richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Took copyrighted material out of the GIS repo

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-19 19:05:10 +02:00
parent f53af4b9e0
commit 3ea4d4fbb0
345 changed files with 12578 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

97
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_3.2_BT Afgekorte termen.md Normal file
View file

@ -0,0 +1,97 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 3.2 Afgekorte termen
ABAC attribute-based access control
ACL access control list
BIA business impact analysis
BYOD bring your own device
CAPTCHA completely automated public Turing test to tell computers and humans apart
CPU central processing unit
DAC discretionary access control
DNS domain name system
gps global positioning system
IAM identity and access management
ICT information and communication technology
ID identifier
IDE integrated development environment
IDS intrusion detection system
IoT internet of things
IP internetprotocol
IPS intrusion prevention system
IT information technology
ISMS information security management system
MAC mandatory access control
NTP network time protocol
PIA privacy impact assessment
PII personally identifiable information
pin personal identification number
PKI public key infrastructure
PTP precision time protocol
RBAC role-based access control
RPO recovery point objective
RTO recovery time objective
SAST static application security testing
SD secure digital
SDN software-defined networking
SD-WAN software-defined wide area networking
SIEM security information and event management
sms short message service
SQL structured query language
SSO single sign on
SWID software identification
UEBA user and entity behaviour analytics
UPS uninterruptible power supply
URL uniform resource locator
USB universal serial bus
VM virtual machine
VPN virtual private network
wifi wireless fidelity

41
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT Hoofdstukken.md Normal file
View file

@ -0,0 +1,41 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 4.1 Hoofdstukken
Dit document is als volgt ingedeeld:
a) Organisatorische beheersmaatregelen (hoofdstuk 5)
b) Mensgerichte beheersmaatregelen (hoofdstuk 6)
c) Fysieke beheersmaatregelen (hoofdstuk 7)
d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlagen:
--- Bijlage A -- Attributen gebruiken
--- Bijlage B -- Overeenstemming met ISO/IEC 27002:2013
In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.
Bijlage B laat zien hoe de beheersmaatregelen in deze editie van ISO/IEC 27002 overeenstemmen met de vorige editie uit 2013.

47
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.2_BT Thema's en attributen.md Normal file
View file

@ -0,0 +1,47 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 4.2 Thema's en attributen
De categorieën waarin beheersmaatregelen kunnen worden ingedeeld volgens de hoofdstukken 5 t/m 8 worden aangeduid als thema's.
Beheersmaatregelen worden ingedeeld in de categorieën:
a) mensgericht, als ze betrekking hebben op individuele personen;
b) fysiek, als ze betrekking hebben op fysieke objecten;
c) technologisch, als ze betrekking hebben op technologie;
d) organisatorisch, in de overige gevallen.
De organisatie kan attributen gebruiken om verschillende overzichten te creëren. Dit zijn verschillende indelingen in categorieën van beheersmaatregelen, gezien vanuit een ander perspectief op de thema's. Attributen kunnen worden gebruikt om beheersmaatregelen in verschillende overzichten te filteren, sorteren of presenteren voor verschillende doelgroepen. In bijlage A wordt uitgelegd hoe dit kan worden bereikt en wordt een voorbeeld van een overzicht gegeven.
Bij wijze van voorbeeld is elke beheersmaatregel in dit document gerelateerd aan vijf attributen met bijbehorende attribuutwaarden (voorafgegaan door '#' om ze opzoekbaar te maken) \*). Dit is als volgt opgebouwd:
\*) Nederlandse voetnoot: In deze vertaling zijn ook in 4.2 de attribuutwaarden van een '#' voorzien.
a) Type beheersmaatregel
Type beheersmaatregel is een attribuut om beheersmaatregelen te bezien vanuit het oogpunt van wanneer en hoe de beheersmaatregel tot veranderingen van het risico leidt met betrekking tot het zich voordoen van een informatiebeveiligingsincidente attribuutwaarden bestaan uit #Preventief (de beheersmaatregel is ervoor bedoeld te voorkomen dat er zich een informatiebeveiligingsincident voordoet), #Detectief (de beheersmaatregel treedt in werking wanneer er zich een informatiebeveiligingsincident voordoet) en #Corrigerend (de beheersmaatregel treedt in werking nadat er zich een informatiebeveiligingsincident heeft voorgedaan).
b) Informatiebeveiligingseigenschappen
Informatiebeveiligingseigenschappen is een attribuut om beheersmaatregelen te bezien vanuit het oogpunt: aan het behoud van welk kenmerk van informatie draagt de beheersmaatregel bij? De attribuutwaarden bestaan uit #Vertrouwelijkheid, #Integriteit en #Beschikbaarheid.
c) Cybersecurityconcepten
Cybersecurityconcepten is een attribuut om beheersmaatregelen te bekijken vanuit het oogpunt van het verband tussen beheersmaatregelen en de in het in ISO/IEC TS 27110 beschreven cybersecuritykader gedefinieerde cybersecurityconcepteneze attribuutwaarden bestaan uit #Identificeren, #Beschermen, #Detecteren, #Reageren en #Herstellen.
d) Operationele capaciteiten
Operationele capaciteiten is een attribuut om beheersmaatregelen te bekijken vanuit het perspectief van beroepsbeoefenaren op informatiebeveiligingscapaciteitene attribuutwaarden bestaan uit #Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen en #Borging_van_informatiebeveiliging.
e) Beveiligingsdomeinen
Beveiligingsdomeinen is een attribuut om beheersmaatregelen te bekijken vanuit het oogpunt van vier informatiebeveiligingsdomeinen: 'Governance_en_Ecosysteem' omvat 'Information System Security Governance & Risk Management' en 'Ecosystem cybersecurity management' (inclusief interne en externe belanghebbenden); 'Bescherming' omvat 'IT-beveiligingsarchitectuur', 'IT- beveiligingsbeheer', 'Identiteits- en toegangsbeheer', 'IT-beveiligingsonderhoud' en 'Fysieke en omgevingsbeveiliging'; 'Verdediging' omvat 'Detectie' en 'Computer Security Incident Management'; onder 'Veerkracht' (Resilience) wordt verstaan 'Continuïteit van de bedrijfsvoering' en 'Crisisbeheersing'e attribuutwaarden bestaan uit #Governance_en_Ecosysteem, #Bescherming, #Verdediging en #Veerkracht.
De in dit document vermelde attributen zijn gekozen op basis van het feit dat ze als generiek genoeg worden beschouwd om door verschillende soorten organisaties te worden gebruiktrganisaties kunnen ervoor kiezen een of meer van de in dit document vermelde attributen buiten beschouwing te latene kunnen ook zelf attributen (met de bijbehorende attribuutwaarden) aanmaken om hun eigen organisatieoverzichten te maken. Hoofdstuk A.2 bevat voorbeelden van dergelijke attributen.
Zie ook: [[ISO_27002_NL_Template_Attribuuttabel]]

