Nederlandse norm. NEN-ISO/IEC C1+C2 (nl)

Transcriptie

1 Nederlandse norm Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. NEN-ISO/IEC C1+C2 (nl) Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging (ISO/IEC 27002:2013 en,idt) Information technology - Security techniques - Code of practice for information security controls (ISO/IEC 27002:2013 en,idt) Vervangt NEN-ISO/IEC 27002:2013 nl ICS december 2015

2 NEN-ISO/IEC 27002:2013+C1+C2:2015 Nederlands voorwoord Dit document bevat de vertaling in het Nederlands van de internationale norm ISO/IEC 27002:2013. De internationale norm ISO/IEC 27001:2013 heeft de status van Nederlandse norm. Op NEN-ISO/IEC 27002:2013 zijn correcties verschenen (in de correctiebladen C1 en C2), die in deze geconsolideerde versie zijn verwerkt. De correcties zijn op de volgende plaatsen aangebracht: [C1] 7.1.2: bedrijfsmiddelen van de organisatie die samenhangen met informatie is vervangen door informatie van de organisatie, andere bedrijfsmiddelen die samenhangen met informatie. [C1] 8.1.1: Bedrijfsmiddelen die samenhangen is vervangen door Informatie, andere bedrijfsmiddelen die samenhangen. [C1] 8.1.3: bedrijfsmiddelen van de organisatie die samenhangen met informatie is vervangen door informatie van de organisatie, andere bedrijfsmiddelen die samenhangen met informatie. [C2] , Implementatierichtlijn: is vervangen door Voor de in deze norm vermelde normatieve verwijzingen bestaan in Nederland de volgende equivalenten: vermelde norm Nederlandse norm titel ISO/IEC NEN-ISO/IEC Information technology - Security techniques - Information security management systems - Overview and vocabulary Normcommissie "IT-Beveiligingstechnieken" THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Netherlands Standardization Institute. The Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Nederlands Normalisatie-instituut gepubliceerde uitgaven Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) , Fax (015)

3 Inhoud Voorwoord Inleiding Achtergrond en context Informatiebeveiligingseisen Beheersmaatregelen selecteren Eigen richtlijnen ontwikkelen Overwegingen betreffende de levenscyclus Gerelateerde normen Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Structuur van deze norm Hoofdstukken Categorieën beheersmaatregelen Informatiebeveiligingsbeleid Aansturing door de directie van de informatiebeveiliging Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging Interne organisatie Rollen en verantwoordelijkheden bij informatiebeveiliging Scheiding van taken Contact met overheidsinstanties Contact met speciale belangengroepen Informatiebeveiliging in projectbeheer Mobiele apparatuur en telewerken Beleid voor mobiele apparatuur Telewerken Veilig personeel Voorafgaand aan het dienstverband Screening Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheden Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire procedure Beëindiging en wijziging van dienstverband Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventariseren van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Teruggeven van bedrijfsmiddelen Informatieclassificatie Classificatie van informatie Informatie labelen Behandelen van bedrijfsmiddelen Behandelen van media Beheer van verwijderbare media Verwijderen van media Media fysiek overdragen

4 9 Toegangsbeveiliging Bedrijfseisen voor toegangsbeveiliging Beleid voor toegangsbeveiliging Toegang tot netwerken en netwerkdiensten Beheer van toegangsrechten van gebruikers Registratie en afmelden van gebruikers Gebruikers toegang verlenen Beheren van speciale toegangsrechten Beheer van geheime authenticatie-informatie van gebruikers Beoordeling van toegangsrechten van gebruikers Toegangsrechten intrekken of aanpassen Verantwoordelijkheden van gebruikers Geheime authenticatie-informatie gebruiken Toegangsbeveiliging van systeem en toepassing Beperking toegang tot informatie Beveiligde inlogprocedures Systeem voor wachtwoordbeheer Speciale systeemhulpmiddelen gebruiken Toegangsbeveiliging op programmabroncode Cryptografie Cryptografische beheersmaatregelen Beleid inzake het gebruik van cryptografische beheersmaatregelen Sleutelbeheer Fysieke beveiliging en beveiliging van de omgeving Beveiligde gebieden Fysieke beveiligingszone Fysieke toegangsbeveiliging Kantoren, ruimten en faciliteiten beveiligen Beschermen tegen bedreigingen van buitenaf Werken in beveiligde gebieden Laad- en loslocatie Apparatuur Plaatsing en bescherming van apparatuur Nutsvoorzieningen Beveiliging van bekabeling Onderhoud van apparatuur Verwijdering van bedrijfsmiddelen Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Beveiliging bedrijfsvoering Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Capaciteitsbeheer Scheiding van ontwikkel-, test- en productieomgevingen Bescherming tegen malware Beheersmaatregelen tegen malware Back-up Back-up van informatie Verslaglegging en monitoren Gebeurtenissen registreren Beschermen van informatie in logbestanden Logbestanden van beheerders en operators Kloksynchronisatie Beheersing van operationele software Software installeren op operationele systemen Beheer van technische kwetsbaarheden

