UvW.
  4. Klik hier voor meer informatie over de Baselines Informatiebeveiliging voor de rijksoverheid.
Toelichting

27001 beschrijft de eisen om de risico’s op het gebied van informatiebeveiliging te kunnen beheersen (organisatorisch, technisch). De bijbehorende 27002 standaard is een “best practice” van beveiligingsmaatregelen om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening.

Na plaatsing op de 'pas-toe-of-leg-uit' lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden.  Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017.  Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'pas-toe-of-leg-uit' lijst.

Domein
Internet & Beveiliging

Adoptieadviezen

Adoptieadviezen

Voor meer informatie over de adoptie adviezen van het Forum ga naar NEN-ISO/IEC27001 op de lijst.

Toetsingsinformatie

Functioneel toepassingsgebied

De standaard omvat "best practices" op het gebied van het organiseren van informatiebeveiliging voor een organisatie, bestaande uit het beheer van bedrijfsmiddelen, veilig personeel, toegangsbeveiliging, cryptografie, fysieke beveiliging en beveiliging van de omgeving, beveiliging in de bedrijfsvoering, communicatiebeveiliging, leveranciersrelaties, beheer van informatiebeveiligingsincidenten, informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer, naleving en de acquisitie, ontwikkeling en het onderhoud van informatiesystemen.

Organisatorisch werkingsgebied

Overheden en instellingen uit de publieke sector.

Toelichting bij opname

Als overheden voldoen aan de sectorale Baselines Informatiebeveiliging dan voldoen ze daarmee ook aan de ISO27002 norm. Voor meer informatie over opnamen van de standaard ga naar NEN-ISO/IEC27001 op de lijst.

Datum van besluit
18-05-2015