Nederlandse norm. NEN-ISO/IEC C1+C2 (nl)

Vergelijkbare documenten
Vervangt NEN-EN :2000 Ontw. Nederlandse norm. NEN-EN (en)

Vervangt NEN 913:1963; NEN 913:1998 Ontw. Nederlandse norm. NEN 913 (nl) Melk en vloeibare melkproducten - Bepaling van de titreerbare zuurtegraad

Hoe operationaliseer ik de BIC?

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Nederlandse voornorm NAD-NVN-ENV (nl)

Voorbeeld. Preview. NEN-IEC /A2 (en; fr) Wijzigingsblad. Nederlandse

Nederlandse norm. NEN-EN (en)

Voorbeeld. norm NEN-EN Preview. Ontwerp

Vervangt NEN-EN :1997; NEN-EN :1999 Ontw. Nederlandse norm. NEN-EN (en)

Vervangt CR :1996; NEN-EN :2003 Ontw. Nederlandse norm. NEN-EN (en)

Vervangt NEN-EN 50182:1994 Ontw. Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN 3576 (nl) Beglazing van kozijnen, ramen en deuren Functionele eisen

(en; fr) Matten van isolerend materiaal voor elektrotechnische doeleinden (IEC 61111:1992,MOD,IEC 61111:1992/C1:2000,MOD)

Nederlandse norm. NEN-EN (en) Lichtmasten - Deel 3-2: Ontwerp en verificatie - Verificatie door beproeving

Nederlandse norm. NEN 6578 (nl) Water - Potentiometrische bepaling van het totale gehalte aan totaal fluoride

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

Verklaring van Toepasselijkheid

Nederlandse norm. NEN 5087/A1 (nl) Inbraakveiligheid van woningen - Bereikbaarheid van dak- en gevelelementen: deuren, ramen en kozijnen

Soil - Investigation, sampling and analysis of asbestos in soil augustus 2006 ICS

Nederlandse norm NEN Dit document mag slechts op een stand-alone PC worden geïnstalleerd. Gebruik op een netwerk is alleen.

NTA 2581 (nl) Opstellen van meetrapporten volgens NEN Nederlandse technische afspraak ICS ;

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

Nederlandse praktijkrichtlijn NPR (nl) Evenementen - Hijs- en heftechniek - Veiligheidsfactoren voor hijs- en hefmiddelen

Voorbeeld. norm NEN 2559/A2 Onderhoud van draagbare blustoestellen. Preview. Wijzigingsblad

Nederlandse norm. NEN 5754 (nl) Bodem - Berekening van het gehalte aan organische stof volgens de gloeiverliesmethode

Vervangt NEN-EN :2001. Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN-EN-ISO 4287 (en)

Nederlandse praktijkrichtlijn. NPR-CLC/TR (en) Leidraad voor de toepassing van de Europese norm EN (NEN-EN 50160)

Voorbeeld. norm. Preview. NEN-ISO/IEC 18004/C1 (en) Correctieblad

Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN 6702/A1 (nl) Technische grondslagen voor bouwconstructies - TGB Belastingen en vervormingen

HKZ-certificatieschema > zzp ers in zorg en welzijn

Nederlandse norm. NEN /A1 (nl)

Nederlandse norm. NEN-ISO/IEC (nl)

Voorbeeld. Preview. norm. NEN-ISO/IEC /C2 (en) Correctieblad

Nederlandse norm NEN-IEC /A2. (en; fr)

Vervangt NEN-EN :1994; NEN-EN :1994/Ontw. A1:1997. Nederlandse norm. NEN-EN (en)

Fire safety of larger fire compartments - Risk approach juni 2016 ICS

Nederlandse norm. NEN-ISO /A1 (en)

Nederlandse norm. NEN 6633/A1 (nl) Water en (zuiverings)slib - Bepaling van het chemisch zuurstofverbruik (CZV)

Voorbeeld. norm NEN-ISO Preview

Vervangt NPR 3749:1993; NPR 3749:2004 Ontw. Nederlandse praktijkrichtlijn. NPR 3749 (nl)

Nederlandse norm. NEN (nl) Schuldhulpverlening - Deel 2: Eisen aan schuldhulpverleners

Nederlandse norm. NEN (nl) Zetsteen - Deel 2: Zetsteen van cementbeton, zonder interlocking en zonder wapening

Voorbeeld NËN : ISÖ3903. Preview. Nederlandse. Scheepsbouw en maritieme constructies. Gewone rechthoekige scheepsramen (ISO 3903:1993)

Power cables with XLPE insulation and PVC sheath, with special fire performance and having a rated voltage of 0,6/1 kv mei 2004 ICS

Vervangt NEN-EN-IEC :1998. Nederlandse norm. NEN-EN (en)

Vervangt NEN 6814:1999 Ontw. Nederlandse norm. NEN 6814 (nl)

Nederlandse norm. NEN-ISO 16039/A1 (en)

