Nederlandse norm. (nl) NEN-EN-ISO/IEC 27002

Transcriptie

1 Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. Nederlandse norm NEN-EN-ISO/IEC (nl) Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging Information technology - Security techniques - Code of practice for information security controls Vervangt NEN-ISO/IEC C1+C2:2015; ICS ; ; maart 2017

2 NEN-EN-ISO/IEC Dit document bevat de vertaling in het Nederlands van de Europese norm EN-ISO/IEC 27002:2017. De Europese norm EN-ISO/IEC 27002:2017 heeft de status van Nederlandse norm. Normcommissie 'Informatiebeveiliging, Cyber security en Privacy' THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Royal Netherlands Standardization Institute. The Royal Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Koninklijk Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Koninklijk Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Royal Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Royal Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Koninklijk Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Koninklijk Nederlands Normalisatie-instituut gepubliceerde uitgaven Koninklijk Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) , Fax (015)

3 E U R O P E S E N O R M EN ISO/IEC E U R O P Ä I S C H E N O R M E U R O P E A N S T A N D A R D N O R M E E U R O P É E N N E februari 2017 ICS ; Nederlandstalige versie Informatietechnologie Beveiligingstechnieken Beveiligingstechnieken Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging (ISO/IEC 27002:2013 inclusief Cor 1:2014 en Cor 2:2015) Informationstechnik - Sicherheitsverfahren - Informationssicherheits- Managementsysteme - Anforderungen (ISO/IEC 27002:2013 einschließ Cor 1:2014 en Cor 2:2015) Information technology Security techniques Information security management systems - Requirements (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015) Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences (ISO/IEC :2013 compris Cor 1 :2014 et Cor 2 :2015) Deze norm is de Nederlandstalige versie van de Europese norm EN ISO/IEC 27002:2017. Hij is vertaald door NEN. Hij heeft dezelfde status als de officiële versies. Deze Europese norm is door CEN aangenomen op 26 januari CEN- en CENELEC-leden zijn verplicht zich te houden aan het huishoudelijk reglement van CEN-CENELEC, waarin is vastgelegd onder welke voorwaarden aan deze Europese norm, zonder veranderingen, de status van nationale norm moet worden gegeven. Bijgewerkte lijsten van en bibliografische gegevens betreffende zulke nationale normen kunnen op aanvraag worden verkregen bij het managementcentrum van CEN-CENELEC en bij elk CEN- en CENELEC-lid. Deze Europese norm bestaat in drie officiële versies (Duits, Engels en Frans). Een versie in een andere taal die onder verantwoordelijkheid van een CEN-lid in zijn landstaal is gemaakt en die is aangemeld bij het managementcentrum van CEN-CENELEC, heeft dezelfde status als de officiële versies. Leden van CEN en CENELEC zijn de nationale normalisatieorganisaties van België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Macedonië, Malta, Nederland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Servië, Slovenië, Slowakije, Spanje, Tsjechië, Turkije, het Verenigd Koninkrijk, Zweden en Zwitserland. CEN Europees Comité voor Normalisatie Europäisches Komitee für Normung European Committee for Standardization Comité Européen de Normalisation Managementcentrum CEN-CENELEC: Marnixlaan 17, B-1000 Brussel 2017 CEN and CENELEC Alle rechten van gebruik, in welke vorm en op welke wijjze dan ook, zijn voorbehouden aan de CEN/CENELECleden. Ref. No. EN ISO/IEC 27002:2017 nl

4 (blanco)

5 Inhoud Voorwoord Inleiding Achtergrond en context Informatiebeveiligingseisen Beheersmaatregelen selecteren Eigen richtlijnen ontwikkelen Overwegingen betreffende de levenscyclus Gerelateerde normen Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Structuur van deze norm Hoofdstukken Categorieën beheersmaatregelen Informatiebeveiligingsbeleid Aansturing door de directie van de informatiebeveiliging Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging Interne organisatie Rollen en verantwoordelijkheden bij informatiebeveiliging Scheiding van taken Contact met overheidsinstanties Contact met speciale belangengroepen Informatiebeveiliging in projectbeheer Mobiele apparatuur en telewerken Beleid voor mobiele apparatuur Telewerken Veilig personeel Voorafgaand aan het dienstverband Screening Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheden Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire procedure Beëindiging en wijziging van dienstverband Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventariseren van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Teruggeven van bedrijfsmiddelen Informatieclassificatie Classificatie van informatie Informatie labelen

