richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Took copyrighted material out of the GIS repo

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-19 19:05:10 +02:00
parent f53af4b9e0
commit 3ea4d4fbb0
345 changed files with 12578 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

23
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 0 Introduction.md Normal file
View file

@ -0,0 +1,23 @@
#iso27001/2022/EN
# Introduction
## 0.1 General
This document has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is a strategic decision for an organization. The establishment and implementation of an organization's information security management system is influenced by the organization's needs and objectives, security requirements, the organizational processes used and the size and structure of the organization. All of these influencing factors are expected to change over time.
The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed.
It is important that the information security management system is part of and integrated with the organization's processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization.
This document can be used by internal and external parties to assess the organization\'s ability to meet the organization's own information security requirements.
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are to be implemented. The list items are enumerated for reference purpose only.
ISO/IEC 27000 describes the overview and the vocabulary of information security management systems, referencing the information security management system family of standards (including ISO/IEC 27003, ISO/IEC 27004 and ISO/IEC 27005), with related terms and definitions.
## 0.2 Compatibility with other management system standards
This document applies the high-level structure, identical sub-clause titles, identical text, common terms, and core definitions defined in Annex SL of ISO/IEC Directives, Part 1, Consolidated ISO Supplement, and therefore maintains compatibility with other management system standards that have adopted the Annex SL.
This common approach defined in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards.

7
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 1 Scope.md Normal file
View file

@ -0,0 +1,7 @@
#iso27001/2022/EN
# 1 Scope
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information
security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document.

5
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 2 Normative references.md Normal file
View file

@ -0,0 +1,5 @@
#iso27001/2022/EN
# 2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

6
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 4.1 Understanding the organization and its context.md Normal file
View file

@ -0,0 +1,6 @@
# Clause 4.1: Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in [[ISO_31000_OT 5.4.1 Understanding the organization and its context|Clause 5.4.1]] of ISO 31000:2018.

12
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 4.2 Understanding the needs and expectations of interested parties.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
# 4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
a\) interested parties that are relevant to the information security management system;
b\) the relevant requirements of these interested parties;
c\) which of these requirements will be addressed through the information security management system.
NOTE The requirements of interested parties can include legal and regulatory requirements and contractual obligations.

14
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 4.3 Determining the scope of the information security management system.md Normal file
View file

@ -0,0 +1,14 @@
#iso27001/2022/EN
# 4.3 Determining the scope of the information security management system
The organization shall determine the boundaries and applicability of the information security management system to establish its scope.
When determining this scope, the organization shall consider:
a\) the external and internal issues referred to in [[ISO_27001_2022_OT 4.1 Understanding the organization and its context|4.1]];
b\) the requirements referred to in [[ISO_27001_2022_4.2_MoC Understanding the needs and expectations of interested parties|4.2]];
c\) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.
The scope shall be available as documented information.

4
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 4.4 Information security management system.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
# 4.4 Information security management system
The organization shall establish, implement, maintain and continually improve an information security management system, including the processes needed and their interactions, in accordance with the requirements of this document.

22
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 5.1 Leadership and commitment.md Normal file
View file

@ -0,0 +1,22 @@
#iso27001/2022/EN
## 5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a\) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b\) ensuring the integration of the information security management system requirements into the organization's processes;
c\) ensuring that the resources needed for the information security management system are available;
d\) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e\) ensuring that the information security management system achieves its intended outcome(s);
f\) directing and supporting persons to contribute to the effectiveness of the information security management system;
g\) promoting continual improvement; and
h\) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
NOTE Reference to "business" in this document can be interpreted broadly to mean those activities that are core to the purposes of the organization's existence.

18
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 5.2 Policy.md Normal file
View file

@ -0,0 +1,18 @@
#iso27001/2022/EN
## 5.2 Policy
Top management shall establish an information security policy that:
a\) is appropriate to the purpose of the organization;
b\) includes information security objectives (see [[ISO_27001_OT 6.2 Information security objectives and planning to achieve them|6.2]]) or provides the framework for setting information security objectives;
c\) includes a commitment to satisfy applicable requirements related to information security;
d\) includes a commitment to continual improvement of the information security management system. The information security policy shall:
e\) be available as documented information;
f\) be communicated within the organization;
g\) be available to interested parties, as appropriate.

12
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_2022_OT 5.3 Organizational roles, responsibilities and authorities.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
## 5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
a\) ensuring that the information security management system conforms to the requirements of this document;
b\) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

4
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 10.1 Continual improvement.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 10.1 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

29
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 10.2 Nonconformity and corrective action.md Normal file
View file

@ -0,0 +1,29 @@
#iso27001/2022/EN
## 10.2 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
a\) react to the nonconformity, and as applicable:
1\) take action to control and correct it;
2\) deal with the consequences;
b\) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
1\) reviewing the nonconformity;
2\) determining the causes of the nonconformity; and
3\) determining if similar nonconformities exist, or could potentially occur;
c\) implement any action needed;
d\) review the effectiveness of any corrective action taken; and
e\) make changes to the information security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
Documented information shall be available as evidence of:
f\) the nature of the nonconformities and any subsequent actions taken,
g\) the results of any corrective action.