Samen met NEN-ISO 68-1:1999 vervangt deze norm NEN 81:1982. Nederlandse norm NEN-ISO 724

Vervangt NEN-EN 50248:1998; NEN-EN 50248:1999 Ontw. Nederlandse norm. NEN-EN (en) Kenmerken van DAB-ontvangers. Characteristics of DAB receivers

Nederlandse norm. NEN 3140/A1 (nl) Bedrijfsvoering van elektrische installaties Laagspanning. Operation of electrical installations Low voltage

Nederlandse norm. NEN 5706 (nl) Richtlijnen voor de beschrijving van zintuiglijke waarnemingen tijdens de uitvoering van milieukundig bodemonderzoek

Vervangt NEN-EN :1998 Ontw.; NEN-EN 50061:1991,deels; NEN-EN 50061:1991/A1:1995,deels; NEN-EN 50061:1991/A1:1995/C1:1995,deels

Vervangt NEN-EN 50402:2003 Ontw. Nederlandse norm. NEN-EN (en)

Nederlandse norm NEN 4001+C1. (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Nederlandse praktijkrichtlijn. NPR 3471 (nl) Keuze, gebruik, verzorging en onderhoud van kleding met hoge zichtbaarheid

Nederlandse norm. NEN 2025 (nl) Communicatie bij het werken met hijs- en hefwerktuigen. Communication for the guidance of cranes and hoisting gear

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Voorbeeld. Preview. NPR 13201/A1 (nl) Nederlandse praktijkrichtlijn. Openbare verlichting Kwaliteitscriteria. Public lighting Quality criteria

Voorbeeld. norm. Preview. NEN 1006/A1 (nl) Wijzigingsblad. Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002)

Vervangt NEN 5466:1999/A2:2003; NEN 5466:1999/Ontw. A3:2004

Nederlandse norm. NEN 8078 (nl) Voorziening voor gas met een werkdruk tot en met 500 mbar - Prestatie-eisen - Bestaande bouw

Nederlandse norm NEN (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Ontwerp norm NEN 7909

Nederlandse norm. NEN-EN-ISO (nl) Bouwkundige tekeningen - Aanduidingssystemen - Deel 2: Ruimtenamen en -nummers (ISO :1998)

Voorbeeld. norm NEN 1006/A3 Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002) Preview. Ontwerp. Publicatie uitsluitend voor commentaar

Nederlandse norm. NEN-ISO /A1 (en)

Verlichtingsarmaturen - Deel 2-22: Bijzondere eisen voor verlichtingsarmaturen voor noodverlichting oktober 2016 ICS

Nederlandse norm. NEN-EN (en)

Vervangt NPR 3637:1994. Nederlandse praktijkrichtlijn NPR 3637

Voorbeeld. Preview. norm. Correctieblad

Bedrijfsvoering van elektrische installaties. Operation of electrical installations. Aanvullende Nederlandse bepalingen voor hoogspanningsinstallaties

Nederlandse norm. NEN-ISO/IEC C11+C1+C2 (nl)

Voorbeeld. Preview. NEN-EN-ISO (en) Dit document is een voorbeeld van NEN / This document is a preview by NEN. Nederlandse

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen

Nederlandse norm. NEN-ISO/IEC (nl)

Nederlandse norm. NTA 8013 (nl) Procedure voor het controleren van PV-systemen. Procedure for checking PV-systems. ICS 27.

Nederlands certificatieschema. NCS 7201 (nl) ICS ; november 2017

Vervangt NPR 3596:2000. Nederlandse praktijkrichtlijn. NPR 3596 (nl)

Voorbeeld. norm. Preview. NEN 2535/C1 (nl) Correctieblad

Nederlandse norm. NEN-EN-ISO 6165 (nl) Grondverzetmachines Basistypen Woordenlijst (ISO 6165:1997)

Voorbeeld. Preview NEN-EN Dit document is een voorbeeld van NEN / This document is a preview by NEN

NEN-ISO (nl) Assetmanagement Managementsystemen - Eisen. Nederlandse norm ICS Februari 2014

Voorbeeld. Preview. norm. Correctieblad. Audio/video, information and communication technology equipment - Part 1: Safety requirements.

NEN 1010+C1/A1+C1 (nl)

Nederlandse norm. NEN-EN (nl) Producten van staal - Keuringsdocumenten - Lijst en omschrijving van informatie

Transcriptie:

Nederlandse norm Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. NEN-ISO/IEC 27002+C1+C2 (nl) Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging (ISO/IEC 27002:2013 en,idt) Information technology - Security techniques - Code of practice for information security controls (ISO/IEC 27002:2013 en,idt) Vervangt NEN-ISO/IEC 27002:2013 nl ICS 35.040 december 2015