21
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.3_BT Indeling beheersmaatregel.md Normal file
View file

@ -0,0 +1,21 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 4.3 Indeling beheersmaatregel
De indeling van elke beheersmaatregel bevat het volgende:
--- **Titel van de beheersmaatregel:** Korte naam van de beheersmaatregel;
--- **Attribuuttabel**: Een tabel toont de waarde(n) van elk attribuut voor de beheersmaatregel in kwestie;
--- **Beheersmaatregel:** Wat de beheersmaatregel is;
--- **Doel**: Waarom de beheersmaatregel behoort te worden geïmplementeerd;
--- **Richtlijn:** Hoe de beheersmaatregel behoort te worden geïmplementeerd;
--- **Overige informatie:** Tekst met uitleg of verwijzingen naar andere gerelateerde documenten.
Omwille van de leesbaarheid zijn lange richtlijnteksten die op meer onderwerpen ingaan, soms onderverdeelde titels van deze secties zijn onderstreept.

52
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.10_BT Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen.md Normal file
View file

@ -0,0 +1,52 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen #Informatiebescherming |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming |
**Beheersmaatregel**
Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen behoren te worden vastgesteld, gedocumenteerd en geïmplementeerd.
**Doel**
Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen passend worden beschermd, gebruikt en behandeld.
**Richtlijn**
Personeel en externe gebruikers die informatie en andere gerelateerde bedrijfsmiddelen van de organisatie gebruiken of er toegang toe hebben, behoren bewust te worden gemaakt van de informatiebeveiligingseisen voor het beschermen van en omgaan met de informatie van de organisatie en andere gerelateerde bedrijfsmiddelenij behoren verantwoordelijk te zijn voor het gebruik dat zij maken van informatieverwerkende faciliteiten.
De organisatie behoort onderwerpspecifiek beleid inzake het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen vast te stellen en dit mee te delen aan iedereen die informatie en andere gerelateerde bedrijfsmiddelen gebruikt of hanteertet onderwerpspecifieke beleid inzake aanvaardbaar gebruik behoort duidelijk aan te geven hoe van personen wordt verwacht dat ze informatie en andere gerelateerde bedrijfsmiddelen gebruikenn het onderwerpspecifieke beleid behoort het volgende te worden opgenomen:
a) verwacht en onaanvaardbaar gedrag van personen vanuit het oogpunt van informatiebeveiliging;
b) wat wordt beschouwd als toegestaan en verboden gebruik van informatie en andere gerelateerde bedrijfsmiddelen;
c) welke monitoringactiviteiten de organisatie uitvoert.
Er behoren procedures voor aanvaardbaar gebruik te worden opgesteld voor de volledige levenscyclus van de informatie overeenkomstig de classificatie ervan (zie 5.12) en de vastgestelde risico\'s. Met de volgende aspecten behoort rekening te worden gehouden:
a) toegangsbeperkingen die de beschermingseisen van elk classificatieniveau ondersteunen;
b) onderhoud van een registratie van de bevoegde gebruikers van informatie en andere gerelateerde bedrijfsmiddelen;
c) bescherming van tijdelijke of permanente kopieën van de informatie tot een niveau dat consistent is met de bescherming van de originele informatie;
d) opslag van bedrijfsmiddelen die samenhangen met informatie in overeenstemming met de voorschriften van de fabrikant (zie 7.8);
e) duidelijke markering van alle kopieën van (elektronische of fysieke) opslagmedia ter attentie van de bevoegde ontvanger (zie 7.10);
f) autorisatie van het verwijderen van informatie en andere gerelateerde bedrijfsmiddelen en ondersteunde wismethode(n) (zie 8.10).
**Overige informatie**
Het is mogelijk dat de desbetreffende bedrijfsmiddelen niet direct tot de organisatie behoren, zoals openbare clouddienstenet gebruik van zulke bedrijfsmiddelen van derden en van bedrijfsmiddelen van de organisatie in verband met zulke externe bedrijfsmiddelen (bijv. informatie, software) behoort te worden geïdentificeerd al naargelang de situatie en beheerst, bijvoor middel van overeenkomsten met aanbieders van clouddienstenndien er gebruik wordt gemaakt van een op samenwerking gerichte werkomgeving, behoort er ook zorgvuldig te worden gehandeld.