18
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 6.1.1 General.md Normal file
View file

@ -0,0 +1,18 @@
### 6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in [[ISO_27001_2022_OT 4.1 Understanding the organization and its context|4.1]] and the requirements referred to in [[ISO_27001_2022_OT 4.2 Understanding the needs and expectations of interested parties|4.2]] and determine the risks and opportunities that need to be addressed to:
a\) ensure the information security management system can achieve its intended outcome(s);
b\) prevent, or reduce, undesired effects;
c\) achieve continual improvement.
The organization shall plan:
d\) actions to address these risks and opportunities; and
e\) how to
1\) integrate and implement the actions into its information security management system processes; and
2\) evaluate the effectiveness of these actions.

24
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 6.1.2 Information security risk assessment.md Normal file
View file

@ -0,0 +1,24 @@
### 6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
a\) establishes and maintains information security risk criteria that include:
1\) the risk acceptance criteria; and
2\) criteria for performing information security risk assessments;
b\) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c\) identifies the information security risks:
1\) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2\) identify the risk owners;
d\) analyses the information security risks:
1\) assess the potential consequences that would result if the risks identified in 6.1.2 c)1) were to materialize;
2\) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c)1) ; and
3\) determine the levels of risk;
e\) evaluates the information security risks:
1\) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2\) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.

29
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 6.1.3 Information security risk treatment.md Normal file
View file

@ -0,0 +1,29 @@
### 6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
a\) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
c\) compare the controls determined in 6.1.3b above with those in [Annex A] and verify that no necessary controls have been omitted;
NOTE 1 Organizations can design controls as required, or identify them from any source.
NOTE 2 [Annex A] contains a list of possible information security controls. Users of this document are directed to [Annex A] to ensure that no necessary information security controls are overlooked.
NOTE 3 The information security controls listed in [Annex A] are not exhaustive and additional information security controls can be included if needed.
d\) produce a Statement of Applicability that contains:
- the necessary controls (see 6.1.3 b) and c);
- justification for their inclusion;
- whether the necessary controls are implemented or not; and
- the justification for excluding any of the [Annex A] controls.
e\) formulate an information security risk treatment plan; and
f\) obtain risk owners' approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.

34
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 6.2 Information security objectives and planning to achieve them.md Normal file
View file

@ -0,0 +1,34 @@
#iso27001/2022/EN
## 6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels.
The information security objectives shall:
a\) be consistent with the information security policy;
b\) be measurable (if practicable);
c\) take into account applicable information security requirements, and results from risk assessment and risk treatment;
d\) be monitored;
e\) be communicated;
f\) be updated as appropriate;
g\) be available as documented information.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
h\) what will be done;
i\) what resources will be required;
j\) who will be responsible;
k\) when it will be completed; and
l\) how the results will be evaluated.

4
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 6.3 Planning of changes.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 6.3 Planning of changes
When the organization determines the need for changes to the information security management system, the changes shall be carried out in a planned manner.

4
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 7.1 Resources.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.

15
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 7.2 Competence.md Normal file
View file

@ -0,0 +1,15 @@
#iso27001/2022/EN
## 7.2 Competence
The organization shall:
a\) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
b\) ensure that these persons are competent on the basis of appropriate education, training, or experience;
c\) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
d\) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the re-assignment of current employees; or the hiring or contracting of competent persons.

11
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 7.3 Awareness.md Normal file
View file

@ -0,0 +1,11 @@
#iso27001/2022/EN
## 7.3 Awareness
Persons doing work under the organization's control shall be aware of:
a\) the information security policy;
b\) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c\) the implications of not conforming with the information security management system requirements.

13
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 7.4 Communication.md Normal file
View file

@ -0,0 +1,13 @@
#iso27001/2022/EN
## 7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
a\) on what to communicate;
b\) when to communicate;
c\) with whom to communicate;
d\) how to communicate.

47
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 7.5 Documented information.md Normal file
View file

@ -0,0 +1,47 @@
#iso27001/2022/EN
## 7.5 Documented information
### 7.5.1 General
The organization's information security management system shall include:
a\) documented information required by this document; and
b\) documented information determined by the organization as being necessary for the effectiveness of the information security management system.
NOTE The extent of documented information for an information security management system can differ from one organization to another due to:
1\) the size of organization and its type of activities, processes, products and services;
2\) the complexity of processes and their interactions; and
3\) the competence of persons.
### 7.5.2 Creating and updating
When creating and updating documented information the organization shall ensure appropriate:
a\) identification and description (e.g. a title, date, author, or reference number);
b\) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c\) review and approval for suitability and adequacy.
### 7.5.3 Control of documented information
Documented information required by the information security management system and by this document shall be controlled to ensure:
a\) it is available and suitable for use, where and when it is needed; and
b\) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as applicable:
c\) distribution, access, retrieval and use;
d\) storage and preservation, including the preservation of legibility;
e\) control of changes (e.g. version control); and
f\) retention and disposition.
Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.
NOTE Access can imply a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.