NEN-ISO/IEC 27002:2013+C1+C2:2015 Nederlands voorwoord Dit document bevat de vertaling in het Nederlands van de internationale norm ISO/IEC 27002:2013. De internationale norm ISO/IEC 27001:2013 heeft de status van Nederlandse norm. Op NEN-ISO/IEC 27002:2013 zijn correcties verschenen (in de correctiebladen C1 en C2), die in deze geconsolideerde versie zijn verwerkt. De correcties zijn op de volgende plaatsen aangebracht: [C1] 7.1.2: bedrijfsmiddelen van de organisatie die samenhangen met informatie is vervangen door informatie van de organisatie, andere bedrijfsmiddelen die samenhangen met informatie. [C1] 8.1.1: Bedrijfsmiddelen die samenhangen is vervangen door Informatie, andere bedrijfsmiddelen die samenhangen. [C1] 8.1.3: bedrijfsmiddelen van de organisatie die samenhangen met informatie is vervangen door informatie van de organisatie, andere bedrijfsmiddelen die samenhangen met informatie. [C2] 14.2.8, Implementatierichtlijn: 14.1.9 is vervangen door 14.2.9 Voor de in deze norm vermelde normatieve verwijzingen bestaan in Nederland de volgende equivalenten: vermelde norm Nederlandse norm titel ISO/IEC 27000 NEN-ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and vocabulary Normcommissie 381 027 "IT-Beveiligingstechnieken" THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Netherlands Standardization Institute. The Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Nederlands Normalisatie-instituut gepubliceerde uitgaven. 2015 Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) 2 690 390, Fax (015) 2 690 190

Inhoud Voorwoord... 5 0 Inleiding... 6 0.1 Achtergrond en context... 6 0.2 Informatiebeveiligingseisen... 6 0.3 Beheersmaatregelen selecteren... 7 0.4 Eigen richtlijnen ontwikkelen... 7 0.5 Overwegingen betreffende de levenscyclus... 7 0.6 Gerelateerde normen... 8 1 Onderwerp en toepassingsgebied... 9 2 Normatieve verwijzingen... 9 3 Termen en definities... 9 4 Structuur van deze norm... 9 4.1 Hoofdstukken... 9 4.2 Categorieën beheersmaatregelen... 10 5 Informatiebeveiligingsbeleid... 10 5.1 Aansturing door de directie van de informatiebeveiliging... 10 5.1.1 Beleidsregels voor informatiebeveiliging... 10 5.1.2 Beoordeling van het informatiebeveiligingsbeleid... 12 6 Organiseren van informatiebeveiliging... 12 6.1 Interne organisatie... 12 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging... 12 6.1.2 Scheiding van taken... 13 6.1.3 Contact met overheidsinstanties... 14 6.1.4 Contact met speciale belangengroepen... 14 6.1.5 Informatiebeveiliging in projectbeheer... 15 6.2 Mobiele apparatuur en telewerken... 15 6.2.1 Beleid voor mobiele apparatuur... 15 6.2.2 Telewerken... 17 7 Veilig personeel... 18 7.1 Voorafgaand aan het dienstverband... 18 7.1.1 Screening... 18 7.1.2 Arbeidsvoorwaarden... 19 7.2 Tijdens het dienstverband... 20 7.2.1 Directieverantwoordelijkheden... 20 7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging... 21 7.2.3 Disciplinaire procedure... 22 7.3 Beëindiging en wijziging van dienstverband... 23 7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband... 23 8 Beheer van bedrijfsmiddelen... 23 8.1 Verantwoordelijkheid voor bedrijfsmiddelen... 23 8.1.1 Inventariseren van bedrijfsmiddelen... 23 8.1.2 Eigendom van bedrijfsmiddelen... 24 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen... 25 8.1.4 Teruggeven van bedrijfsmiddelen... 25 8.2 Informatieclassificatie... 25 8.2.1 Classificatie van informatie... 25 8.2.2 Informatie labelen... 27 8.2.3 Behandelen van bedrijfsmiddelen... 27 8.3 Behandelen van media... 28 8.3.1 Beheer van verwijderbare media... 28 8.3.2 Verwijderen van media... 28 8.3.3 Media fysiek overdragen... 29 1

