ISO/IEC 27001

ISO 27001 is een ISO standaard voor informatiebeveiliging. De standaard bestaat feitelijk uit Deel 2 van de BS 7799, de standaard waarin wordt beschreven hoe Informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO/IEC 17799 te effectueren. In Nederland is het vastgesteld als NEN norm NEN-ISO/IEC 27001:2005 en vertaald naar het Nederlands en o.b.v. pas toe of leg uit verplicht gesteld voor Nederlandse overheden door het College standaardisatie.^[1] In 2013 is een nieuwe versie uitgekomen en tevens in het Nederlands vertaald. De structuur is volledig gewijzigd en komt nu overeen met de in 2015 geïntroduceerde 'High Level Structure' die binnen o.a. ISO 9001 (kwaliteitszorg) en ISO 14001 (milieuzorg) toegepast wordt.

Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie.

De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.

De eisen in deze internationale norm zijn algemeen en bedoeld om van toepassing te zijn op alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer van de eisen van hoofdstukken 4, 5, 6, 7, en 8 is niet aanvaardbaar als een organisatie naleving van deze internationale norm wil claimen.

De Baseline Informatiebeveiliging Rijksdienst is gebaseerd op deze ISO.^[2]

Gerelateerde Versies

• ISO/IEC 27000 - de woordenlijst met de in de ISO 27000-serie gebruikte begrippen
• ISO/IEC 27002 - het voorgestelde versienummer van de huidige ISO/IEC 17799.
• ISO/IEC 27003 - een nieuwe implementatiehandleiding
• ISO/IEC 27004 - een nieuwe standaard voor beveiligingsmaatregelen en KPI's (Key Performance Indicators)
• ISO/IEC 27005 - een voorgestelde standaard voor risicomanagement, vermoedelijk gerelateerd aan de huidige BS 7799 deel 3
• ISO/IEC 27006 - een certificerings- en registratiehandleiding

Externe links

• BSI's ISO 27001 bronnen
• ISO 17799 en ISO 27001 Wiki
• Pagina bij het NEN
• Gratis online tool voor uitvoeren van risicoanalyse op basis van ISO 27001