6 8.2.3 Behandelen van bedrijfsmiddelen Behandelen van media Beheer van verwijderbare media Verwijderen van media Media fysiek overdragen Toegangsbeveiliging Bedrijfseisen voor toegangsbeveiliging Beleid voor toegangsbeveiliging Toegang tot netwerken en netwerkdiensten Beheer van toegangsrechten van gebruikers Registratie en afmelden van gebruikers Gebruikers toegang verlenen Beheren van speciale toegangsrechten Beheer van geheime authenticatie-informatie van gebruikers Beoordeling van toegangsrechten van gebruikers Toegangsrechten intrekken of aanpassen Verantwoordelijkheden van gebruikers Geheime authenticatie-informatie gebruiken Toegangsbeveiliging van systeem en toepassing Beperking toegang tot informatie Beveiligde inlogprocedures Systeem voor wachtwoordbeheer Speciale systeemhulpmiddelen gebruiken Toegangsbeveiliging op programmabroncode Cryptografie Cryptografische beheersmaatregelen Beleid inzake het gebruik van cryptografische beheersmaatregelen Sleutelbeheer Fysieke beveiliging en beveiliging van de omgeving Beveiligde gebieden Fysieke beveiligingszone Fysieke toegangsbeveiliging Kantoren, ruimten en faciliteiten beveiligen Beschermen tegen bedreigingen van buitenaf Werken in beveiligde gebieden Laad- en loslocatie Apparatuur Plaatsing en bescherming van apparatuur Nutsvoorzieningen Beveiliging van bekabeling Onderhoud van apparatuur Verwijdering van bedrijfsmiddelen Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Beveiliging bedrijfsvoering Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Capaciteitsbeheer Scheiding van ontwikkel-, test- en productieomgevingen

7 12.2 Bescherming tegen malware Beheersmaatregelen tegen malware Back-up Back-up van informatie Verslaglegging en monitoren Gebeurtenissen registreren Beschermen van informatie in logbestanden Logbestanden van beheerders en operators Kloksynchronisatie Beheersing van operationele software Software installeren op operationele systemen Beheer van technische kwetsbaarheden Beheer van technische kwetsbaarheden Beperkingen voor het installeren van software Overwegingen betreffende audits van informatiesystemen Beheersmaatregelen betreffende audits van informatiesystemen Communicatiebeveiliging Beheer van netwerkbeveiliging Beheersmaatregelen voor netwerken Beveiliging van netwerkdiensten Scheiding in netwerken Informatietransport Beleid en procedures voor informatietransport Overeenkomsten over informatietransport Elektronische berichten Vertrouwelijkheids- of geheimhoudingsovereenkomst Acquisitie, ontwikkeling en onderhoud van informatiesystemen Beveiligingseisen voor informatiesystemen Analyse en specificatie van informatiebeveiligingseisen Toepassingen op openbare netwerken beveiligen Transacties van toepassingen beschermen Beveiliging in ontwikkelings- en ondersteunende processen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen besturingsplatform Beperkingen op wijzigingen aan softwarepakketten Principes voor engineering van beveiligde systemen Beveiligde ontwikkelomgeving Uitbestede softwareontwikkeling Testen van systeembeveiliging Systeemacceptatietests Testgegevens Bescherming van testgegevens Leveranciersrelaties Informatiebeveiliging in leveranciersrelaties Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Beheer van dienstverlening van leveranciers Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers Beheer van informatiebeveiligingsincidenten