9 Toegangsbeveiliging... 30 9.1 Bedrijfseisen voor toegangsbeveiliging... 30 9.1.1 Beleid voor toegangsbeveiliging... 30 9.1.2 Toegang tot netwerken en netwerkdiensten... 31 9.2 Beheer van toegangsrechten van gebruikers... 32 9.2.1 Registratie en afmelden van gebruikers... 32 9.2.2 Gebruikers toegang verlenen... 32 9.2.3 Beheren van speciale toegangsrechten... 33 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers... 34 9.2.5 Beoordeling van toegangsrechten van gebruikers... 35 9.2.6 Toegangsrechten intrekken of aanpassen... 35 9.3 Verantwoordelijkheden van gebruikers... 36 9.3.1 Geheime authenticatie-informatie gebruiken... 36 9.4 Toegangsbeveiliging van systeem en toepassing... 37 9.4.1 Beperking toegang tot informatie... 37 9.4.2 Beveiligde inlogprocedures... 37 9.4.3 Systeem voor wachtwoordbeheer... 39 9.4.4 Speciale systeemhulpmiddelen gebruiken... 39 9.4.5 Toegangsbeveiliging op programmabroncode... 40 10 Cryptografie... 41 10.1 Cryptografische beheersmaatregelen... 41 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen... 41 10.1.2 Sleutelbeheer... 42 11 Fysieke beveiliging en beveiliging van de omgeving... 43 11.1 Beveiligde gebieden... 43 11.1.1 Fysieke beveiligingszone... 43 11.1.2 Fysieke toegangsbeveiliging... 44 11.1.3 Kantoren, ruimten en faciliteiten beveiligen... 45 11.1.4 Beschermen tegen bedreigingen van buitenaf... 46 11.1.5 Werken in beveiligde gebieden... 46 11.1.6 Laad- en loslocatie... 46 11.2 Apparatuur... 47 11.2.1 Plaatsing en bescherming van apparatuur... 47 11.2.2 Nutsvoorzieningen... 48 11.2.3 Beveiliging van bekabeling... 48 11.2.4 Onderhoud van apparatuur... 49 11.2.5 Verwijdering van bedrijfsmiddelen... 49 11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein... 50 11.2.7 Veilig verwijderen of hergebruiken van apparatuur... 51 11.2.8 Onbeheerde gebruikersapparatuur... 51 11.2.9 Clear desk - en clear screen -beleid... 52 12 Beveiliging bedrijfsvoering... 52 12.1 Bedieningsprocedures en verantwoordelijkheden... 52 12.1.1 Gedocumenteerde bedieningsprocedures... 52 12.1.2 Wijzigingsbeheer... 53 12.1.3 Capaciteitsbeheer... 54 12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen... 55 12.2 Bescherming tegen malware... 56 12.2.1 Beheersmaatregelen tegen malware... 56 12.3 Back-up... 57 12.3.1 Back-up van informatie... 57 12.4 Verslaglegging en monitoren... 58 12.4.1 Gebeurtenissen registreren... 58 12.4.2 Beschermen van informatie in logbestanden... 59 12.4.3 Logbestanden van beheerders en operators... 60 12.4.4 Kloksynchronisatie... 60 12.5 Beheersing van operationele software... 61 12.5.1 Software installeren op operationele systemen... 61 12.6 Beheer van technische kwetsbaarheden... 62 2

12.6.1 Beheer van technische kwetsbaarheden... 62 12.6.2 Beperkingen voor het installeren van software... 63 12.7 Overwegingen betreffende audits van informatiesystemen... 64 12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen... 64 13 Communicatiebeveiliging... 64 13.1 Beheer van netwerkbeveiliging... 64 13.1.1 Beheersmaatregelen voor netwerken... 64 13.1.2 Beveiliging van netwerkdiensten... 65 13.1.3 Scheiding in netwerken... 66 13.2 Informatietransport... 67 13.2.1 Beleid en procedures voor informatietransport... 67 13.2.2 Overeenkomsten over informatietransport... 68 13.2.3 Elektronische berichten... 69 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst... 69 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen... 70 14.1 Beveiligingseisen voor informatiesystemen... 70 14.1.1 Analyse en specificatie van informatiebeveiligingseisen... 70 14.1.2 Toepassingen op openbare netwerken beveiligen... 72 14.1.3 Transacties van toepassingen beschermen... 73 14.2 Beveiliging in ontwikkelings- en ondersteunende processen... 74 14.2.1 Beleid voor beveiligd ontwikkelen... 74 14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen... 74 14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform... 76 14.2.4 Beperkingen op wijzigingen aan softwarepakketten... 76 14.2.5 Principes voor engineering van beveiligde systemen... 77 14.2.6 Beveiligde ontwikkelomgeving... 77 14.2.7 Uitbestede softwareontwikkeling... 78 14.2.8 Testen van systeembeveiliging... 79 14.2.9 Systeemacceptatietests... 79 14.3 Testgegevens... 79 14.3.1 Bescherming van testgegevens... 79 15 Leveranciersrelaties... 80 15.1 Informatiebeveiliging in leveranciersrelaties... 80 15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties... 80 15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten... 81 15.1.3 Toeleveringsketen van informatie- en communicatietechnologie... 83 15.2 Beheer van dienstverlening van leveranciers... 84 15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers... 84 15.2.2 Beheer van veranderingen in dienstverlening van leveranciers... 85 16 Beheer van informatiebeveiligingsincidenten... 86 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen... 86 16.1.1 Verantwoordelijkheden en procedures... 86 16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen... 87 16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging... 88 16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen... 88 16.1.5 Respons op informatiebeveiligingsincidenten... 88 16.1.6 Lering uit informatiebeveiligingsincidenten... 89 16.1.7 Verzamelen van bewijsmateriaal... 89 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer... 90 17.1 Informatiebeveiligingscontinuïteit... 90 17.1.1 Informatiebeveiligingscontinuïteit plannen... 90 17.1.2 Informatiebeveiligingscontinuïteit implementeren... 91 17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren... 92 17.2 Redundante componenten... 92 17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten... 92 18 Naleving... 93 18.1 Naleving van wettelijke en contractuele eisen... 93 3