12
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 8.1 Operational planning and control.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
## 8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet requirements, and to implement the actions determined in Clause 6, by:
- establishing criteria for the processes;
- implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.

6
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 8.2 Information security risk assessment.md Normal file
View file

@ -0,0 +1,6 @@
#iso27001/2022/EN
# Clause 8.2: Information security risk assessment
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in [[ISO_27001_OT 6.1.2 Information security risk assessment|6.1.2a]].
The organization shall retain documented information of the results of the information security risk assessments.

9
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 8.3 Information security risk treatment.md Normal file
View file

@ -0,0 +1,9 @@
---
tags:
- iso27001/2022/EN
---
# Clause 8.3 Information security risk treatment
The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

20
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 9.1 Monitoring, measurement, analysis and evaluation.md Normal file
View file

@ -0,0 +1,20 @@
#iso27001/2022/EN
## 9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
a\) what needs to be monitored and measured, including information security processes and controls;
b\) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
c\) when the monitoring and measuring shall be performed;
d\) who shall monitor and measure;
e\) when the results from monitoring and measurement shall be analysed and evaluated;
f\) who shall analyse and evaluate these results.
Documented information shall be available as evidence of the results.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.

28
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 9.2 Internal audit.md Normal file
View file

@ -0,0 +1,28 @@
#iso27001/2022/EN
## 9.2 Internal audit
### 9.2.1 General
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a\) conforms to
1\) the organization's own requirements for its information security management system;
2\) the requirements of this document;
b\) is effectively implemented and maintained.
### 9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
a\) define the audit criteria and scope for each audit;
b\) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
c\) ensure that the results of the audits are reported to relevant management;
Documented information shall be available as evidence of the implementation of the audit programme(s) and the audit results.

34
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT 9.3 Management review.md Normal file
View file

@ -0,0 +1,34 @@
#iso27001/2022/EN
## 9.3 Management review
### 9.3.1 General
Top management shall review the organization\'s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
### 9.3.2 Management review inputs
The management review shall include consideration of:
a\) the status of actions from previous management reviews;
b\) changes in external and internal issues that are relevant to the information security management system;
c\) changes in needs and expectations of interested parties that are relevant to the information security management system;
d\) feedback on the information security performance, including trends in:
1\) nonconformities and corrective actions;
2\) monitoring and measurement results;
3\) audit results;
4\) fulfilment of information security objectives;
e\) feedback from interested parties;
f\) results of risk assessment and status of risk treatment plan;
g\) opportunities for continual improvement.
### 9.3.3 Management review results
The results of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
Documented information shall be available as evidence of the results of management reviews.

22
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT F Foreword.md Normal file
View file

@ -0,0 +1,22 @@
#iso27001/2022/EN
# Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see [www.iso.org/directives] or [www.iec.ch/members_experts/refdocs]).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see [www.iso.org/patents]) or the IEC list of patent declarations received (see [https://patents.iec.ch]).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see [[www.iso.org/iso/foreword.html]](https://www.iso.org/iso/foreword.html). In the IEC, see [www.iec.ch/understanding-standards].
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, *Information Technology*, Subcommittee SC 27, *Information security, cybersecurity and privacy protection*.
This third edition cancels and replaces the second edition (ISO/IEC 27001:2013), which has been technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27001:2013/Cor 1:2014 and ISO/IEC 27001:2013/Cor 2:2015.
The main changes are as follows:
- the text has been aligned with the harmonized structure for management system standards and ISO/IEC 27002:2022.
Any feedback or questions on this document should be directed to the user's national standards body. A complete listing of these bodies can be found at [www.iso.org/members.html] and [[www.iec.ch/national-committees]](https://www.iec.ch/national-committees).

8
Corpus/Standards/ISO-27001-OST/ISO27001-EN-2022/ISO_27001_OT Terms and definitions.md Normal file
View file

@ -0,0 +1,8 @@
#iso27001/2022/EN
# 3 Terms and definitions
For the purposes of this document, the terms and definitions given in
ISO/IEC 27000 apply.
[[ISO 27000 MoC]]

223
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO 27001 2023 ISMS op hoofdlijnen.md Normal file
View file