5 Beheer van technische kwetsbaarheden Beperkingen voor het installeren van software Overwegingen betreffende audits van informatiesystemen Beheersmaatregelen betreffende audits van informatiesystemen Communicatiebeveiliging Beheer van netwerkbeveiliging Beheersmaatregelen voor netwerken Beveiliging van netwerkdiensten Scheiding in netwerken Informatietransport Beleid en procedures voor informatietransport Overeenkomsten over informatietransport Elektronische berichten Vertrouwelijkheids- of geheimhoudingsovereenkomst Acquisitie, ontwikkeling en onderhoud van informatiesystemen Beveiligingseisen voor informatiesystemen Analyse en specificatie van informatiebeveiligingseisen Toepassingen op openbare netwerken beveiligen Transacties van toepassingen beschermen Beveiliging in ontwikkelings- en ondersteunende processen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen besturingsplatform Beperkingen op wijzigingen aan softwarepakketten Principes voor engineering van beveiligde systemen Beveiligde ontwikkelomgeving Uitbestede softwareontwikkeling Testen van systeembeveiliging Systeemacceptatietests Testgegevens Bescherming van testgegevens Leveranciersrelaties Informatiebeveiliging in leveranciersrelaties Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Beheer van dienstverlening van leveranciers Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers Beheer van informatiebeveiligingsincidenten Beheer van informatiebeveiligingsincidenten en -verbeteringen Verantwoordelijkheden en procedures Rapportage van informatiebeveiligingsgebeurtenissen Rapportage van zwakke plekken in de informatiebeveiliging Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen Respons op informatiebeveiligingsincidenten Lering uit informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingscontinuïteit Informatiebeveiligingscontinuïteit plannen Informatiebeveiligingscontinuïteit implementeren Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren Redundante componenten Beschikbaarheid van informatieverwerkende faciliteiten Naleving Naleving van wettelijke en contractuele eisen

6 Vaststellen van toepasselijke wetgeving en contractuele eisen Intellectuele-eigendomsrechten Beschermen van registraties Privacy en bescherming van persoonsgegevens Voorschriften voor het gebruik van cryptografische beheersmaatregelen Informatiebeveiligingsbeoordelingen Onafhankelijke beoordeling van informatiebeveiliging Naleving van beveiligingsbeleid en -normen Beoordeling van technische naleving Bibliografie

7 Voorwoord ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van Internationale Normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo s, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Internationale Normen worden opgesteld in overeenstemming met de voorschriften die zijn opgenomen in de ISO/IEC-richtlijnen, deel 2. ISO/IEC is opgesteld door ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques. Er wordt op gewezen dat sommige delen van dit document mogelijk beschermd zijn door patentrechten. ISO is niet verantwoordelijk voor identificatie van dergelijke patentrechten. Deze tweede versie herroept en vervangt de eerste versie (ISO/IEC 27002:2005), die technisch en structureel is herzien. 5

