NEN-ISO/IEC 27002

De norm ISO 27002 bestaat uit voorbeelden van generieke beheersmaatregelen voor informatiebeveiliging in een organisatie. Ieder voorbeeld komt met richtlijnen voor het initiëren, implementeren, onderhouden en verbeteren ervan. ISO 27002 wordt gebruikt in relatie tot NEN ISO 27001 en helpt om een managementsysteem voor informatiebeveiliging te (her)ontwikkelen.

Inhoudsopgave

    Content

    Status

    Lijst status
    • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
    • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
    • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
    • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
    Verplicht (pas toe leg uit)
    Functioneel toepassingsgebied

    Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

    NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.
    Organisatorisch werkingsgebied

    Benoemt de organisaties waarvoor de verplichting geldt.

    Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
    Europese status

    ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.
    Nee

    Nut en werking

    Typering
    Richtlijnen en principes voor informatiebeveiliging
    Nut

    De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001. 
    Werking

    ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie.

    De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen.
    Domein
    Relatie met andere standaarden
    NEN-ISO/IEC 27001
    Trefwoorden

    Detailinformatie

    Volledige naam

    NEN-ISO/IEC 27002:2013
    Versie
    NEN-ISO/IEC 27002:2013
    Specificatiedocument
    Beheerorganisatie
    NEN

    Toepassing

    Community

    Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.

    Normencommissie Cybersecurity en gegevensbescherming.
    Hulpmiddelen

    Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.

    Zie voor meer informatie over de diverse baselines de website van de NORA

    In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend.    

    Toetsingsinformatie

    Toelichting bij opname

    Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst.

    Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017

    De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.
    Adoptieadviezen

    De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.

    Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:

    1. De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
    2. Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
    3. De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
    4. Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
    5. In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.
    Uitstekend beheer
    • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
    • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.
    Nee
    Advies

    Advies-Nationaal-Beraad.pdf

    PDF Document | 2.83 MB
    Definitief

    Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei 2018_10.pdf

    PDF Document | 158.03 KB
    Expertadvies

    Expertadvies-ISO-27001-en-27002.pdf

    PDF Document | 458.1 KB
    Forumadvies

    Forum-advies-ISO27001-en-27002.pdf

    PDF Document | 272.27 KB
    Toelichting

    Onderzoek-nieuwe-versie-NEN-ISO-IEC-27001-27002.pdf

    PDF Document | 676.52 KB
    Consultatie

    Reacties-uit-de-openbare-consultatie.pdf

    PDF Document | 553.54 KB
    Datum van besluit

    Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.

    18-05-2015