49
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.11_BT Retourneren van bedrijfsmiddelen.md Normal file
View file

@ -0,0 +1,49 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.11 Retourneren van bedrijfsmiddelen
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
Personeel en andere belanghebbenden, al naargelang de situatie, behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren.
**Doel**
De bedrijfsmiddelen van de organisatie beschermen als onderdeel van de procedure voor het wijzigen of beëindigen van het dienstverband, het contract of de overeenkomst.
**Richtlijn**
In de wijzigings- of beëindigingsprocedure behoort formeel het retourneren van alle eerder verstrekte fysieke en elektronische bedrijfsmiddelen die het eigendom zijn van of toevertrouwd zijn aan de organisatie, te worden opgenomen.
Ingeval personeel en andere belanghebbenden apparatuur van de organisatie kopen of eigen persoonlijke apparatuur gebruiken, behoren procedures te worden gevolgd om ervoor te zorgen dat alle relevante informatie wordt getraceerd en aan de organisatie wordt overgedragen en nauwkeurig van de apparatuur wordt verwijderd (zie 7.14).
Indien personeel en andere belanghebbenden beschikken over kennis die belangrijk is voor de lopende bedrijfsvoering, behoort die informatie te worden gedocumenteerd en aan de organisatie te worden overgedragen.
Tijdens de opzegtermijn en daarna behoort de organisatie het onbevoegd kopiëren van relevante informatie (bijv. intellectuele eigendom) door personeel van wie het dienstverband is opgezegd, te voorkomen.
De organisatie behoort alle te retourneren informatie en andere gerelateerde bedrijfsmiddelen duidelijk te identificeren en documentereneze informatie en bedrijfsmiddelen kunnen onder andere zijn:
a) 'endpoint devices' van gebruikers;
b) draagbare opslagapparatuur;
c) specialistische apparatuur;
d) authenticatiehardware (bijv. mechanische sleutels, fysieke tokens en chipkaarten) voor informatiesystemen, locaties en fysieke archieven;
e) fysieke kopieën van informatie.
**Overige informatie**
Het kan lastig zijn informatie te retourneren die zich bevindt op bedrijfsmiddelen die geen eigendom zijn van de organisatien dergelijke gevallen is het nodig het gebruik van informatie door middel van andere beheersmaatregelen voor informatiebeveiliging, zoals het beheer van toegangsrechten (5.18) of het gebruik van cryptografie (8.24) te beperken.

54
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.12_BT Classificeren van informatie.md Normal file
View file

@ -0,0 +1,54 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.12 Classificeren van informatie
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Informatiebescherming |
| Beveiligingsdomeinen: | #Bescherming #Verdediging |
**Beheersmaatregel**
Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante belanghebbenden.
**Doel**
Bewerkstelligen dat het identificeren van en het inzicht in de beschermingsbehoeften voor informatie in overeenstemming zijn met het belang ervan voor de organisatie.
**Richtlijn**
De organisatie behoort een onderwerpspecifiek beleid inzake het classificeren van informatie vast te stellen en aan alle relevante belanghebbenden mee te delen.
De organisatie behoort in het classificatieschema rekening te houden met eisen voor vertrouwelijkheid, integriteit en beschikbaarheid.
Classificaties en gerelateerde beschermende beheersmaatregelen voor informatie behoren rekening te houden met de bedrijfsbehoeften ten aanzien van het delen of beperken van informatie, het beschermen van de integriteit van informatie en het waarborgen van beschikbaarheid, alsmede wettelijke eisen met betrekking tot de vertrouwelijkheid, integriteit of beschikbaarheid van de informatie. Andere bedrijfsmiddelen dan informatie kunnen ook worden geclassificeerd in overeenstemming met de classificatie van informatie die is opgeslagen in, verwerkt door of anderszins behandeld of beschermd door het bedrijfsmiddel.
Eigenaren van informatie behoren verantwoordelijk te zijn voor de classificatie ervan.
Het classificatieschema behoort regels voor het classificeren te bevatten en criteria voor het na verloop van tijd opnieuw beoordelen van de classificatie. Resultaten van classificatie behoren te worden geactualiseerd in overeenstemming met wijzigingen in de waarde, gevoeligheid en het belang van informatie in de loop van de levenscyclus.
Het schema behoort te worden afgestemd op het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie [[ISO_27002_2022_NL_BT 5.1 Beleidsregels voor informatiebeveiliging|5.1]]) en het behoort te kunnen ingaan op specifieke bedrijfsbehoeften van de organisatie.
De classificatie kan worden vastgesteld aan de hand van de mate van effect die compromittering van de informatie zou hebben op de organisatielk in het schema gedefinieerd niveau behoort een naam te krijgen die betekenis heeft in de context van de toepassing van het classificatieschema.
Het schema behoort organisatiebreed consistent te zijn en te zijn opgenomen in de procedures van de organisatie zodat iedereen informatie en relevante andere gerelateerde bedrijfsmiddelen op dezelfde manier classificeert. Op deze manier heeft iedereen een gemeenschappelijk begrip van beschermingseisen en past iedereen de passende bescherming toe.
Het binnen de organisatie gebruikte classificatieschema kan verschillen van de schema's die andere organisaties gebruiken, zelf als de namen voor niveaus op elkaar lijkenovendien kan de classificatie van informatie die tussen organisaties wordt getransporteerd verschillen, afhankelijk van de context ervan binnen elke organisatie, zelfs als de organisaties dezelfde classificatieschema's gebruiken. Daarom behoren overeenkomsten met andere organisaties waarin het delen van informatie voorkomt, procedures te bevatten voor het identificeren van de classificatie van die informatie en voor het interpreteren van de classificatieniveaus van andere organisaties. De overeenstemming tussen verschillende schema's kan worden vastgesteld door te zoeken naar gelijkwaardigheid in de gerelateerde methoden voor hantering en bescherming.
**Overige informatie**
Classificatie biedt personen die met informatie omgaan, een beknopte indicatie van hoe deze te behandelen en te beschermen. Het aanmaken van informatiegroepen met gelijksoortige beschermingsbehoeften en het specificeren van informatiebeveiligingsprocedures die gelden voor alle informatie in elke groep, vergemakkelijken diteze aanpak vermindert de behoefte aan afzonderlijke risicobeoordeling en speciaal ontworpen beheersmaatregelen.
Het is mogelijk dat informatie na verloop van tijd niet meer gevoelig of essentieel is. Als de informatie bijvoorbeeld openbaar is gemaakt, gelden er niet langer vertrouwelijkheidseisen voor, maar kan het nog steeds nodig zijn deze vanwege de integriteits- en beschikbaarheidseigenschappen ervan te beschermen. Met deze aspecten behoort rekening te worden gehouden omdat overclassificatie kan leiden tot het implementeren van onnodige beheersmaatregelen, wat resulteert in extra kosten, terwijl onderclassificatie kan leiden tot onvoldoende beheersmaatregelen om de informatie tegen compromittering te beschermen.
Bij wijze van voorbeeld kan een classificatieschema betreffende de vertrouwelijkheid van informatie worden gebaseerd op de volgende vier niveaus:
a) openbaarmaking veroorzaakt geen schade;
b) openbaarmaking veroorzaakt geringe reputatieschade of een geringe operationele impact;
c) openbaarmaking heeft een kortdurende significante impact op de operationele of bedrijfsdoelstellingen;
d) openbaarmaking heeft een ernstige impact op de langetermijnbedrijfsdoelstellingen of brengt het voortbestaan van de organisatie in gevaar.