8 0 Inleiding 0.1 Achtergrond en context Deze Internationale Norm is ontworpen voor organisaties om te worden gebruikt als referentie voor het selecteren van beheersmaatregelen binnen het implementatieproces van een managementsysteem voor informatiebeveiliging (ISMS) gebaseerd op ISO/IEC [10] of als een leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging implementeren. Deze norm is ook bedoeld om te worden gebruikt voor het ontwikkelen van industrie- en organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer die rekening houden met hun specifieke informatiebeveiligingsrisico s. Organisaties van elk type en elke omvang (met inbegrip van openbare en particuliere, commerciële en nonprofitorganisaties) verzamelen, verwerken, bewaren en brengen informatie in vele vormen over, waaronder elektronisch, fysiek en mondeling (bijv. via gesprekken en presentaties). De waarde van informatie is niet beperkt tot het geschreven woord, getallen en figuren: kennis, concepten, ideeën en merken zijn voorbeelden van immateriële vormen van informatie. In een onderling verbonden wereld zijn informatie- en gerelateerde processen, systemen, netwerken en medewerkers die betrokken zijn bij het uitvoeren, behandelen en beschermen ervan, bedrijfsmiddelen die, evenals andere belangrijke bedrijfsmiddelen, waardevol zijn voor de bedrijfsvoering van een organisatie en daarom bescherming tegen diverse risico s verdienen of vereisen. Bedrijfsmiddelen zijn onderhevig aan opzettelijke en onopzettelijke bedreigingen, terwijl de gerelateerde processen, systemen, netwerken en personen inherente kwetsbaarheden. Wijzigingen in bedrijfsprocessen en -systemen, of andere externe wijzigingen (zoals nieuwe wetten en regelgeving) kunnen nieuwe informatiebeveiligingsrisico s met zich mee brengen. Daardoor en gezien de veelheid van manieren waarop bedreigingen kwetsbaarheden kunnen benutten om de organisatie schade toe te brengen, zijn informatiebeveiligingsrisico s altijd aanwezig. Doeltreffende informatiebeveiliging vermindert deze risico s door de organisatie te beschermen tegen bedreigingen en kwetsbaarheden, en verkleint de impact op haar bedrijfsmiddelen. Informatiebeveiliging wordt bereikt door een passende reeks beheersmaatregelen te implementeren met inbegrip van beleid, processen, procedures, organisatiestructuren en software- en hardwarefuncties. Om te bewerkstelligen dat de specifieke veiligheids- en bedrijfsdoelstellingen van de organisatie worden gehaald, is het noodzakelijk dat deze beheersmaatregelen worden vastgesteld, geïmplementeerd, gemonitord, beoordeeld en verbeterd, waar nodig. Een ISMS zoals omschreven in ISO/IEC [10] benadert de informatiebeveiligingsrisico s van de organisatie holistisch en gecoördineerd met het doel om een allesomvattende reeks beheersmaatregelen voor informatiebeveiliging te implementeren onder het algehele kader van een samenhangend managementsysteem. Veel informatiesystemen zijn niet ontworpen om te zijn beveiligd in de zin van ISO/IEC [10] en de voorliggende norm. De beveiliging die kan worden bereikt via technische middelen is beperkt en behoort te worden ondersteund door passend beheer en passende procedures. Het bepalen van de passende beheersmaatregelen vereist zorgvuldige planning en aandacht voor details. Een succesvol ISMS vereist de inzet van alle medewerkers binnen de organisatie. Ook participatie van aandeelhouders, leveranciers of andere externe partijen kan vereist zijn. Ook kan specialistisch advies van externe partijen nodig zijn. In algemenere zin geeft doeltreffende informatiebeveiliging de directie en andere belanghebbenden de zekerheid dat de bedrijfsmiddelen van de organisatie redelijk veilig en tegen schade beschermd zijn, waardoor de beveiliging de bedrijfsuitvoering bevordert. 0.2 Informatiebeveiligingseisen Het is essentieel dat een organisatie haar beveiligingseisen bepaalt. Er zijn drie belangrijke bronnen voor beveiligingseisen: 6

