ISO/IEC 27001

Uit Wikipedia, de vrije encyclopedie

ISO 27001 is een ISO-standaard voor informatiebeveiliging. De standaard bestaat feitelijk uit Deel 2 van de BS 7799, de standaard waarin wordt beschreven hoe Informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO/IEC 17799 te effectueren.

Adoptie in Nederland[bewerken | brontekst bewerken]

In Nederland werd de standaard als NEN-norm NEN-ISO/IEC 27001:2005 vastgesteld en vertaald naar het Nederlands en op basis van het 'pas toe of leg uit' principe verplicht gesteld voor Nederlandse overheden door het Forum Standaardisatie.[1] Een eerste herziening verscheen in 2013, met een structuur die aansluit bij de 'High Level Structure' geïntroduceerd in 2015. Deze structuur werd ook al gebruikt in andere normen zoals ISO 9001 voor kwaliteitszorg en ISO 14001 voor milieuzorg. De meest actuele versie is de NEN-EN-ISO/IEC 27001:2023, gepubliceerd in augustus 2023.[2] In Europa hanteren we de 'EN'-normen om ervoor te zorgen dat er binnen de hele EU dezelfde regels gelden. De in Nederland van toepassing zijnde NEN-EN versie uit 2023 is identiek aan de wereldwijde ISO/IEC-norm van het jaar 2022. Behalve dan dat er een specifiek Europees voorwoord aan is toegevoegd.

Toepasbaarheid van de norm[bewerken | brontekst bewerken]

Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie.

De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.

De eisen in deze internationale norm zijn algemeen en bedoeld om van toepassing te zijn op alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer van de eisen van hoofdstukken 4, 5, 6, 7, en 8 is niet aanvaardbaar als een organisatie naleving van deze internationale norm wil claimen.

Sector specifieke toepassingen[bewerken | brontekst bewerken]

ISO 27001 en 27002 leggen de basis voor diverse sector specifieke normen, waaronder de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid en NEN 7510 voor de zorgsector in Nederland.[3][4]

Gerelateerde versies[bewerken | brontekst bewerken]

  • ISO/IEC 27000 - de woordenlijst met de in de ISO 27000-serie gebruikte begrippen
  • ISO/IEC 27002 - het voorgestelde versienummer van de huidige ISO/IEC 17799.
  • ISO/IEC 27003 - een nieuwe implementatiehandleiding
  • ISO/IEC 27004 - een nieuwe standaard voor beveiligingsmaatregelen en KPI's (Key Performance Indicators)
  • ISO/IEC 27005 - een voorgestelde standaard voor risicomanagement, vermoedelijk gerelateerd aan de huidige BS 7799 deel 3
  • ISO/IEC 27006 - een certificerings- en registratiehandleiding
  • ISO/IEC 27017 - eisen voor leveranciers en afnemers van clouddiensten
  • ISO/IEC 27018 - een uitwerking van de meer algemene privacystandaard ISO 27002, aangepast aan de cloud
  • ISO/IEC 27701 - een privacy-norm gerelateerd aan de AVG. Deze norm volgt niet de HSE van ISO maar kan als uitbreiding op ISO 27001 en ISO 27017/27018 worden gebruikt.

Externe links[bewerken | brontekst bewerken]