Code voor Informatiebeveiliging

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

De Code voor Informatiebeveiliging is de Nederlandse versie van de British Standards 7799, ofwel BS 7799, die later als ISO/IEC 17799 als internationale standaard voor informatiebeveiliging in organisaties is gepubliceerd. De Code voor Informatiebeveiliging bestaat uit twee delen: een norm (NEN ISO 27001, voorheen BS 7799-2) en een 'code of practice' (NEN ISO 27002, voorheen NEN ISO 17799:2005). Certificering gebeurt tegen de norm, de 'code of practice' geeft handreikingen voor de implementatie van maatregelen in de organisatie.

De Code voor Informatiebeveiliging beschrijft normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. De Code wordt uitgebracht door het Nederlands Normalisatie-instituut (NEN).

Revisies[bewerken]

  • NEN-ISO/IEC 17799:2002 nl
  • NEN-ISO/IEC 17799:2005 nl
  • NEN-ISO/IEC 27002:2007 nl
  • NEN-ISO/IEC 27002:2013 nl
  • NEN-ISO/IEC 27002:2013/C1:2014 nl
  • NEN-ISO/IEC 27002:2013/C2:2015 nl

Voor de zorgsector in Nederland is een aangepaste versie van de Code opgesteld, de NEN 7510. Doel van deze variant op de Code is de drempel voor de toepassing van informatiebeveiliging voor deze sector te verlagen. De invoering van de NEN 7510 wordt vooral vanuit de overheid gestimuleerd.

NEN-ISO 27002:2013 bestond uit 114 beleidsmaatregelen en is opgedeeld in de volgende hoofdstukken

  • Structuur van de norm (Structure)
  • Informatiebeveiligingsbeleid (Security Policy)
  • Organiseren van informatiebeveiliging (Organization of Information Security)
  • Veilig personeel (Human Resources Security)
  • Beheer van bedrijfsmiddelen (Asset Management)
  • Toegangsbeveiliging (Access Control)
  • Cryptografie (Cryptography)
  • Fysieke beveiliging en beveiliging van de omgeving (Physical And Environmental Security)
  • Beveiliging bedrijfsvoering (Operations security)
  • Communicatiebeveiliging (Communications Security)
  • Acquisitie, ontwikkeling en onderhoud van informatiesystemen (Information Systems Acquisition, Development, Maintenance)
  • Leveranciersrelaties (Supplier Relationships)
  • Beheer van informatiebeveiligingsincidenten (Information Security Incident management)
  • Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer (Information Security Aspects of Business Continuity)
  • Naleving (Compliance)

Wet bescherming persoonsgegevens[bewerken]

De Autoriteit Persoonsgegevens (AP) controleert op de uitvoering van de Wpb (Wet bescherming persoonsgegevens). Als norm voor de uitvoering van Artikel 13 van de Wbp, wordt onder andere naar de 'code voor informatiebeveiliging' gerefereerd door het AP.

Externe links[bewerken]