18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen... 93 18.1.2 Intellectuele-eigendomsrechten... 93 18.1.3 Beschermen van registraties... 94 18.1.4 Privacy en bescherming van persoonsgegevens... 95 18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen... 96 18.2 Informatiebeveiligingsbeoordelingen... 96 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging... 96 18.2.2 Naleving van beveiligingsbeleid en -normen... 97 18.2.3 Beoordeling van technische naleving... 98 Bibliografie... 99 4

Voorwoord ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van Internationale Normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo s, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Internationale Normen worden opgesteld in overeenstemming met de voorschriften die zijn opgenomen in de ISO/IEC-richtlijnen, deel 2. ISO/IEC 27002 is opgesteld door ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques. Er wordt op gewezen dat sommige delen van dit document mogelijk beschermd zijn door patentrechten. ISO is niet verantwoordelijk voor identificatie van dergelijke patentrechten. Deze tweede versie herroept en vervangt de eerste versie (ISO/IEC 27002:2005), die technisch en structureel is herzien. 5

0 Inleiding 0.1 Achtergrond en context Deze Internationale Norm is ontworpen voor organisaties om te worden gebruikt als referentie voor het selecteren van beheersmaatregelen binnen het implementatieproces van een managementsysteem voor informatiebeveiliging (ISMS) gebaseerd op ISO/IEC 27001 [10] of als een leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging implementeren. Deze norm is ook bedoeld om te worden gebruikt voor het ontwikkelen van industrie- en organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer die rekening houden met hun specifieke informatiebeveiligingsrisico s. Organisaties van elk type en elke omvang (met inbegrip van openbare en particuliere, commerciële en nonprofitorganisaties) verzamelen, verwerken, bewaren en brengen informatie in vele vormen over, waaronder elektronisch, fysiek en mondeling (bijv. via gesprekken en presentaties). De waarde van informatie is niet beperkt tot het geschreven woord, getallen en figuren: kennis, concepten, ideeën en merken zijn voorbeelden van immateriële vormen van informatie. In een onderling verbonden wereld zijn informatie- en gerelateerde processen, systemen, netwerken en medewerkers die betrokken zijn bij het uitvoeren, behandelen en beschermen ervan, bedrijfsmiddelen die, evenals andere belangrijke bedrijfsmiddelen, waardevol zijn voor de bedrijfsvoering van een organisatie en daarom bescherming tegen diverse risico s verdienen of vereisen. Bedrijfsmiddelen zijn onderhevig aan opzettelijke en onopzettelijke bedreigingen, terwijl de gerelateerde processen, systemen, netwerken en personen inherente kwetsbaarheden. Wijzigingen in bedrijfsprocessen en -systemen, of andere externe wijzigingen (zoals nieuwe wetten en regelgeving) kunnen nieuwe informatiebeveiligingsrisico s met zich mee brengen. Daardoor en gezien de veelheid van manieren waarop bedreigingen kwetsbaarheden kunnen benutten om de organisatie schade toe te brengen, zijn informatiebeveiligingsrisico s altijd aanwezig. Doeltreffende informatiebeveiliging vermindert deze risico s door de organisatie te beschermen tegen bedreigingen en kwetsbaarheden, en verkleint de impact op haar bedrijfsmiddelen. Informatiebeveiliging wordt bereikt door een passende reeks beheersmaatregelen te implementeren met inbegrip van beleid, processen, procedures, organisatiestructuren en software- en hardwarefuncties. Om te bewerkstelligen dat de specifieke veiligheids- en bedrijfsdoelstellingen van de organisatie worden gehaald, is het noodzakelijk dat deze beheersmaatregelen worden vastgesteld, geïmplementeerd, gemonitord, beoordeeld en verbeterd, waar nodig. Een ISMS zoals omschreven in ISO/IEC 27001 [10] benadert de informatiebeveiligingsrisico s van de organisatie holistisch en gecoördineerd met het doel om een allesomvattende reeks beheersmaatregelen voor informatiebeveiliging te implementeren onder het algehele kader van een samenhangend managementsysteem. Veel informatiesystemen zijn niet ontworpen om te zijn beveiligd in de zin van ISO/IEC 27001 [10] en de voorliggende norm. De beveiliging die kan worden bereikt via technische middelen is beperkt en behoort te worden ondersteund door passend beheer en passende procedures. Het bepalen van de passende beheersmaatregelen vereist zorgvuldige planning en aandacht voor details. Een succesvol ISMS vereist de inzet van alle medewerkers binnen de organisatie. Ook participatie van aandeelhouders, leveranciers of andere externe partijen kan vereist zijn. Ook kan specialistisch advies van externe partijen nodig zijn. In algemenere zin geeft doeltreffende informatiebeveiliging de directie en andere belanghebbenden de zekerheid dat de bedrijfsmiddelen van de organisatie redelijk veilig en tegen schade beschermd zijn, waardoor de beveiliging de bedrijfsuitvoering bevordert. 0.2 Informatiebeveiligingseisen Het is essentieel dat een organisatie haar beveiligingseisen bepaalt. Er zijn drie belangrijke bronnen voor beveiligingseisen: 6