9 a) de beoordeling van de risico s waar de organisatie aan blootgesteld is, rekening houdend met de algehele bedrijfsstrategie en -doelstellingen. Via een risicobeoordeling worden bedreigingen voor bedrijfsmiddelen vastgesteld, de kwetsbaarheid voor en de waarschijnlijkheid dat een bepaalde bedreiging zich voordoet, geëvalueerd en wordt de potentiële impact ingeschat; b) de wettelijke, statutaire, regelgevende en contractuele eisen waaraan een organisatie, haar handelspartners, leveranciers en dienstverleners, en hun sociaal-culturele omgeving, moeten voldoen; c) de reeks van principes, doelstellingen en bedrijfseisen die gelden voor het hanteren, verwerken, bewaren, communiceren en archiveren van informatie die een organisatie heeft ontwikkeld om haar bedrijfsvoering te ondersteunen. Hulpmiddelen die worden gebruikt voor het implementeren van beheersmaatregelen behoren te worden afgewogen tegen de bedrijfsschade die waarschijnlijk ontstaat door beveiligingsproblemen als dergelijke beheersmaatregelen niet worden genomen. De resultaten van een risicobeoordeling dienen als richtlijn en helpen de directie bij het bepalen van de passende actie en de prioriteiten voor het beheer van informatiebeveiligingsrisico s en voor het implementeren van beheersmaatregelen die zijn gekozen ter bescherming tegen deze risico s. ISO/IEC [11] biedt een richtlijn voor het risicobeheer van informatiebeveiliging, met inbegrip van advies over risicobeoordeling, -behandeling, accepteren van risico s, communiceren over risico s, monitoren en opnieuw beoordelen van risico. 0.3 Beheersmaatregelen selecteren Beheersmaatregelen kunnen worden geselecteerd uit deze norm of uit andere overzichten van beheersmaatregelen. Ook kunnen nieuwe beheersmaatregelen worden ontworpen die voldoen aan specifieke behoeften indien nodig. De selectie van beheersmaatregelen hangt af van de beslissingen van de organisatie die zijn gebaseerd op de criteria voor het accepteren van risico s, de opties voor het omgaan met risico s en de algemene benadering van risicobeheer die in de organisatie wordt toegepast, en behoort ook in overeenstemming te zijn met alle relevante nationale en internationale wet- en regelgeving. De selectie van beheersmaatregelen hangt ook samen met de manier waarop deze beheersmaatregelen op elkaar inwerken om een diepteverdediging te bewerkstelligen. Een aantal van de beheersmaatregelen in deze norm kan worden beschouwd als richtlijn voor informatiebeveiligingsbeheer die voor de meeste organisaties van toepassing is. De beheersmaatregelen worden hierna gedetailleerder uiteengezet samen met richtlijnen voor implementatie. Meer informatie over het selecteren van beheersmaatregelen en andere opties voor het omgaan met risico s is te vinden in ISO/IEC [11]. 0.4 Eigen richtlijnen ontwikkelen Deze Internationale Norm kan worden beschouwd als uitgangspunt voor het ontwikkelen van organisatiespecifieke richtlijnen. Mogelijk zijn niet alle beheersmaatregelen en richtlijnen in deze praktijkrichtlijn van toepassing. Voorts zijn mogelijk aanvullende beheersmaatregelen en richtlijnen vereist die niet in deze norm zijn opgenomen. Als er documenten zijn ontwikkeld die aanvullende richtlijnen of beheersmaatregelen bevatten, kan het, voor zover van toepassing, nuttig zijn kruisverwijzingen op te nemen naar hoofdstukken in deze norm om het voor auditoren en zakenpartners gemakkelijker te maken om op naleving te controleren. 0.5 Overwegingen betreffende de levenscyclus Informatie heeft een natuurlijke levenscyclus, van aanmaken en ontstaan, via opslag, verwerking, gebruik en verzending tot uiteindelijk vernietiging of waardeverlies. De waarde van en risico s voor bedrijfsmiddelen kunnen tijdens hun levenscyclus variëren (bijvoorbeeld ongeoorloofde bekendmaking of diefstal van de 7

10 financiële rekeningen van een bedrijf is veel minder belangrijk nadat deze officieel zijn gepubliceerd), maar informatiebeveiliging blijft tot op zekere hoogte in alle stadia belangrijk. Informatiesystemen hebben levenscycli waarbinnen ze worden gemaakt, gespecificeerd, ontworpen, ontwikkeld, getest, geïmplementeerd, gebruikt, onderhouden en ten slotte buiten bedrijf worden gesteld en verwijderd. In elk stadium behoort rekening te worden gehouden met informatiebeveiliging. Nieuwe systeemontwikkelingen en wijzigingen aan bestaande systemen bieden organisaties kansen om beheersmaatregelen te actualiseren en te verbeteren, rekening houdend met feitelijke incidenten en huidige en verwachte informatiebeveiligingsrisico s. 0.6 Gerelateerde normen Terwijl deze norm richtlijnen biedt voor een brede waaier aan beheersmaatregelen voor informatiebeveiliging die in veel verschillende organisaties gangbaar zijn, bieden de overige normen in de ISO/IEC familie aanvullende eisen of advies met betrekking tot andere aspecten van het algehele proces van informatiebeveiligingsbeheer. Zie ISO/IEC voor een algemene introductie van beide ISMS en en de normenfamilie. ISO/IEC biedt een glossarium dat de meeste in de ISO/IEC normenfamilie gebruikte termen formeel definieert, en het onderwerp, toepassingsgebied en de doelstellingen voor elk onderdeel van de familie beschrijft. 8

11 Informatietechnologie Beveiligingstechnieken Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging 1 Onderwerp en toepassingsgebied Deze Internationale Norm geeft richtlijnen voor informatiebeveiligingsnormen voor organisaties en toepassingen inzake informatiebeveiligingsbeheer, waaronder de selectie, implementatie en het beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico s van de organisatie gelden. Deze Internationale Norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om: a) beheersmaatregelen te selecteren binnen het implementatieproces van een managementsysteem voor informatiebeveiliging gebaseerd op ISO/IEC [10]; b) algemeen aanvaarde beheersmaatregelen inzake informatiebeveiliging te implementeren; c) hun eigen richtlijnen voor informatiebeveiligingsbeheer te ontwikkelen. 2 Normatieve verwijzingen De volgende documenten, waarnaar als geheel of voor een onderdeel, in dit document normatief is verwezen, zijn onmisbaar voor de toepassing ervan. Bij gedateerde verwijzingen is alleen de aangehaalde uitgave van toepassing. Bij ongedateerde verwijzingen is de laatste uitgave van het document (met inbegrip van eventuele wijzigings- en correctiebladen) waarnaar is verwezen van toepassing. ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary 3 Termen en definities Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC Structuur van deze norm Deze norm bevat 14 clausules over beheersmaatregelen die tezamen totaal 35 hoofdbeveiligingscategorieën en 114 beheersmaatregelen bevatten. 4.1 Hoofdstukken Elk hoofdstuk dat beheersmaatregelen inzake beveiliging definieert, bevat een of meer hoofdbeveiligingscategorieën. De volgorde van de hoofdstukken in deze norm zegt niets over hun belang. Afhankelijk van de omstandigheden kunnen beheersmaatregelen uit een of uit alle hoofdstukken belangrijk zijn. Daarom behoort elke organisatie die deze norm toepast geschikte beheersmaatregelen, hun belang en hun toepassing voor individuele bedrijfsprocessen te bepalen. Verder staan opsommingen in deze norm niet in volgorde van prioriteit. 9

12 4.2 Categorieën beheersmaatregelen Elke hoofdbeveiligingscategorie beheersmaatregelen bevat: a) een beheersdoelstelling die aangeeft wat moet worden bereikt; b) een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. Omschrijvingen van de beheersmaatregelen zijn als volgt opgebouwd: Beheersmaatregel Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijn Biedt meer gedetailleerde informatie om de implementatie van de beheersmaatregel te ondersteunen en om te voldoen aan de doelstelling van de beheersmaatregel. De richtlijnen zijn mogelijk niet in alle situaties geheel passend of toereikend en voldoen mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie. Overige informatie Biedt meer informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen. Indien er geen overige informatie wordt geboden, wordt dit onderdeel weggelaten. 5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving Beleidsregels voor informatiebeveiliging Beheersmaatregel Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Implementatierichtlijn Organisaties behoren op het hoogste niveau een informatiebeveiligingsbeleid te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken. Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit: a) bedrijfsstrategie; b) wet- en regelgeving en contracten; c) huidige en verwachte bedreigingen inzake informatiebeveiliging. Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende: 10