8 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen Verantwoordelijkheden en procedures Rapportage van informatiebeveiligingsgebeurtenissen Rapportage van zwakke plekken in de informatiebeveiliging Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen Respons op informatiebeveiligingsincidenten Lering uit informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingscontinuïteit Informatiebeveiligingscontinuïteit plannen Informatiebeveiligingscontinuïteit implementeren Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren Redundante componenten Beschikbaarheid van informatieverwerkende faciliteiten Naleving Naleving van wettelijke en contractuele eisen Vaststellen van toepasselijke wetgeving en contractuele eisen Intellectuele-eigendomsrechten Beschermen van registraties Privacy en bescherming van persoonsgegevens Voorschriften voor het gebruik van cryptografische beheersmaatregelen Informatiebeveiligingsbeoordelingen Onafhankelijke beoordeling van informatiebeveiliging Naleving van beveiligingsbeleid en -normen Beoordeling van technische naleving Bibliografie

9 9

10 Europees voorwoord De tekst van ISO/IEC 27002:2013 inclusief Cor 1:2014 and Cor 2:2015 zijn opgesteld door Technische Subcommissie ISO/IEC/JTC 1/SC 27 Information security van de Internationale Organisatie voor Standaardisatie (ISO) en het International Elektrotechnische Comité (IEC) en is overgenomen als EN ISO/IEC 27001: Aan deze Europese norm moet uiterlijk in augustus 2017 de status van nationale norm worden gegeven, door publicatie van een identieke tekst of door bekrachtiging, en strijdige nationale normen moeten uiterlijk in augustus 2017 worden ingetrokken. Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. CEN (en/of CENELEC) is niet verantwoordelijk voor identificatie van dergelijke patentrechten. Volgens het huishoudelijk reglement van CEN-CENELEC zijn de normalisatieorganisaties van de volgende landen verplicht deze Europese norm in te voeren: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Macedonië, Malta, Nederland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië, Turkije, het Verenigd Koninkrijk, Zweden en Zwitserland. V erklaring van bekrachtiging De tekst van ISO/IEC 27002:2013 inclusief Cor 1:2014 and Cor 2:2015 is zonder wijzigingen door CEN als EN ISO/IEC 27002:2017 aanvaard. Voorwoord ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van Internationale Normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo s, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Internationale Normen worden opgesteld in overeenstemming met de voorschriften die zijn opgenomen in de ISO/IEC-richtlijnen, deel 2. ISO/IEC is opgesteld door ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques. Er wordt op gewezen dat sommige delen van dit document mogelijk beschermd zijn door patentrechten. ISO is niet verantwoordelijk voor identificatie van dergelijke patentrechten. Deze tweede versie herroept en vervangt de eerste versie (ISO/IEC 27002:2005), die technisch en structureel is herzien. 10