a) de beoordeling van de risico s waar de organisatie aan blootgesteld is, rekening houdend met de algehele bedrijfsstrategie en -doelstellingen. Via een risicobeoordeling worden bedreigingen voor bedrijfsmiddelen vastgesteld, de kwetsbaarheid voor en de waarschijnlijkheid dat een bepaalde bedreiging zich voordoet, geëvalueerd en wordt de potentiële impact ingeschat; b) de wettelijke, statutaire, regelgevende en contractuele eisen waaraan een organisatie, haar handelspartners, leveranciers en dienstverleners, en hun sociaal-culturele omgeving, moeten voldoen; c) de reeks van principes, doelstellingen en bedrijfseisen die gelden voor het hanteren, verwerken, bewaren, communiceren en archiveren van informatie die een organisatie heeft ontwikkeld om haar bedrijfsvoering te ondersteunen. Hulpmiddelen die worden gebruikt voor het implementeren van beheersmaatregelen behoren te worden afgewogen tegen de bedrijfsschade die waarschijnlijk ontstaat door beveiligingsproblemen als dergelijke beheersmaatregelen niet worden genomen. De resultaten van een risicobeoordeling dienen als richtlijn en helpen de directie bij het bepalen van de passende actie en de prioriteiten voor het beheer van informatiebeveiligingsrisico s en voor het implementeren van beheersmaatregelen die zijn gekozen ter bescherming tegen deze risico s. ISO/IEC 27005 [11] biedt een richtlijn voor het risicobeheer van informatiebeveiliging, met inbegrip van advies over risicobeoordeling, -behandeling, accepteren van risico s, communiceren over risico s, monitoren en opnieuw beoordelen van risico. 0.3 Beheersmaatregelen selecteren Beheersmaatregelen kunnen worden geselecteerd uit deze norm of uit andere overzichten van beheersmaatregelen. Ook kunnen nieuwe beheersmaatregelen worden ontworpen die voldoen aan specifieke behoeften indien nodig. De selectie van beheersmaatregelen hangt af van de beslissingen van de organisatie die zijn gebaseerd op de criteria voor het accepteren van risico s, de opties voor het omgaan met risico s en de algemene benadering van risicobeheer die in de organisatie wordt toegepast, en behoort ook in overeenstemming te zijn met alle relevante nationale en internationale wet- en regelgeving. De selectie van beheersmaatregelen hangt ook samen met de manier waarop deze beheersmaatregelen op elkaar inwerken om een diepteverdediging te bewerkstelligen. Een aantal van de beheersmaatregelen in deze norm kan worden beschouwd als richtlijn voor informatiebeveiligingsbeheer die voor de meeste organisaties van toepassing is. De beheersmaatregelen worden hierna gedetailleerder uiteengezet samen met richtlijnen voor implementatie. Meer informatie over het selecteren van beheersmaatregelen en andere opties voor het omgaan met risico s is te vinden in ISO/IEC 27005 [11]. 0.4 Eigen richtlijnen ontwikkelen Deze Internationale Norm kan worden beschouwd als uitgangspunt voor het ontwikkelen van organisatiespecifieke richtlijnen. Mogelijk zijn niet alle beheersmaatregelen en richtlijnen in deze praktijkrichtlijn van toepassing. Voorts zijn mogelijk aanvullende beheersmaatregelen en richtlijnen vereist die niet in deze norm zijn opgenomen. Als er documenten zijn ontwikkeld die aanvullende richtlijnen of beheersmaatregelen bevatten, kan het, voor zover van toepassing, nuttig zijn kruisverwijzingen op te nemen naar hoofdstukken in deze norm om het voor auditoren en zakenpartners gemakkelijker te maken om op naleving te controleren. 0.5 Overwegingen betreffende de levenscyclus Informatie heeft een natuurlijke levenscyclus, van aanmaken en ontstaan, via opslag, verwerking, gebruik en verzending tot uiteindelijk vernietiging of waardeverlies. De waarde van en risico s voor bedrijfsmiddelen kunnen tijdens hun levenscyclus variëren (bijvoorbeeld ongeoorloofde bekendmaking of diefstal van de 7