13 a) de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging; b) toekenning van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen; c) processen voor het behandelen van afwijkingen en uitzonderingen. Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stelt en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen. en van dergelijke beleidsonderwerpen zijn: a) toegangsbeveiliging (zie hoofdstuk 9); b) classificatie van informatie (en verwerking) (zie 8.2); c) fysieke en omgevingsbeveiliging (zie hoofdstuk 11); d) onderwerpen die gericht zijn op de eindgebruiker zoals: 1) aanvaardbaar gebruik van bedrijfsmiddelen (zie ); 2) clear desk en clear screen (zie ); 3) informatietransport (zie ); 4) mobiele apparatuur en telewerken (zie 6.2); 5) beperkingen t.a.v. software-installaties en -gebruik (zie ); e) back-up (zie 12.3); f) informatietransport (zie 13.2); g) bescherming tegen malware (zie 12.2); h) beheer van technische kwetsbaarheden (zie ); i) cryptografische beheersmaatregelen (zie hoofdstuk 10); j) communicatiebeveiliging (zie hoofdstuk 13); k) privacy en bescherming van persoonsgegevens (zie ); l) leveranciersrelaties (zie hoofdstuk 15). Deze beleidsregels behoren te worden gecommuniceerd aan medewerkers en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging (zie 7.2.2). Overige informatie De behoefte aan interne beleidsregels voor informatiebeveiliging varieert tussen organisaties. Interne beleidsregels zijn vooral nuttig in grote en complexe organisaties waar de personen die de verwachte niveaus van beheersing definiëren en goedkeuren, zijn gescheiden van de personen die de beheersmaatregelen implementeren, of in situaties waarin beleidsregels gelden voor veel verschillende 11

14 personen of functies in de organisatie. Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake informatiebeveiligingsbeleid of als een reeks individuele maar gerelateerde documenten. Als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie bekend wordt. Sommige organisaties gebruiken andere termen voor deze beleidsdocumenten, zoals normen, richtlijnen of regels Beoordeling van het informatiebeveiligingsbeleid Beheersmaatregel Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. Implementatierichtlijn Elk beleid behoort een eigenaar te hebben die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. De beoordeling behoort mede de beoordeling te omvatten van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving. De beoordeling van beleidsregels voor informatiebeveiliging behoort rekening te houden met de resultaten van directiebeoordelingen. Voor een herzien beleid behoort de goedkeuring van de directie te worden verkregen. 6 Organiseren van informatiebeveiliging 6.1 Interne organisatie Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen Rollen en verantwoordelijkheden bij informatiebeveiliging Beheersmaatregel Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. Implementatierichtlijn Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke informatiebeveiligingsprocessen behoren te worden geïdentificeerd. Verantwoordelijkheden behoren te worden gedefinieerd voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende risico s. Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteiten. Lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen behoren te worden gedefinieerd. 12

15 Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend mogen beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht. Vastgelegd behoort te worden welke personen voor welke gebieden verantwoordelijk zijn. Het volgende behoort in het bijzonder te gebeuren: a) de bedrijfsmiddelen en informatiebeveiligingsprocessen behoren te worden geïdentificeerd en gedefinieerd; b) de entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces behoort te worden bepaald en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd (zie 8.1.2); c) autorisatieniveaus behoren te worden gedefinieerd en gedocumenteerd; d) om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen behoren de benoemde personen op het desbetreffende gebied competent te zijn en behoort hun de mogelijkheden te worden geboden om de ontwikkelingen bij te houden; e) coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties behoren te worden geïdentificeerd en gedocumenteerd. Overige informatie Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van beheersmaatregelen te ondersteunen. Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan Scheiding van taken Beheersmaatregel Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Implementatierichtlijn Er behoort op te worden gelet dat geen enkele persoon ongemerkt of zonder autorisatie toegang kan krijgen tot bedrijfsmiddelen, ze kan wijzigen of gebruiken. Het initiëren van een gebeurtenis behoort te worden gescheiden van de autorisatie ervan. Bij het ontwerpen van beheersmaatregelen behoort rekening te worden gehouden met de mogelijkheid van samenzwering. Voor kleine organisaties kan het moeilijk zijn om taken te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar is. Wanneer het moeilijk is om taken te scheiden, behoren andere beheersmaatregelen zoals het monitoren van activiteiten, audittrajecten en supervisie door de directie te worden overwogen. Overige informatie Scheiding van taken is een methode om het risico op toevallig of opzettelijk misbruik van bedrijfsmiddelen van een organisatie te verminderen. 13

16 Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer WB Delft NEN Standards Products & Services Postbus GB Delft Vlinderweg AX Delft Ja, ik bestel ex. NEN-ISO/IEC C1+C2:2015 nl Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging T (015) F (015) Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via Gratis nieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze nieuwsbrieven. Gegevens Bedrijf / Instelling T.a.v. O M O V Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2018, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon , dagelijks van 8.30 tot uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: LEREN, WERKEN EN GROEIEN MET NEN preview