63
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.13_BT Labelen van informatie.md Normal file
View file

@ -0,0 +1,63 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.13 Labelen van informatie
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Informatiebescherming |
| Beveiligingsdomeinen: | #Verdediging #Bescherming |
**Beheersmaatregel**
Om informatie te labelen behoort een passende reeks procedures te worden vastgesteld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.
**Doel**
Het communiceren van de classificatie van informatie mogelijk maken en het automatiseren van informatieverwerking en -beheer ondersteunen.
**Richtlijn**
Procedures voor het labelen van informatie behoren te gaan over informatie en andere gerelateerde bedrijfsmiddelen in alle formatene labeling behoort in overeenstemming te zijn met het classificatieschema vastgesteld in 5e labels behoren gemakkelijk herkenbaar te zijne procedures behoren richtlijnen te geven over waar en hoe labels zijn bevestigd, rekening houdend met hoe de informatie wordt bereikt of hoe de bedrijfsmiddelen worden gehanteerd afhankelijk van de soorten opslagmediae procedures kunnen het volgende definiëren:
a) gevallen waarin labelen niet wordt toegepast (bijvij niet-vertrouwelijke informatie, om de werklast te verminderen);
b) de manier van labelen van informatie die wordt verzonden door of opgeslagen op elektronische of fysieke middelen, of een ander formaat;
c) hoe om te gaan met gevallen waarin labelen niet mogelijk is (bijvanwege technische beperkingen).
Voorbeelden van labeltechnieken zijn:
a) fysieke labels;
b) kop- en voetteksten;
c) metagegevens;
d) watermerken;
e) rubberen stempels.
Digitale informatie behoort gebruik te maken van metagegevens om informatie te identificeren, beheren en beheersen, met name wat betreft vertrouwelijkheid. Metagegevens behoren ook het doelmatig en correct zoeken naar informatie mogelijk te maken. Metagegevens behoren mogelijk te maken dat systemen interactie met elkaar hebben en op basis van de toegekende classificatielabels besluiten nemen.
De procedures behoren te beschrijven hoe metagegevens aan informatie worden gekoppeld, welke labels behoren te worden gebruikt en hoe gegevens behoren te worden gehanteerd, in overeenstemming met het informatiemodel en de ICT-architectuur van de organisatie.
Relevante aanvullende metagegevens behoren te worden toegevoegd door systemen wanneer ze informatie verwerken, afhankelijk van de informatiebeveiligingseigenschappen ervan.
Personeel en andere belanghebbenden behoren op de hoogte te worden gebracht van de labelprocedures. Al het personeel behoort de benodigde training te krijgen om te waarborgen dat informatie juist wordt gelabeld en dienovereenkomstig wordt behandeld.
Output van systemen die informatie bevatten die is geclassificeerd als gevoelig of essentieel, behoort een passend classificatielabel te dragen.
**Overige informatie**
Het labelen van geclassificeerde informatie is een belangrijke eis voor het delen van informatie.
Andere nuttige metagegevens die aan de informatie kunnen worden gekoppeld, zijn welk proces van de organisatie de informatie heeft aangemaakt, en op welk tijdstip.
Het labelen van informatie en andere gerelateerde bedrijfsmiddelen kan soms negatieve effecten hebben. Geclassificeerde bedrijfsmiddelen zijn gemakkelijker te identificeren door kwaadwillenden, die daarvan mogelijk misbruik maken.
Bepaalde systemen voorzien individuele bestanden of registraties in databases niet van labels met de classificatie, maar beschermen alle informatie op het hoogste classificatieniveau van de informatie die erin vervat is of mag zijnet is gebruikelijk in dergelijke systemen dat informatie wordt geïdentificeerd en vervolgens gelabeld op het moment van exporteren.

117
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.14_BT Overdragen van informatie.md Normal file
View file