financiële rekeningen van een bedrijf is veel minder belangrijk nadat deze officieel zijn gepubliceerd), maar informatiebeveiliging blijft tot op zekere hoogte in alle stadia belangrijk. Informatiesystemen hebben levenscycli waarbinnen ze worden gemaakt, gespecificeerd, ontworpen, ontwikkeld, getest, geïmplementeerd, gebruikt, onderhouden en ten slotte buiten bedrijf worden gesteld en verwijderd. In elk stadium behoort rekening te worden gehouden met informatiebeveiliging. Nieuwe systeemontwikkelingen en wijzigingen aan bestaande systemen bieden organisaties kansen om beheersmaatregelen te actualiseren en te verbeteren, rekening houdend met feitelijke incidenten en huidige en verwachte informatiebeveiligingsrisico s. 0.6 Gerelateerde normen Terwijl deze norm richtlijnen biedt voor een brede waaier aan beheersmaatregelen voor informatiebeveiliging die in veel verschillende organisaties gangbaar zijn, bieden de overige normen in de ISO/IEC 27000-familie aanvullende eisen of advies met betrekking tot andere aspecten van het algehele proces van informatiebeveiligingsbeheer. Zie ISO/IEC 27000 voor een algemene introductie van beide ISMS en en de normenfamilie. ISO/IEC 27000 biedt een glossarium dat de meeste in de ISO/IEC 27000-normenfamilie gebruikte termen formeel definieert, en het onderwerp, toepassingsgebied en de doelstellingen voor elk onderdeel van de familie beschrijft. 8

Informatietechnologie Beveiligingstechnieken Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging 1 Onderwerp en toepassingsgebied Deze Internationale Norm geeft richtlijnen voor informatiebeveiligingsnormen voor organisaties en toepassingen inzake informatiebeveiligingsbeheer, waaronder de selectie, implementatie en het beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico s van de organisatie gelden. Deze Internationale Norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om: a) beheersmaatregelen te selecteren binnen het implementatieproces van een managementsysteem voor informatiebeveiliging gebaseerd op ISO/IEC 27001 [10]; b) algemeen aanvaarde beheersmaatregelen inzake informatiebeveiliging te implementeren; c) hun eigen richtlijnen voor informatiebeveiligingsbeheer te ontwikkelen. 2 Normatieve verwijzingen De volgende documenten, waarnaar als geheel of voor een onderdeel, in dit document normatief is verwezen, zijn onmisbaar voor de toepassing ervan. Bij gedateerde verwijzingen is alleen de aangehaalde uitgave van toepassing. Bij ongedateerde verwijzingen is de laatste uitgave van het document (met inbegrip van eventuele wijzigings- en correctiebladen) waarnaar is verwezen van toepassing. ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary 3 Termen en definities Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000. 4 Structuur van deze norm Deze norm bevat 14 clausules over beheersmaatregelen die tezamen totaal 35 hoofdbeveiligingscategorieën en 114 beheersmaatregelen bevatten. 4.1 Hoofdstukken Elk hoofdstuk dat beheersmaatregelen inzake beveiliging definieert, bevat een of meer hoofdbeveiligingscategorieën. De volgorde van de hoofdstukken in deze norm zegt niets over hun belang. Afhankelijk van de omstandigheden kunnen beheersmaatregelen uit een of uit alle hoofdstukken belangrijk zijn. Daarom behoort elke organisatie die deze norm toepast geschikte beheersmaatregelen, hun belang en hun toepassing voor individuele bedrijfsprocessen te bepalen. Verder staan opsommingen in deze norm niet in volgorde van prioriteit. 9

4.2 Categorieën beheersmaatregelen Elke hoofdbeveiligingscategorie beheersmaatregelen bevat: a) een beheersdoelstelling die aangeeft wat moet worden bereikt; b) een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. Omschrijvingen van de beheersmaatregelen zijn als volgt opgebouwd: Beheersmaatregel Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijn Biedt meer gedetailleerde informatie om de implementatie van de beheersmaatregel te ondersteunen en om te voldoen aan de doelstelling van de beheersmaatregel. De richtlijnen zijn mogelijk niet in alle situaties geheel passend of toereikend en voldoen mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie. Overige informatie Biedt meer informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen. Indien er geen overige informatie wordt geboden, wordt dit onderdeel weggelaten. 5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. 5.1.1 Beleidsregels voor informatiebeveiliging Beheersmaatregel Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Implementatierichtlijn Organisaties behoren op het hoogste niveau een informatiebeveiligingsbeleid te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken. Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit: a) bedrijfsstrategie; b) wet- en regelgeving en contracten; c) huidige en verwachte bedreigingen inzake informatiebeveiliging. Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende: 10

