Informatiebeveiliging

Kennis

Informatiebeveiliging

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Pellentesque laoreet, nulla egestas semper viverra, ante mauris sodales elit, nec sollicitudin neque erat ut mi.

ISO 27001 - Informatiebeveiligingsmanagementsysteem - eisen

Deze internationale standaard bevat de eisen die gesteld worden aan een informatiebeveiligingsmanagementsysteem (ISMS). Als organisatie kunt u zich laten certificeren tegen deze ISO 27001 norm.

De norm bevat ten eerste de eisen van het managementsysteem (clausule 4 tot en met 10). Deze onderdelen zijn het hart van het managementsysteem en zijn op een aantal vlakken bedrijfskundig van aard. Te denken valt aan het in kaart brengen van relevante betrokkenen, de bijbehorende verwachtingen behoeften en nalevingsverplichtingen (stakeholder analyse). Ten tweede bevat de norm ook een tabel met beheersdoelstellingen en -maatregelen die als referentie dienen (en zeker ook als best-practice) bij het selecteren van de juiste beheersmaatregelen. Hierbij speelt ook de Verklaring van toepasselijkheid (Engels: Statement of app ik belletrie) een rol: dit overzicht verklaart onder andere of u maatregelen wel of niet van toepassing hebt verklaard, en de reden daarvan.

De norm wordt periodiek herzien en zo nodig geactualiseerd. Zodoende ontstaan er steeds nieuwe versies die onder andere te herkennen zijn aan het gebruik van een jaartal zoals ISO 27001: 2013 en ISO 27001: 2022.

ISO 27002 - praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging

Deze internationale standaard biedt een scala aan beheersmaatregelen en bijbehorende implementatierichtlijnen. Deze maatregelen raken zowel het fysieke, menselijke, technische als het organisatorische domein. Tegen de ISO 27002 kan een organisatie zich niet laten certificeren. Wel zijn er situaties waarin een organisatie verklaard aan deze norm te voldoen (let op: een verklaring is geen certificering). In dat geval zijn de beheersmaatregelen opgenomen in het toetsingsraamwerk (control framework) en geeft de organisatie zelf een verklaring af of heeft zij dit laten toetsen door een onafhankelijke auditpartij. Zie hierover meer onder die ISAE 3000

Deze norm kan als leidraad gebruikt worden in het proces van selecteren implementeren van de beheersmaatregelen uit de annex A van de ISO 27001. Tegelijkertijd wordt deze richtlijn ook regelmatig gebruikt om een algemeen aanvaardbaar niveau van beheersmaatregelen voor informatiebeveiliging te bereiken. In dit laatste geval is het startpunt de beheersmaatregelen én worden de eisen van het managementsysteem (4 tot en met 10) van de ISO 27001 dus niet geïmplementeerd.