@ -0,0 +1,117 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.14 Overdragen van informatie
| Attribuut | Waarde |
| :----------------------------------- | :-------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen #Informatiebescherming |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn vastgesteld voor alle soorten van overdracht binnen de organisatie en tussen de organisatie en andere partijen.
**Doel**
Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe belanghebbende.
**Richtlijn**
<u>Algemeen</u>
De organisatie behoort een onderwerpspecifiek beleid inzake de overdracht van informatie vast te stellen en aan alle relevante belanghebbenden mee te delenegels, procedures en overeenkomsten om informatie die wordt overgedragen te beschermen, behoren de classificatie van de desbetreffende informatie te weerspiegelenanneer informatie wordt overgedragen tussen de organisatie en derden, behoren transportovereenkomsten (met inbegrip van authenticatie van de ontvanger) te worden vastgesteld en gehandhaafd om informatie in alle vormen tijdens overdracht te beschermen (zie 5.10).
Informatie kan worden overgedragen via elektronische overdracht, door fysieke opslagmedia over te dragen en via mondelinge overdracht.
Voor alle soorten van overdracht van informatie behoren de regels, procedures en overeenkomsten het volgende te omvatten:
a) beheersmaatregelen die ervoor zijn ontworpen om overgedragen informatie te beschermen tegen interceptie, toegang door onbevoegden, kopiëren, wijziging, foutieve routering, vernietiging en 'denial of service', met inbegrip van toegangsbeveiligingsniveaus die passend zijn bij de classificatie van de desbetreffende informatie en eventuele speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals het gebruik van cryptografische technieken (zie 8.24);
b) beheersmaatregelen om de traceerbaarheid en onweerlegbaarheid te waarborgen, met inbegrip van het in stand houden van een bewakingsketen voor informatie tijdens het overdragen;
c) identificatie van passende contactpersonen met betrekking tot het overdragen, met inbegrip van de eigenaren van de informatie, risico-eigenaren, beveiligingsfunctionarissen en beheerders van informatie, voor zover van toepassing;
d) verantwoordelijkheden en aansprakelijkheden in geval van informatiebeveiligingsincidenten, zoals verlies van fysieke opslagmedia of gegevens;
e) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie 5.13);
f) betrouwbaarheid en beschikbaarheid van de overdrachtdienst;
g) het onderwerpspecifieke beleid of richtlijnen over aanvaardbaar gebruik van overdragen van informatiefaciliteiten (zie 5.10);
h) richtlijnen voor het bewaren en verwijderen van alle bedrijfsregistraties, met inbegrip van berichten;
OPMERKING Er kan lokale wet- en regelgeving bestaan inzake het bewaren en verwijderen van bedrijfsregistraties.
i) aandacht voor andere relevante eisen van wet- en regelgeving, statutaire en contractuele eisen (zie 5.31, 5.32, 5.33, 5.34) in verband met het overdragen van informatie (bijv. eisen voor elektronische handtekeningen).
<u>Elektronisch transport</u>
In regels, procedures en overeenkomsten behoort ook rekening te worden gehouden met de volgende punten bij het gebruik van elektronische communicatiefaciliteiten voor het overdragen van informatie:
a) het detecteren van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie 8.7);
b) bescherming van als bijlage gecommuniceerde gevoelige elektronische informatie;
c) het voorkómen dat documenten en berichten in mededelingen naar het verkeerde adres of nummer worden gestuurd;
d) het verkrijgen van toestemming voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken, het delen van bestanden of opslag in de cloud;
e) sterkere authenticatieniveaus bij het overdragen van informatie via openbaar toegankelijke netwerken;
f) beperkingen die samenhangen met het gebruik van elektronische communicatiefaciliteiten (bijv. het geautomatiseerd doorsturen van e-mail naar externe e-mailadressen voorkomen);
g) personeel en andere belanghebbenden adviseren geen berichten met essentiële informatie via sms of andere vormen van instant messaging te verzenden, aangezien deze op openbare plekken (en derhalve door onbevoegden) kunnen worden gelezen of kunnen worden opgeslagen op apparaten die niet afdoende zijn beschermd;
h) personeel en andere belanghebbenden informeren over problemen in verband met het gebruiken van faxapparatuur of -diensten, namelijk:
1) onbevoegde toegang tot ingebouwde berichtenboxen om berichten op te vragen;
2) opzettelijk of onbedoeld programmeren van machines, waardoor berichten naar bepaalde nummers worden gestuurd.
<u>Fysiek overdragen van opslagmedia</u>
Bij het overdragen van fysieke opslagmedia, waaronder papier, behoort in de regels, procedures en overeenkomsten ook te zijn voorzien in:
a) verantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
b) het garanderen van correcte adressering en overdracht van het bericht;
c) verpakking die de inhoud beschermt tegen fysieke schade waarvan aannemelijk is dat deze zich kan voordoen tijdens het overdragen en overeenkomstig de specificaties van fabrikanten, bijv. verpakking die bescherming biedt tegen omgevingsfactoren die de doeltreffendheid kunnen verminderen van het herstellen van opslagmedia, zoals blootstelling aan warmte, vocht of elektromagnetische velden; met gebruikmaking van de minimale technische normen voor verpakking en verzending (bijv. het gebruik van ondoorzichtige enveloppen);
d) een door het management goedgekeurde lijst van goedgekeurde betrouwbare koeriers;
e) koeriersidentificatienormen;
f) afhankelijk van het classificatieniveau van de informatie in of op de over te dragen opslagmedia, de toepassing van beheersmaatregelen waardoor manipulatie duidelijk wordt aangetoond of die tegen manipulatie bestendig zijn (bijv. tassen, containers);
g) procedures om de identificatie van koeriers te verifiëren;
h) een goedgekeurde lijst van derden die vervoers- of koeriersdiensten verlenen, afhankelijk van de classificatie van de informatie;
i) het bijhouden van registraties die de inhoud van de opslagmedia en de toegepaste bescherming identificeren, een lijst bevatten van bevoegde ontvangers waarin ook wordt vastgelegd hoe vaak de media zijn overgedragen naar de beheerder en in ontvangst zijn genomen op de plaats van bestemming.
<u>Mondelinge overdracht</u>
Om de mondelinge overdracht van informatie te beschermen, behoren personeel en andere belanghebbenden eraan te worden herinnerd dat zij:
a) geen vertrouwelijke mondelinge gesprekken behoren te voeren op openbare plekken of via onveilige communicatiekanalen, aangezien deze door onbevoegden kunnen worden afgeluisterd;
b) geen berichten die vertrouwelijke informatie bevatten, behoren achter te laten op antwoordapparaten of als spraakbericht, omdat deze kunnen worden afgespeeld door onbevoegde personen, op gemeenschappelijke systemen kunnen worden opgeslagen of onjuist kunnen worden opgeslagen als gevolg van foutieve nummerkeuze;
c) op het juiste niveau behoren te zijn gescreend om naar het gesprek te mogen luisteren;
d) behoren te waarborgen dat passende beheersmaatregelen voor de ruimte zijn geïmplementeerd (bijv. geluidsdichtheid, dichte deur);
e) gevoelige gesprekken altijd behoren te beginnen met een disclaimer zodat de aanwezigen het classificatieniveau kennen van wat ze gaan horen en eventuele eisen met betrekking tot de omgang ermee.
**Overige informatie**
Geen overige informatie.