a) de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging; b) toekenning van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen; c) processen voor het behandelen van afwijkingen en uitzonderingen. Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stelt en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen. en van dergelijke beleidsonderwerpen zijn: a) toegangsbeveiliging (zie hoofdstuk 9); b) classificatie van informatie (en verwerking) (zie 8.2); c) fysieke en omgevingsbeveiliging (zie hoofdstuk 11); d) onderwerpen die gericht zijn op de eindgebruiker zoals: 1) aanvaardbaar gebruik van bedrijfsmiddelen (zie 8.1.3.); 2) clear desk en clear screen (zie 11.2.9); 3) informatietransport (zie 13.2.1); 4) mobiele apparatuur en telewerken (zie 6.2); 5) beperkingen t.a.v. software-installaties en -gebruik (zie 12.6.2); e) back-up (zie 12.3); f) informatietransport (zie 13.2); g) bescherming tegen malware (zie 12.2); h) beheer van technische kwetsbaarheden (zie 12.6.1); i) cryptografische beheersmaatregelen (zie hoofdstuk 10); j) communicatiebeveiliging (zie hoofdstuk 13); k) privacy en bescherming van persoonsgegevens (zie 18.1.4); l) leveranciersrelaties (zie hoofdstuk 15). Deze beleidsregels behoren te worden gecommuniceerd aan medewerkers en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging (zie 7.2.2). Overige informatie De behoefte aan interne beleidsregels voor informatiebeveiliging varieert tussen organisaties. Interne beleidsregels zijn vooral nuttig in grote en complexe organisaties waar de personen die de verwachte niveaus van beheersing definiëren en goedkeuren, zijn gescheiden van de personen die de beheersmaatregelen implementeren, of in situaties waarin beleidsregels gelden voor veel verschillende 11

personen of functies in de organisatie. Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake informatiebeveiligingsbeleid of als een reeks individuele maar gerelateerde documenten. Als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie bekend wordt. Sommige organisaties gebruiken andere termen voor deze beleidsdocumenten, zoals normen, richtlijnen of regels. 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Beheersmaatregel Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. Implementatierichtlijn Elk beleid behoort een eigenaar te hebben die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. De beoordeling behoort mede de beoordeling te omvatten van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving. De beoordeling van beleidsregels voor informatiebeveiliging behoort rekening te houden met de resultaten van directiebeoordelingen. Voor een herzien beleid behoort de goedkeuring van de directie te worden verkregen. 6 Organiseren van informatiebeveiliging 6.1 Interne organisatie Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen. 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging Beheersmaatregel Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. Implementatierichtlijn Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke informatiebeveiligingsprocessen behoren te worden geïdentificeerd. Verantwoordelijkheden behoren te worden gedefinieerd voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende risico s. Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteiten. Lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen behoren te worden gedefinieerd. 12

Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend mogen beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht. Vastgelegd behoort te worden welke personen voor welke gebieden verantwoordelijk zijn. Het volgende behoort in het bijzonder te gebeuren: a) de bedrijfsmiddelen en informatiebeveiligingsprocessen behoren te worden geïdentificeerd en gedefinieerd; b) de entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces behoort te worden bepaald en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd (zie 8.1.2); c) autorisatieniveaus behoren te worden gedefinieerd en gedocumenteerd; d) om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen behoren de benoemde personen op het desbetreffende gebied competent te zijn en behoort hun de mogelijkheden te worden geboden om de ontwikkelingen bij te houden; e) coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties behoren te worden geïdentificeerd en gedocumenteerd. Overige informatie Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van beheersmaatregelen te ondersteunen. Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan. 6.1.2 Scheiding van taken Beheersmaatregel Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Implementatierichtlijn Er behoort op te worden gelet dat geen enkele persoon ongemerkt of zonder autorisatie toegang kan krijgen tot bedrijfsmiddelen, ze kan wijzigen of gebruiken. Het initiëren van een gebeurtenis behoort te worden gescheiden van de autorisatie ervan. Bij het ontwerpen van beheersmaatregelen behoort rekening te worden gehouden met de mogelijkheid van samenzwering. Voor kleine organisaties kan het moeilijk zijn om taken te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar is. Wanneer het moeilijk is om taken te scheiden, behoren andere beheersmaatregelen zoals het monitoren van activiteiten, audittrajecten en supervisie door de directie te worden overwogen. Overige informatie Scheiding van taken is een methode om het risico op toevallig of opzettelijk misbruik van bedrijfsmiddelen van een organisatie te verminderen. 13

Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer 10214 2600 WB Delft NEN Standards Products & Services Postbus 5059 2600 GB Delft Vlinderweg 6 2623 AX Delft Ja, ik bestel ex. NEN-ISO/IEC 27002+C1+C2:2015 nl Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging 205.65 T (015) 2 690 390 F (015) 2 690 271 www.nen.nl/normshop Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via www.nen.nl/normshop Gratis e-mailnieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze e-mailnieuwsbrieven. www.nen.nl/nieuwsbrieven Gegevens Bedrijf / Instelling T.a.v. O M O V E-mail Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: 015 2 690 271 E-mail: klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2018, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon 015 2 690 391, dagelijks van 8.30 tot 17.00 uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: www.nen.nl/leveringsvoorwaarden. LEREN, WERKEN EN GROEIEN MET NEN preview - 2018

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback