NEN-ISO/IEC 27002
De norm ISO 27002 bestaat uit voorbeelden van generieke beheersmaatregelen voor informatiebeveiliging in een organisatie. Ieder voorbeeld komt met richtlijnen voor het initiëren, implementeren, onderhouden en verbeteren ervan. ISO 27002 wordt gebruikt in relatie tot NEN ISO 27001 en helpt om een managementsysteem voor informatiebeveiliging te (her)ontwikkelen.
Inhoudsopgave
Content
Status
Lijst status
|
Verplicht (pas toe leg uit) |
Functioneel toepassingsgebied
Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus). |
NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. |
---|---|
Organisatorisch werkingsgebied
Benoemt de organisaties waarvoor de verplichting geldt. |
Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector. |
Europese status
‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie. |
Nee |
Nut en werking
Typering
|
Richtlijnen en principes voor informatiebeveiliging |
Nut
|
De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001. |
---|---|
Werking
|
ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen. |
Domein
|
|
Relatie met andere standaarden
|
|
Trefwoorden
|
Detailinformatie
Volledige naam
|
NEN-ISO/IEC 27002:2013 |
---|---|
Versie
|
NEN-ISO/IEC 27002:2013 |
Beheerorganisatie
|
NEN |
Toepassing
Community
Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard. |
Normencommissie Cybersecurity en gegevensbescherming. |
---|---|
Hulpmiddelen
Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d. |
Zie voor meer informatie over de diverse baselines de website van de NORA. |
Toetsingsinformatie
Toelichting bij opname
|
Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst. Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO. |
---|---|
Adoptieadviezen
De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing van de standaard op de 'Pas toe of leg uit'-lijst of lijst aanbevolen standaarden. |
Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
|
Uitstekend beheer
|
Nee |
Advies |
Advies-Nationaal-Beraad.pdf
PDF Document | 2.83 MB
|
Definitief |
Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei 2018_10.pdf
PDF Document | 158.03 KB
|
Expertadvies |
Expertadvies-ISO-27001-en-27002.pdf
PDF Document | 458.1 KB
|
Forumadvies |
Forum-advies-ISO27001-en-27002.pdf
PDF Document | 272.27 KB
|
Toelichting |
Onderzoek-nieuwe-versie-NEN-ISO-IEC-27001-27002.pdf
PDF Document | 676.52 KB
|
Consultatie |
Reacties-uit-de-openbare-consultatie.pdf
PDF Document | 553.54 KB
|
Datum van besluit
Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen. |
18-05-2015 |