11 0 Inleiding 0.1 Achtergrond en context Deze Internationale Norm is ontworpen voor organisaties om te worden gebruikt als referentie voor het selecteren van beheersmaatregelen binnen het implementatieproces van een managementsysteem voor informatiebeveiliging (ISMS) gebaseerd op ISO/IEC [10] of als een leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging implementeren. Deze norm is ook bedoeld om te worden gebruikt voor het ontwikkelen van industrieen organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer die rekening houden met hun specifieke informatiebeveiligingsrisico s. Organisaties van elk type en elke omvang (met inbegrip van openbare en particuliere, commerciële en non-profitorganisaties) verzamelen, verwerken, bewaren en brengen informatie in vele vormen over, waaronder elektronisch, fysiek en mondeling (bijv. via gesprekken en presentaties). De waarde van informatie is niet beperkt tot het geschreven woord, getallen en figuren: kennis, concepten, ideeën en merken zijn voorbeelden van immateriële vormen van informatie. In een onderling verbonden wereld zijn informatie- en gerelateerde processen, systemen, netwerken en medewerkers die betrokken zijn bij het uitvoeren, behandelen en beschermen ervan, bedrijfsmiddelen die, evenals andere belangrijke bedrijfsmiddelen, waardevol zijn voor de bedrijfsvoering van een organisatie en daarom bescherming tegen diverse risico s verdienen of vereisen. Bedrijfsmiddelen zijn onderhevig aan opzettelijke en onopzettelijke bedreigingen, terwijl de gerelateerde processen, systemen, netwerken en personen inherente kwetsbaarheden. Wijzigingen in bedrijfsprocessen en -systemen, of andere externe wijzigingen (zoals nieuwe wetten en regelgeving) kunnen nieuwe informatiebeveiligingsrisico s met zich mee brengen. Daardoor en gezien de veelheid van manieren waarop bedreigingen kwetsbaarheden kunnen benutten om de organisatie schade toe te brengen, zijn informatiebeveiligingsrisico s altijd aanwezig. Doeltreffende informatiebeveiliging vermindert deze risico s door de organisatie te beschermen tegen bedreigingen en kwetsbaarheden, en verkleint de impact op haar bedrijfsmiddelen. Informatiebeveiliging wordt bereikt door een passende reeks beheersmaatregelen te implementeren met inbegrip van beleid, processen, procedures, organisatiestructuren en software- en hardwarefuncties. Om te bewerkstelligen dat de specifieke veiligheids- en bedrijfsdoelstellingen van de organisatie worden gehaald, is het noodzakelijk dat deze beheersmaatregelen worden vastgesteld, geïmplementeerd, gemonitord, beoordeeld en verbeterd, waar nodig. Een ISMS zoals omschreven in ISO/IEC [10] benadert de informatiebeveiligingsrisico s van de organisatie holistisch en gecoördineerd met het doel om een allesomvattende reeks beheersmaatregelen voor informatiebeveiliging te implementeren onder het algehele kader van een samenhangend managementsysteem. Veel informatiesystemen zijn niet ontworpen om te zijn beveiligd in de zin van ISO/IEC [10] en de voorliggende norm. De beveiliging die kan worden bereikt via technische middelen is beperkt en behoort te worden ondersteund door passend beheer en passende procedures. Het bepalen van de passende beheersmaatregelen vereist zorgvuldige planning en aandacht voor details. Een succesvol ISMS vereist de inzet van alle medewerkers binnen de organisatie. Ook participatie van aandeelhouders, leveranciers of andere externe partijen kan vereist zijn. Ook kan specialistisch advies van externe partijen nodig zijn. In algemenere zin geeft doeltreffende informatiebeveiliging de directie en andere belanghebbenden de zekerheid dat de bedrijfsmiddelen van de organisatie redelijk veilig en tegen schade beschermd zijn, waardoor de beveiliging de bedrijfsuitvoering bevordert. 11

12 0.2 Informatiebeveiligingseisen Het is essentieel dat een organisatie haar beveiligingseisen bepaalt. Er zijn drie belangrijke bronnen voor beveiligingseisen: a) de beoordeling van de risico s waar de organisatie aan blootgesteld is, rekening houdend met de algehele bedrijfsstrategie en -doelstellingen. Via een risicobeoordeling worden bedreigingen voor bedrijfsmiddelen vastgesteld, de kwetsbaarheid voor en de waarschijnlijkheid dat een bepaalde bedreiging zich voordoet, geëvalueerd en wordt de potentiële impact ingeschat; b) de wettelijke, statutaire, regelgevende en contractuele eisen waaraan een organisatie, haar handelspartners, leveranciers en dienstverleners, en hun sociaal-culturele omgeving, moeten voldoen; c) de reeks van principes, doelstellingen en bedrijfseisen die gelden voor het hanteren, verwerken, bewaren, communiceren en archiveren van informatie die een organisatie heeft ontwikkeld om haar bedrijfsvoering te ondersteunen. Hulpmiddelen die worden gebruikt voor het implementeren van beheersmaatregelen behoren te worden afgewogen tegen de bedrijfsschade die waarschijnlijk ontstaat door beveiligingsproblemen als dergelijke beheersmaatregelen niet worden genomen. De resultaten van een risicobeoordeling dienen als richtlijn en helpen de directie bij het bepalen van de passende actie en de prioriteiten voor het beheer van informatiebeveiligingsrisico s en voor het implementeren van beheersmaatregelen die zijn gekozen ter bescherming tegen deze risico s. ISO/IEC [11] biedt een richtlijn voor het risicobeheer van informatiebeveiliging, met inbegrip van advies over risicobeoordeling, -behandeling, accepteren van risico s, communiceren over risico s, monitoren en opnieuw beoordelen van risico. 0.3 Beheersmaatregelen selecteren Beheersmaatregelen kunnen worden geselecteerd uit deze norm of uit andere overzichten van beheersmaatregelen. Ook kunnen nieuwe beheersmaatregelen worden ontworpen die voldoen aan specifieke behoeften indien nodig. De selectie van beheersmaatregelen hangt af van de beslissingen van de organisatie die zijn gebaseerd op de criteria voor het accepteren van risico s, de opties voor het omgaan met risico s en de algemene benadering van risicobeheer die in de organisatie wordt toegepast, en behoort ook in overeenstemming te zijn met alle relevante nationale en internationale wet- en regelgeving. De selectie van beheersmaatregelen hangt ook samen met de manier waarop deze beheersmaatregelen op elkaar inwerken om een diepteverdediging te bewerkstelligen. Een aantal van de beheersmaatregelen in deze norm kan worden beschouwd als richtlijn voor informatiebeveiligingsbeheer die voor de meeste organisaties van toepassing is. De beheersmaatregelen worden hierna gedetailleerder uiteengezet samen met richtlijnen voor implementatie. Meer informatie over het selecteren van beheersmaatregelen en andere opties voor het omgaan met risico s is te vinden in ISO/IEC [11]. 0.4 Eigen richtlijnen ontwikkelen Deze Internationale Norm kan worden beschouwd als uitgangspunt voor het ontwikkelen van organisatiespecifieke richtlijnen. Mogelijk zijn niet alle beheersmaatregelen en richtlijnen in deze praktijkrichtlijn van toepassing. Voorts zijn mogelijk aanvullende beheersmaatregelen en richtlijnen 12

13 vereist die niet in deze norm zijn opgenomen. Als er documenten zijn ontwikkeld die aanvullende richtlijnen of beheersmaatregelen bevatten, kan het, voor zover van toepassing, nuttig zijn kruisverwijzingen op te nemen naar hoofdstukken in deze norm om het voor auditoren en zakenpartners gemakkelijker te maken om op naleving te controleren. 0.5 Overwegingen betreffende de levenscyclus Informatie heeft een natuurlijke levenscyclus, van aanmaken en ontstaan, via opslag, verwerking, gebruik en verzending tot uiteindelijk vernietiging of waardeverlies. De waarde van en risico s voor bedrijfsmiddelen kunnen tijdens hun levenscyclus variëren (bijvoorbeeld ongeoorloofde bekendmaking of diefstal van de financiële rekeningen van een bedrijf is veel minder belangrijk nadat deze officieel zijn gepubliceerd), maar informatiebeveiliging blijft tot op zekere hoogte in alle stadia belangrijk. Informatiesystemen hebben levenscycli waarbinnen ze worden gemaakt, gespecificeerd, ontworpen, ontwikkeld, getest, geïmplementeerd, gebruikt, onderhouden en ten slotte buiten bedrijf worden gesteld en verwijderd. In elk stadium behoort rekening te worden gehouden met informatiebeveiliging. Nieuwe systeemontwikkelingen en wijzigingen aan bestaande systemen bieden organisaties kansen om beheersmaatregelen te actualiseren en te verbeteren, rekening houdend met feitelijke incidenten en huidige en verwachte informatiebeveiligingsrisico s. 0.6 Gerelateerde normen Terwijl deze norm richtlijnen biedt voor een brede waaier aan beheersmaatregelen voor informatiebeveiliging die in veel verschillende organisaties gangbaar zijn, bieden de overige normen in de ISO/IEC familie aanvullende eisen of advies met betrekking tot andere aspecten van het algehele proces van informatiebeveiligingsbeheer. Zie ISO/IEC voor een algemene introductie van beide ISMS en en de normenfamilie. ISO/IEC biedt een glossarium dat de meeste in de ISO/IEC normenfamilie gebruikte termen formeel definieert, en het onderwerp, toepassingsgebied en de doelstellingen voor elk onderdeel van de familie beschrijft. 13

14 Informatietechnologie Beveiligingstechnieken Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging 1 Onderwerp en toepassingsgebied Deze Internationale Norm geeft richtlijnen voor informatiebeveiligingsnormen voor organisaties en toepassingen inzake informatiebeveiligingsbeheer, waaronder de selectie, implementatie en het beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico s van de organisatie gelden. Deze Internationale Norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om: a) beheersmaatregelen te selecteren binnen het implementatieproces van een managementsysteem voor informatiebeveiliging gebaseerd op ISO/IEC [10]; b) algemeen aanvaarde beheersmaatregelen inzake informatiebeveiliging te implementeren; c) hun eigen richtlijnen voor informatiebeveiligingsbeheer te ontwikkelen. 2 Normatieve verwijzingen De volgende documenten, waarnaar als geheel of voor een onderdeel, in dit document normatief is verwezen, zijn onmisbaar voor de toepassing ervan. Bij gedateerde verwijzingen is alleen de aangehaalde uitgave van toepassing. Bij ongedateerde verwijzingen is de laatste uitgave van het document (met inbegrip van eventuele wijzigings- en correctiebladen) waarnaar is verwezen van toepassing. ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary 3 Termen en definities Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC Structuur van deze norm Deze norm bevat 14 clausules over beheersmaatregelen die tezamen totaal 35 hoofdbeveiligingscategorieën en 114 beheersmaatregelen bevatten. 4.1 Hoofdstukken Elk hoofdstuk dat beheersmaatregelen inzake beveiliging definieert, bevat een of meer hoofdbeveiligingscategorieën. De volgorde van de hoofdstukken in deze norm zegt niets over hun belang. Afhankelijk van de omstandigheden kunnen beheersmaatregelen uit een of uit alle hoofdstukken belangrijk zijn. Daarom behoort elke organisatie die deze norm toepast geschikte beheersmaatregelen, hun belang en hun 14

15 toepassing voor individuele bedrijfsprocessen te bepalen. Verder staan opsommingen in deze norm niet in volgorde van prioriteit. 4.2 Categorieën beheersmaatregelen Elke hoofdbeveiligingscategorie beheersmaatregelen bevat: a) een beheersdoelstelling die aangeeft wat moet worden bereikt; b) een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. Omschrijvingen van de beheersmaatregelen zijn als volgt opgebouwd: Beheersmaatregel Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijn Biedt meer gedetailleerde informatie om de implementatie van de beheersmaatregel te ondersteunen en om te voldoen aan de doelstelling van de beheersmaatregel. De richtlijnen zijn mogelijk niet in alle situaties geheel passend of toereikend en voldoen mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie. Overige informatie Biedt meer informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen. Indien er geen overige informatie wordt geboden, wordt dit onderdeel weggelaten. 5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving Beleidsregels voor informatiebeveiliging Beheersmaatregel Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Implementatierichtlijn Organisaties behoren op het hoogste niveau een informatiebeveiligingsbeleid te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken. Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit: 15

16 Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer WB Delft NEN Standards Products & Services Postbus GB Delft Vlinderweg AX Delft Ja, ik bestel ex. nl Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging T (015) F (015) Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via Gratis nieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze nieuwsbrieven. Gegevens Bedrijf / Instelling T.a.v. O M O V Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2018, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon , dagelijks van 8.30 tot uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: LEREN, WERKEN EN GROEIEN MET NEN preview