@ -0,0 +1,223 @@
#iso27001/2023/NL
# ISMS op hoofdlijnen
Een informatiebeveiligingsbeleid moet de hieronder genoemde punten adresseren.
_De nummering verwijst naar de hoofdstukken/paragrafen uit ISO 27001:2023_
**H4              Context van de organisatie**
H4.1         Relevante punten (intern en extern) die invloed kunnen hebben op het kunnen behalen van de doelstellingen m.b.t. informatiebeveiliging
Voorwaarde: formuleren doelstellingen m.b.t. informatiebeveiliging
H4.2         Relevante stakeholders en hun eisen, en welke hiervan geadresseerd zullen worden (binnen het domein informatiebeveiliging)
H4.3         Begrenzing en toepasselijkheid van het managementsysteem voor informatiebeveiliging, rekening houdend met H4.1, H4.2 en de raakvlakken met en afhankelijkheden van andere organisaties.
H4.4         Er moet een managementsysteem voor informatiebeveiliging worden ingericht, geïmplementeerd, onderhouden en verbeterd worden incl. benodigde processen.
**H5              Leiderschap**
H5.1         Het topmanagement moet leiderschap en betrokkenheid tonen door:
a)         doelen en beleid voor informatiebeveiliging vast te stellen, dat compatibel is met de strategische richting van de organisatie
Voorwaarde: strategie moet bekend zijn
b)        integratie van het informatiebeveiligingsmanagement in de processen van de organisatie
c)         beschikbaar stellen benodigde middelen
d)        communiceren van het belang en noodzaak van informatiebeveiligingsmanagement en de daaruit volgende eisen
e)         zorgen dat de doelstellingen/resultaten behaald worden
f)           mensen aansturen en ondersteunen om hun bijdrage te leveren
g)         bevorderen van continue verbetering
h)        ondersteunen van anderen bij de invulling van hun leiderschap
H.5.2        Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a)         passend is voor het doel van de organisatie
b)        doelstellingen bevat, of een kader om die vast te stellen (zie 6.2)
c)         zich committeren aan het voldoen aan de gedefinieerde eisen
d)        zich committeren aan continue verbetering
e)         het beleid moet beschikbaar zijn
f)          het beleid moet gecommuniceerd worden
g)         het beleid moet beschikbaar zijn voor belanghebbenden
H5.3         Het topmanagement moet rollen, verantwoordelijkheden en bevoegdheden toekennen en communiceren, om:
a)         het managementsysteem voor informatiebeveiliging te laten voldoen aan de vastgestelde eisen (i.e. ISO 27001)
b)        te rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement
**H6                  Planning**
_H6.1             Risicos en kansen_
H6.1.1        Risicos en kansen moeten vastgesteld en geadresseerd worden (met overweging van de issues en eisen uit 4.1 en 4.2), om:
a)           te zorgen dat de beoogde resultaten behaald worden (zie H51a en H5.2b)
b)           ongewenste effecten te voorkomen of te verminderen;
c)            continue verbetering te bereiken.
Acties om die risicos en kansen op te pakken moeten:
d)           gepland worden
e)            volgens een beschreven proces worden geïntegreerd, geïmplementeerd, en geëvalueerd (op doeltreffendheid)
H6.1.2        Er moet een procedure voor risicobeoordeling zijn die:
a)        criteria voor risicoacceptatie en het uitvoeren van risicobeoordelingen bevat
b)        herhaalbaar is (consistent)
c)         risicos voor vertrouwelijkheid, integriteit en beschikbaarheid identificeert en risico-eigenaren aanwijst
d)        van risicos de impact, waarschijnlijkheid en risicoscore (R = P x I) beoordeelt
e)         de risicos evalueert t.o.v. de criteria (a) en een prioriteit toekent.
H6.1.3        Er moet een procedure zijn voor risicobehandeling om:
a)        passende opties voor behandeling te benoemen, o.b.v. de risicobeoordeling
b)        de nodige maatregelen vast te stellen
c)         de vastgestelde maatregelen te vergelijken met de maatregelen in ISO 27001 Annex A.
d)        een _verklaring van toepasselijkheid_ op te stellen met de maatregelen uit b), de rechtvaardiging daarvan, en of deze maatregelen geïmplementeerd zijn, en een rechtvaardigen voor het niet toepassen van specifieke maatregelen uit Annex A.
e)         een plan op te stellen voor de behandeling van risicos
f)           de goedkeuring te krijgen van de risico-eigenaren voor die behandeling en de acceptatie van de restrisicos.
_H6.2             Doelstellingen en planning (aanpak)_
Per functie en niveau moeten doelstellingen vastgesteld worden, die consistent en meetbaar zijn, en rekening houden met gestelde eisen en de resultaten van de risicobeoordeling en -behandeling.
De doelstellingen moeten worden gemonitord, gecommuniceerd, geactualiseerd, en gedocumenteerd.
De planningen moeten beschrijven wat er zal worden gedaan, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het voltooid zal zijn, en hoe de resultaten worden geëvalueerd.
H8 behandelt de uitvoering van deze planningen.
_H6.3             Wijzigingen_
Wijzigingen in het managementsysteem moeten volgens een beschreven werkwijze worden doorgevoerd.
**H7                  Ondersteuning**
Vaststellen welke middelen nodig zijn voor het managementsysteem voor informatiebeveiliging, en deze beschikbaar stellen. Dit betreft de volledige cyclus van inrichten, implementeren, onderhouden en continu verbeteren.
_H7.2             Competenties_
-          Vaststellen van de benodigde competenties van relevante personen
-          Zorgen dat deze personen competent zijn of worden
-          De doeltreffendheid van ondernomen acties hiervoor evalueren
-          Bewijzen van competenties bewaren.
_H7.3             Bewustzijn_
Medewerkers (en ingehuurd personeel) moeten zich bewust zijn van het informatiebeveiligingsbeleid, hun bijdrage aan de doeltreffendheid daarvan en de voordelen die dat oplevert, en de gevolgen van het niet voldoen aan de gestelde eisen.
_H7.4             Communicatie_
Vaststellen van de relevante interne en externe communicatie, met onderwerpen, momenten, doelgroepen en medium.
_H7.5             Documentatie_
Het managementsysteem moet alle documentatie bevatten die vereist is vanuit normen, wet- en regelgeving, plus wat de organisatie zelf nodig vindt voor de doeltreffendheid van het managementsysteem (H7.5.1).
Dit mag in verhouding zijn tot de omvang van de organisatie, de complexiteit van de processen, en de competentie van de mensen.
Voor het creëren en actualiseren moet gezorgd worden voor (H7.5.2):
a)        identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b)        format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c)         beoordeling en goedkeuring van geschiktheid en toereikendheid.
De documentatie moet beheerd worden zodat (H7.5.3) ze beschikbaar is waar en wanneer dat nodig is, en afdoende beveiligd is.
Dit moet ingevuld worden met activiteiten voor:
-          distributie, vindbaarheid en toegangsverlening
-          opslag en behoud van leesbaarheid
-          wijzigings- en versiebeheer
-          bewaring en vernietiging
**H8                  Uitvoering**
_H8.1             Operationele planning en beheersing_
Er moeten processen geïmplementeerd worden om te voldoen aan vastgestelde eisen, en de in H6 vastgestelde acties uit te voeren.
Er moet voldoende documentatie zijn om vast te stellen dat die processen volgens plan zijn uitgevoerd.
Wijzigingen in die processen moeten planmatig worden uitgevoerd, en de consequenties van onbedoelde wijzigingen (uitzonderingen) moeten beoordeeld worden. Als het nodig is, moeten er maatregelen komen om nadelige effecten tegen te gaan.
Er moeten ook processen zijn voor de beheersing van informatiebeveiliging van extern geleverde processen, producten of diensten.
_H8.2             Risicobeoordelingen_ moeten regelmatig worden uitgevoerd, èn bij belangrijke (interne of externe) veranderingen (volgens de criteria uit H6.1.2a). De resultaten moeten gedocumenteerd worden.
_H8.3_             Vervolgens moet het _Risicobehandelingsplan_ (uit H6.1.3e) geimplementeerd worden. De resultaten moeten gedocumenteerd worden.
**H9                  Evaluatie**
_H9.1             Monitoren, meten, analyseren en evalueren_
De organisatie moet vaststellen wat er gemonitord en gemeten moet worden, hoe dat moet gebeuren (reproduceerbaar en vergelijkbaar), wanneer en door wie dat moet gebeuren, en wanneer en door wie de resultaten worden geanalyseerd en geëvalueerd.
Dit geldt voor de informatiebeveiligingsmaatregelen, en het managementsysteem zelf.
_H9.2             Interne audit_
De organisatie moet met geplande tussenpozen interne audits uitvoeren op het managementsysteem voor informatiebeveiliging:
-          voldoet het aan de eigen eisen?
-          voldoet het aan de norm?
-          is het doeltreffend geïmplementeerd en onderhouden?
Hiervoor moet een auditprogramma worden vastgesteld, inclusief frequentie, methoden, verantwoordelijkheden en rapportage. Resultaten van eerdere audits moeten worden meegenomen.
Audits moeten voldoen aan gestelde criteria en hebben een bepaalde rijkwijdte. Ze moeten objectief worden uitgevoerd. De resultaten moeten aan het relevante management gerapporteerd worden.
_H9.3             Management review_
Het managementsysteem moet met geplande tussenpozen door het topmanagement beoordeeld worden op geschiktheid, toereikendheid en doeltreffendheid.
Als input dienen:
a)        status van acties uit eerdere reviews
b)        wijzigingen in relevante issues (H4.1)
c)         wijzigingen in de behoeften en verwachtingen van de belanghebbenden (H4.2)
d)        feedback over de prestaties van de informatiebeveiliging, incl. _trends_ in afwijkingen en corrigerende maatregelen, resultaten van monitoren en meten, auditresultaten, het voldoen aan doelstellingen;
e)         feedback van belanghebbenden
f)           resultaten van risicobeoordeling en de status van het risicobehandelingsplan
g)         kansen voor continue verbetering.
Resultaten van de review zijn o.a. beslissingen voor continue verbetering en noodzakelijke wijzigingen in het managementsysteem.
**H10              Verbetering**
Er moet een procedure zijn voor de omgang met afwijkingen in (de uitvoering van) het managementsysteem.
De organisatie moet:
a)        reageren op de afwijking: maatregelen treffen om de afwijking  te beheersen, corrigeren, en gevolgen aan te pakken;
b)        bepalen of maatregelen nodig zijn om herhaling te voorkomen (door oorzaken vast te stellen en weg te nemen)
c)         de maatregelen implementeren
d)        de doeltreffendheid daarvan te beoordelen
e)         wijzigingen in het managementsysteem aan te brengen, indien nodig
f)           de aard van de afwijkingen en maatregelen documenteren
g)         de resultaten van de maatregelen documenteren.
VOORBLAD
Document
Doelgroep
Classificatie
Versie
Eigenaar
INLEIDING
Over dit document:
-              Doelgroep
-              Doel
-              Gebaseerd op ISO 27001, organisatie-eigen stukken

51
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO 27001 2023 Processen en Artefacten.md Normal file
View file

@ -0,0 +1,51 @@
#iso27001/2023/NL
## Processen
- Processen om het ISMS zelf te onderhouden
- contextanalyse (H4)
- Risicoanalyse (H6.1), incl. Dreigingsanalyse (A5.7)
- wijzigingen aan het ISMS (H6.3)
- risicobeoordeling en -acceptatie (H6.1.2, H8.2, H8.3)
- documentatie (H7.5)
- evaluatie van het ISMS (H9)
- afwijkingen en verbeteringen (H10)
- rollen en verantwoordelijkheden m.b.t. het ISMS (H5.3)
- Processen om de gekozen maatregelen te onderhouden
- Leveranciersmanagement (H8.1)
- Informatiebeveiliging in projecten (H5.8)
- evaluatie van maatregelen (H9)
- rollen en verantwoordelijkheden m.b.t. de maatregelen (H5.3)
## Te produceren stukken
- Beschrijving relevante issues (intern en extern) (H4.1)
- SWOT-analyse (H6.1)
- Risicoanalyse (H6.1), incl. Dreigingsanalyse (A5.7)
- Stakeholder analyse (H4.2)
- Overzicht wet- en regelgeving (H4.1, H4.2)
- Vaststellen doelen informatiebeveiliging (H5.1a)
- Informatiebeveiligingsbeleid (H5.2)
- Risicoanalyse (H6.1.2)
- Lijst maatregelen (H6.1.3)
- Toegangsbeveiliging informatiesystemen (A5.15)
- Identiteitsbeheer (A5.16)
- Toegangsrechten (A5.18)
- Maatregelen m.b.t. leveranciers (A5.19-A5.23)
- Fysieke toegangsbeveiliging (A7)
- EDM (8.1)
- Backups en redundantie (A8.13, A8.14)
- Logging en Monitoring (A8.15, A8.16)
- Update procedures (A8.19)
- Netwerkbeveiliging (A8.20-A8.23)
- Systeemarchitectuur (A8.27)
- Softwareontwikkeling (A8.25, A8.28-A8.33)
- Incidentenprocedure (A5.24-A5.29)
- Bedrijfscontinuïteitsplan (A5.30)
- Licentiebeheer (A5.32)
- Privacybeleid (A5.34)
- Voorschriften gebruik apparatuur en software (5.37)
- Planning implementatie maatregelen (H8.1)
- Communicatieplan (H7.4)
- Planning van terugkerende taken (evalueren, herzien, bijwerken)
- Asset-inventarisatie (A5.9)
- Classificatie van informatie en assets (A5.12)

54
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Aanpassingen.md Normal file
View file

@ -0,0 +1,54 @@
#iso27001/2023/NL
# Aanpassingen in ISO 27001:2023
De ISO 27001:2022 is aangepast op de nieuwe HS (Harmonized Structure). Deze wijzigingen zorgen voor een betere aansluiting bij Annex SL.
Diverse punten in de hoofdstukken 4 t/m 10 zijn aangescherpt, toegevoegd, herschreven of gesplitst. Dit zijn de wijzigingen:
## Aanpassingen in het ISMS
- 4.1 Context is aangescherpt
- 4.2 Belanghebbenden is aangescherpt
- 4.4 ISMS is aangescherpt
- 6.1.3 Risicobehandeling is aangescherpt
- 6.2 Doelstellingen is aangescherpt
- 6.3 Verandermanagement is toegevoegd
- 8.1 Operationele planning is herschreven
- 9.1 Monitoring is aangescherpt
- 9.2 Algemeen en Auditprogramma is gesplitst
- 9.3 Algemeen, input en output is gesplitst
- 10.1 Verbeteren en Afwijkingen & Corrigerende maatregelen is aangepast
### Aanpassing aan nieuwe Harmonized Structure
De ISO 27001:2022 is aangepast op de nieuwe Harmonized Structure(HS). Deze HS is in 2021 gepubliceerd en is een update van de High Level Structure(HLS). HS is de basisstructuur van alle ISO managementsysteemnormen. In [dit artikel](https://www.cuccibu.eu/nieuws/de-nieuwe-high-level-structure/) lees je meer over de inhoudelijke veranderingen van HLS naar HS. De HS heeft de volgende impact op ISO 27001:  
- **Wijzigingen in gedocumenteerde informatie**. In de HLS werd verwezen naar verschillende werkwoorden, zoals onderhouden voor documenten en bijhouden voor registraties. Dit zorgde vaak voor verwarring. In de HS is gekozen voor een eenduidige terminologie. Er wordt gesproken over beschikbaar zijn van gedocumenteerde informatie.  
- **Behoeftes en verwachtingen stakeholders belangrijker.** In paragraaf 4.2 van de HLS staat dat een organisatie de relevante eisen van relevante belanghebbende moet identificeren. Hoe een organisatie omgaat met behoeftes en verwachtingen van stakeholders blijft echter onduidelijk. In de HS worden de behoeftes en verwachtingen wel opgenomen. De organisatie moet vaststellen welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging, welke eisen deze belanghebbenden stellen én welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging. De eisen van belanghebbende kunnen wettelijke en regelgevende eisen, maar ook contractuele verplichtingen omvatten. 
- **Eisen aan de processen van het ISMS.** In de voorgaande versie van ISO 27001 is in paragraaf 4.4 afgeweken van de HLS. Er werden eisen gesteld voor het vaststellen, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsmanagementsysteem (ISMS). Echter ontbraken de eisen voor en de samenhang met de onderliggende processen. In de herziene versie is deze tekortkoming hersteld en wordt er weer aangesloten bij de HS. Dit bekent meer focus op processen in de ISO 27001:2022. 
- **Plannen van wijzigingen.** In hoofdstuk 6 van de HS is een nieuwe paragraaf opgenomen, namelijk 6.3. Deze paragraaf stelt dat wijzigingen aan het managementsysteem op een geplande manier moeten worden uitgevoerd. Management of change wordt hiermee expliciet onderdeel van de HS. In ISO 27001:2022 is paragraaf 6.3 ook opgenomen.
- **Van uitbesteden naar extern geleverde processen, producten en diensten.** De begrippen uitbesteden en beheersing van uitbestede processen worden niet meer toegepast in de HS. Voortaan worden er eisen gesteld aan de extern geleverde processen, producten en diensten die relevant zijn voor het managementsysteem. Ook de herziene ISO 27001 norm volgt deze benadering
## Nieuwe beheersmaatregelen in Annex A
In de oude norm ISO 27001:2013 waren 114 beheersmaatregelen opgenomen. Een flinke lijst, die in ISO 27001:2022 is ingekort. Er zijn nu 93 beheersmaatregelen. ISO besloot om veel maatregelen samen te voegen waardoor de norm past bij deze tijd. Wel voegde ISO 11 nieuwe beheersmaatregelen toe.
- 5.7 Informatie en analyses over dreigingen:
Informatie met betrekking tot informatiebeveiliging dreigingen moet worden verzameld en geanalyseerd om informatie over dreigingen te produceren.
- 5.23 Informatiebeveiliging voor het gebruik van clouddiensten:
Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
- 5.30 ICT-gereedheid voor bedrijfscontinuïteit:
De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
- 7.4 Monitoren van de fysieke beveiliging:
Het gebouw en terrein behoren voortdurend te worden gemonitord op onbevoegde fysieke toegang.
- 8.9 Configuratiebeheer:
Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
- 8.10 Wissen van informatie:
In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer vereist is.
- 8.11 Maskeren van gegevens:
Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerp specifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerp specifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
- 8.12 Voorkomen van gegevenslekken:
Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
- 8.16 Monitoren van activiteiten:
Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren.
- 8.23 Toepassen van webfilters:
De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
- 8.28 Veilig coderen:
Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.

2
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_BT 3 Termen en definities.md Normal file
View file

@ -0,0 +1,2 @@
#iso27001/2023/NL

40
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Index.md Normal file
View file

@ -0,0 +1,40 @@
#iso27001/2023/NL
Publicatiedatum: augustus 2023
| 2023 ID | Onderwerp | Brontekst | Normaal |
| :------ | :------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------ |
| **0** | **Inleiding** | [[ISO_27001_2023_NL_BT 0 Inzicht in de organisatie en haar context \|BT]] | [[ISO_27001_2023_NL_NN 0 Inzicht in de organisatie en haar context \|NN]] |
| **1** | **Onderwerp en toepassingsgebied** | [[ISO_27001_2023_NL_BT 1 Onderwerp en toepassingsgebied \|BT]] | [[ISO_27001_2023_NL_NN 1 Onderwerp en toepassingsgebied \|NN]] |
| **2** | **Normatieve verwijzingen** | [[ISO_27001_2023_NL_BT 2 Normatieve verwijzingen \|BT]] | [[ISO_27001_2023_NL_NN 2 Normatieve verwijzingen \|NN]] |
| **3** | **Termen en definities** | [[ISO_27001_2023_NL_BT 3 Termen en definities \|BT]] | [[ISO_27001_2023_NL_NN 3 Termen en definities \|NN]] |
| **4** | **Context van de organisatie** | | |
| 4.1 | Inzicht in de organisatie en haar context | [[ISO_27001_2023_NL_BT 4.1 Inzicht in de organisatie en haar context \|BT]] | [[ISO_27001_2023_NL_NN 4.1 Inzicht in de organisatie en haar context \|NN]] |
| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [[ISO_27001_2023_NL_BT 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden \|BT]] | [[ISO_27001_2023_NL_NN 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden \|NN]] |
| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [[ISO_27001_2023_NL_BT 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging \|BT]] | [[ISO_27001_2023_NL_NN 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging \|NN]] |
| 4.4 | Managementsysteem voor informatiebeveiliging | [[ISO_27001_2023_NL_BT 4.4 Managementsysteem voor informatiebeveiliging \|BT]] | [[ISO_27001_2023_NL_NN 4.4 Managementsysteem voor informatiebeveiliging \|NN]] |
| **5** | **Leiderschap** | | |
| 5.1 | Leiderschap en betrokkenheid | [[ISO_27001_2023_NL_BT 5.1 Leiderschap en betrokkenheid \|BT]] | [[ISO_27001_2023_NL_NN 5.1 Leiderschap en betrokkenheid \|NN]] |
| 5.2 | Beleid | [[ISO_27001_2023_NL_BT 5.2 Beleid \|BT]] | [[ISO_27001_2023_NL_NN 5.2 Beleid \|NN]] |
| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [[ISO_27001_2023_NL_BT 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie \|BT]] | [[ISO_27001_2023_NL_NN 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie \|NN]] |
| **6** | **Planning** | | |
| 6.1 | Acties om risico's en kansen op te pakken | [[ISO_27001_2023_NL_BT 6.1 Acties om risico's en kansen op te pakken \|BT]] | [[ISO_27001_2023_NL_NN 6.1 Acties om risico's en kansen op te pakken \|NN]] |
| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [[ISO_27001_2023_NL_BT 6.2 Informatiebeveiligings[doelstellingen en de planning om ze te bereiken \|BT]] | [[ISO_27001_2023_NL_NN 6.2 Informatiebeveiligings[doelstellingen en de planning om ze te bereiken \|NN]] |
| 6.3 | Planning van wijzigingen | [[ISO_27001_2023_NL_BT 6.3 Planning van wijzigingen \|BT]] | [[ISO_27001_2023_NL_NN 6.3 Planning van wijzigingen \|NN]] |
| **7** | **Ondersteuning** | | |
| 7.1 | Middelen | [[ISO_27001_2023_NL_BT 7.1 Middelen \|BT]] | [[ISO_27001_2023_NL_NN N.N 7.1 Middelen \|NN]] |
| 7.2 | Competentie | [[ISO_27001_2023_NL_BT 7.2 Competentie \|BT]] | [[ISO_27001_2023_NL_NN N.N 7.2 Competentie \|NN]] |
| 7.3 | Bewustzijn | [[ISO_27001_2023_NL_BT 7.3 Bewustzijn \|BT]] | [[ISO_27001_2023_NL_NN N.N 7.3 Bewustzijn \|NN]] |
| 7.4 | Communicatie | [[ISO_27001_2023_NL_BT 7.4 Communicatie \|BT]] | [[ISO_27001_2023_NL_NN N.N 7.4 Communicatie \|NN]] |
| 7.5 | Gedocumenteerde informatie | [[ISO_27001_2023_NL_BT 7.5 Gedocumenteerde informatie \|BT]] | [[ISO_27001_2023_NL_NN N.N 7.5 Gedocumenteerde informatie \|NN]] |
| **8** | **Uitvoering** | | |
| 8.1 | Operationele planning en beheersing | [[ISO_27001_2023_NL_BT 8.1 Operationele planning en beheersing \|BT]] | [[ISO_27001_2023_NL_NN 8.1 Operationele planning en beheersing \|NN]] |
| 8.2 | Risicobeoordeling van informatiebeveiliging | [[ISO_27001_2023_NL_BT 8.2 Risicobeoordeling van informatiebeveiliging \|BT]] | [[ISO_27001_2023_NL_NN 8.2 Risicobeoordeling van informatiebeveiliging \|NN]] |
| 8.3 | Informatiebeveiligingsrisico's behandelen | [[ISO_27001_2023_NL_BT 8.3 Informatiebeveiligingsrisico's behandelen \|BT]] | [[ISO_27001_2023_NL_NN 8.3 Informatiebeveiligingsrisico's behandelen \|NN]] |
| **9** | **Evaluatie van de prestaties** | | |
| 9.1 | Monitoren, meten, analyseren en evalueren | [[ISO_27001_2023_NL_BT 9.1 Monitoren, meten, analyseren en evalueren \|BT]] | [[ISO_27001_2023_NL_NN N.N 9.1 Monitoren, meten, analyseren en evalueren \|NN]] |
| 9.2 | Interne audit | [[ISO_27001_2023_NL_BT 9.2 Interne audit \|BT]] | [[ISO_27001_2023_NL_NN N.N 9.2 Interne audit \|NN]] |
| 9.3 | Management review | [[ISO_27001_2023_NL_BT 9.3 Management review \|BT]] | [[ISO_27001_2023_NL_NN N.N 9.3 Management review \|NN]] |
| **10** | **Verbetering** | | |
| 10.1 | Continue verbetering | [[ISO_27001_2023_NL_BT 10.1 Continue verbetering \|BT]] | [[ISO_27001_2023_NL_NN N.N 10.1 Continue verbetering \|NN]] |
| 10.2 | Afwijkingen en corrigerende maatregelen | [[ISO_27001_2023_NL_BT 10.1 Afwijkingen en corrigerende maatregelen \|BT]] | [[ISO_27001_2023_NL_NN N.N 10.1 Afwijkingen en corrigerende maatregelen \|NN]] |

6
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_PDF.md Normal file
View file

@ -0,0 +1,6 @@
#iso27001/2023/NL
# ISO 27001 2023 NL
![[ISO_IEC_27001_2023_NL.pdf]]