86
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging.md Normal file
View file

@ -0,0 +1,86 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.15 Toegangsbeveiliging
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.
**Doel**
Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
**Richtlijn**
Eigenaren van informatie en andere gerelateerde bedrijfsmiddelen behoren informatiebeveiligings- en bedrijfseisen met betrekking tot toegangsbeveiliging vast te stellen. Er behoort onderwerpspecifiek beleid inzake toegangsbeveiliging te worden gedefinieerd waarin rekening wordt gehouden met deze eisen en dit behoort naar alle desbetreffende belanghebbenden te worden gecommuniceerd.
Bij deze eisen en het onderwerpspecifieke beleid behoort rekening te worden gehouden met het volgende:
a) vaststellen voor welke entiteiten welke soort toegang tot de informatie en andere gerelateerde bedrijfsmiddelen vereist is;
b) beveiliging van toepassingen (zie 8.26);
c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie 7.2, 7.3, 7.4);
d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie 5.10, 5.12, 5.13);
e) beperkingen op speciale toegangsrechten (zie 8.2);
f) functiescheiding (zie 5.3);
g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie 5.31, 5.32, 5.33, 5.34, 8.3);
h) scheiding van toegangsbeveiligingsfuncties (bijvoegangsverzoek, -autorisatie, -administratie);
i) formele autorisatie voor verzoeken om toegang (zie 5.16 en 5.18);
j) het beheer van toegangsrechten (zie 5.18);
k) registratie (zie 8.15).
Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie 5.16). Een entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
Bij het definiëren en implementeren van regels voor toegangsbeveiliging behoort rekening te worden gehouden met het volgende:
a) consistentie tussen de toegangsrechten en de informatieclassificatie;
b) consistentie tussen de toegangsrechten en de behoeften en eisen met betrekking tot de fysieke beveiliging van de buitengrenzen;
c) het in aanmerking nemen van alle soorten beschikbare verbindingen in gedistribueerde omgevingen zodat entiteiten alleen toegang krijgen tot informatie en andere gerelateerde bedrijfsmiddelen, waaronder netwerken en netwerkdiensten waarvoor zij als gebruiker bevoegd zijn;
d) het overwegen hoe elementen of factoren die relevant zijn voor dynamische toegangsbeveiliging kunnen worden weergegeven.
**Overige informatie**
Er worden vaak overkoepelende principes gebruikt in de toegangsbeveiligingscontext. Twee van de meest gebruikte principes zijn:
a) 'need-to-know': een entiteit krijgt alleen toegang tot de informatie die de entiteit in kwestie nodig heeft voor het uitvoeren van zijn functies (verschillende functies of rollen betekenen verschillende 'need-to-know'-informatie en daardoor verschillende toegangsprofielen);
b) noodzaak tot gebruik ('need-to-use'): een entiteit krijgt alleen toegang tot de informatietechnologie-infrastructuur indien daarvoor een duidelijke noodzaak bestaat.
Bij het opstellen van regels voor toegangsbeveiliging behoort aandacht te worden besteed aan het volgende:
a) het vaststellen van regels gebaseerd op de vooronderstelling van het 'least privilege' (minste rechten): 'Alles is in principe verboden tenzij het uitdrukkelijk is toegelaten', in plaats van de zwakkere regel 'Alles is in principe toegelaten tenzij het uitdrukkelijk is verboden';
b) wijzigingen in informatielabels (zie 5.13) die automatisch door informatieverwerkende faciliteiten worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
c) wijzigingen in toegangsrechten voor gebruikers die automatisch door het informatiesysteem worden aangebracht, en wijzigingen die door een beheerder worden aangebracht;
d) de momenten van het definiëren en regelmatig beoordelen van de goedkeuring.
Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie 5.17, 5.18, 8.2, 8.3, 8.4, 8.5, 8.18) en gedefinieerde verantwoordelijkheden (zie 5.2, 5.17).
Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging).
Regels voor toegangsbeveiliging kunnen ook dynamische elementen bevatten (bijv. een functie die toegangsinstanties uit het verleden of specifieke omgevingswaarden beoordeelt). Regels voor toegangsbeveiliging kunnen met verschillende granulariteit worden geïmplementeerd, uiteenlopend van het afdekken van volledige netwerken of systemen tot specifieke gegevensvelden, en hierbij kunnen ook eigenschappen zoals de locatie van de gebruiker of het soort netwerkverbinding dat voor de toegang wordt gebruikt, in aanmerking worden genomeneze principes, evenals de wijze waarop granulaire toegangsbeveiliging wordt gedefinieerd, kunnen een aanmerkelijk kosteneffect hebbentrengere regels en meer granulariteit leiden doorgaans tot hogere kostenan de hand van bedrijfseisen en risico-overwegingen behoort te worden gedefinieerd welke regels voor toegangsbeveiliging worden toegepast en welke granulariteit vereist is.

56
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.16_BT Identiteitsbeheer.md Normal file
View file

@ -0,0 +1,56 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.16 Identiteitsbeheer
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
De volledige levenscyclus van identiteiten behoort te worden beheerd.
**Doel**
De unieke identificatie van personen en systemen die toegang hebben tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, en een juiste toewijzing van toegangsrechten mogelijk maken.
**Richtlijn**
De processen die worden gebruikt in de context van identiteitsbeheer, behoren te bewerkstelligen dat:
a) indien identiteiten aan personen zijn toegewezen, een specifieke identiteit slechts aan één persoon wordt gekoppeld zodat de persoon ertoe kan worden gehouden rekenschap af te leggen voor met deze specifieke identiteit verrichte handelingen;
b) aan meer personen toegewezen identiteiten (bijvedeelde identiteiten) alleen zijn toegestaan wanneer ze om zakelijke of operationele redenen nodig zijn en ze aan speciale goedkeuring en documentatie worden onderworpen;
c) naar behoren gescheiden goedkeuring en onafhankelijk lopend toezicht wordt uitgeoefend indien identiteiten aan niet-menselijke entiteiten zijn toegewezen;
d) identiteiten tijdig gedeactiveerd of verwijderd worden als ze niet meer nodig zijn (bijv. als de gerelateerde entiteiten worden verwijderd of niet langer worden gebruikt of als de aan een identiteit gekoppelde persoon de organisatie heeft verlaten of van rol is veranderd);
e) in een specifiek domein één enkele identiteit aan één enkele entiteit wordt gekoppeld \[d.w.z dat wordt vermeden dat meerdere identiteiten binnen dezelfde context aan dezelfde entiteit worden gekoppeld (dubbele identiteiten)\];
f) registraties worden bijgehouden van alle belangrijke gebeurtenissen betreffende het gebruik en het beheer van gebruikersidentiteiten en authenticatie-informatie.
De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omgaan met veranderingen aan informatie met betrekking tot gebruikersidentiteiten. Deze processen kunnen het opnieuw verifiëren van vertrouwde documenten met betrekking tot een persoon omvatten.
Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie 5.19) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie 5.17) omvatten.
**Overige informatie**
Het verlenen of intrekken van toegang tot informatie en andere gerelateerde bedrijfsmiddelen is doorgaans een meerstapsprocedure:
a) het bevestigen van de zakelijke eisen voor het vaststellen van een identiteit;
b) het verifiëren van de identiteit van een entiteit alvorens deze een logische identiteit toe te kennen;
c) het vaststellen van een identiteit;
d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen van gerelateerde authenticatiediensten;
e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie 5.18).

88
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie.md Normal file
View file

@ -0,0 +1,88 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.17 Beheren van authenticatie-informatie
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
### Beheersmaatregel
De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het informeren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt.
### Doel
Goede authenticatie bewerkstelligen en fouten van authenticatieprocessen voorkomen.
### Richtlijn
**Toewijzing van authenticatie-informatie**
Het toewijzings- en beheerproces behoort te bewerkstelligen dat:
a) tijdens inschrijfprocessen automatisch gegenereerde persoonlijke wachtwoorden of pincodes als tijdelijke geheime authenticatie informatie niet geraden kunnen worden en gebruikers deze na het eerste gebruik moeten wijzigen;
b) er procedures worden vastgesteld om de identiteit van een gebruiker vast te stellen voordat nieuwe, vervangende of tijdelijke authenticatie-informatie wordt verstrekt;
c) authenticatie-informatie, met inbegrip van tijdelijke authenticatie-informatie, op een beveiligde manier aan de gebruikers wordt verzonden (bijv. via een geauthenticeerd en beschermd kanaal) en het gebruik van onbeschermde (onversleutelde) e-mailberichten voor dit doel wordt vermeden;
d) gebruikers de ontvangst van authenticatie-informatie bevestigen;
e) standaard authenticatie-informatie zoals vooraf gedefinieerd of door verkopers verstrekt onmiddellijk na het installeren van systemen of software wordt gewijzigd;
f) registraties van belangrijke gebeurtenissen in verband met de toewijzing en het beheer van authenticatie-informatie worden bewaard en de vertrouwelijkheid ervan gewaarborgd is, en dat de registratiemethode is goedgekeurd (bijv. met behulp van een goedgekeurd wachtwoordkluisinstrument).
**Verantwoordelijkheden van gebruikers**
Elke persoon die toegang heeft tot of gebruikmaakt van authenticatie-informatie, behoort erop te worden gewezen ervoor te zorgen dat:
a) geheime authenticatie-informatie zoals wachtwoorden geheim wordt gehouden. Persoonlijke geheime authenticatie-informatie mag niet met anderen worden gedeeld. Geheime authenticatie-informatie die wordt gebruikt in de context van identiteiten die zijn gekoppeld aan meer gebruikers of aan niet-persoonlijke entiteiten, wordt uitsluitend gedeeld met bevoegden.
b) aangetaste of gecompromitteerde authenticatie-informatie wordt gewijzigd onmiddellijk na kennisgeving ervan of na andere aanwijzingen dat deze is gecompromitteerd;
c) wanneer wachtwoorden als authenticatie-informatie worden gebruikt, er sterke wachtwoorden volgens aanbevelingen aan de hand van 'best practices' worden gekozen, bijvoorbeeld:
1) wachtwoorden worden niet gebaseerd op gegevens die iemand anders gemakkelijk met behulp van persoonsgerelateerde informatie (zoals namen, telefoonnummers en geboortedata) kan raden of achterhalen;
2) wachtwoorden worden niet gebaseerd op woordenboekwoorden of combinaties daarvan;
3) gebruik gemakkelijk te onthouden wachtzinnen en probeer daarin alfanumerieke en speciale tekens te gebruiken;
4) wachtwoorden hebben een minimumlengte;
d) een en hetzelfde wachtwoord niet voor verschillende diensten en op verschillende systemen wordt gebruikt;
e) de verplichting om deze regels na te leven ook wordt opgenomen in de arbeidsovereenkomst (zie 6.2);
**Systeem voor wachtwoordbeheer**
Wanneer wachtwoorden worden gebruikt als authenticatie-informatie, behoort het wachtwoordbeheersysteem:
a) gebruikers de mogelijkheid te bieden hun eigen wachtwoord te kiezen en te wijzigen, en een bevestigingsprocedure te bevatten om foutieve invoer te adresseren;
b) sterke wachtwoorden af te dwingen volgens aanbevelingen aan de hand van 'best practices' (zie c) van 'Verantwoordelijkheden van gebruikers');
c) gebruikers te dwingen hun wachtwoord bij het eerste inloggen te wijzigen;
d) af te dwingen dat wachtwoorden worden gewijzigd wanneer dat nodig is, bijv. na een beveiligingsincident of bij beëindiging of wijziging van dienstverband wanneer een gebruiker beschikt over bekende wachtwoorden voor identiteiten die actief blijven (bijv. gedeelde identiteiten);
e) het hergebruik van eerdere wachtwoorden te voorkomen;
f) het gebruik van veelgebruikte wachtwoorden en gecompromitteerde gebruikersnamen wachtwoordcombinaties uit gehackte systemen te voorkomen;
g) wachtwoorden niet op het scherm te tonen als ze worden ingevoerd;
h) wachtwoorden in beschermde vorm op te slaan en te versturen.
Wachtwoordversleuteling en hashing behoren te worden uitgevoerd volgens goedgekeurde cryptografische technieken voor wachtwoorden (zie 8.24).
### Overige informatie
Wachtwoorden of wachtzinnen zijn een algemeen gebruikt type authenticatie-informatie en zijn een gebruikelijk middel om de identiteit van een gebruiker te verifiëren. Andere typen authenticatie-informatie zijn cryptografische sleutels en andere gegevens die zijn opgeslagen op hardware tokens (bijv. chipkaarten) die authenticatiecodes produceren, en biometrische gegevens zoals irisscans of vingerafdrukken. Aanvullende informatie is te vinden in de ISO/IEC 24760-reeks.
Verplichten dat wachtwoorden vaak worden gewijzigd kan een probleem zijn, aangezien gebruikers geïrriteerd kunnen raken door de frequente wijzigingen, nieuwe wachtwoorden kunnen vergeten, ze op onveilige plaatsen kunnen noteren, of onveilige wachtwoorden kunnen kiezen. Als 'Single Sign On' (SSO) of andere authenticatiebeheerinstrumenten (bijv. wachtwoordkluizen) beschikbaar worden gesteld, vermindert dat de hoeveelheid authenticatie-informatie die gebruikers moeten beschermen, waardoor de doeltreffendheid van deze beheersmaatregel kan toenemen. Echter, deze instrumenten kunnen ook de impact van openbaarmaking van authenticatie-informatie vergroten.
Bepaalde toepassingen vereisen dat wachtwoorden voor gebruikers door een onafhankelijke instantie worden toegewezen. In dergelijke gevallen zijn de punten a), c) en d) van 'Systeem voor wachtwoordbeheer' niet van toepassing.

61
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md Normal file
View file

@ -0,0 +1,61 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
# 5.17 Beheren van authenticatie-informatie
ISO 27002:2022 [[ISO_27002_2022_NL_BT 5.17 Beheren van authenticatie-informatie|Brontekst]]
#### Wat
Er moet een proces zijn voor toewijzing en beheer van authenticatie-informatie, met aandacht voor de communicatie naar medewerkers hierover.
#### Waarom
Zorgen voor passende authenticatie en voorkomen van fouten in het proces.
#### Hoe
##### Verstrekking en wijziging
- tijdelijke wachtwoorden of pincodes die bij inschrijving verstrekt worden, mogen niet gemakkelijk te raden zijn, en moeten na het eerste gebruik verplicht gewijzigd worden;
- gebruikers moeten hun eigen wachtwoord mogen kiezen daarbij hoort een bevestigingsprocedure om invoerfouten te voorkómen en moeten 'sterke' wachtwoorden worden afgedwongen (zie 'Verantwoordelijkheden van gebruikers');
- bij invoer mag het wachtwoord niet op het scherm getoond worden (om 'afkijken' te voorkomen);
- Hergebruik van wachtwoorden moet worden voorkomen;
- bij nieuwe, vervangende of tijdelijke authenticatie-informatie moet eerst de identiteit van een gebruiker worden vastgesteld;
- authenticatie-informatie moet altijd versleuteld worden opgeslagen en verzonden (dus niet in onversleutelde mails)[^1];
- gebruikers moeten ontvangst van authenticatie-informatie bevestigen;
- acties rond het verstrekken en wijzigen van authenticatie-informatie moeten geregistreerd worden (bijv. in beveiligde logfiles of in een wachtwoordkluis)
- bij de installatie van software en systemen moet altijd direct de standaard authenticatie-informatie worden gewijzigd dit geldt ook voor bijv. wachtwoorden die door verkopers/consultants verstrekt worden.
- Na een beveiligingsincident moeten wachtwoordwijzigingen worden afgedwongen.
- Wachtwoorden van groepsaccounts moeten gewijzigd worden bij uitdiensttredingen en functiewijzigingen.
- Veelgebruikte en gecompromitteerde wachtwoorden moeten gewijzigd worden dit kan gesignaleerd worden met security scans en 'hacking alerts' zoals voorzien in de meeste wachtwoordkluizen.
##### Verantwoordelijkheden van gebruikers
- Wachtwoorden moeten 'sterk' zijn:
- gebruik 'wachtzinnen' die makkelijk te onthouden zijn en gebruik daarin nummers, leestekens en speciale tekens;
- zorg voor een minimale lengte;
- gebruik géén persoonlijke informatie als namen, telefoonnummers, adressen en geboortedata;
- gebruik géén woordenboekwoorden of combinaties daarvan;
- Authenticatie-informatie mag niet met anderen worden gedeeld. Bij niet-persoonlijke accounts (bijv. groepsaccounts) mag de informatie alleen met bevoegde personen (bijv. leden van die groep) gedeeld worden.
- Als authenticatie-informatie gelekt is ('gecompromitteerd'), moet die onmiddellijk gewijzigd worden.
- Gebruik nooit hetzelfde wachtwoord voor verschillende systemen of diensten;
- Zorg dat deze regels als verplichting worden opgenomen in de arbeidsovereenkomst (zie [[ISO_27002_2022_NL_NN 6.2 Arbeidsovereenkomst|6.2]]);
#### Overige informatie
- Het frequent afdwingen van wachtwoordwijzigingen kan contra-productief zijn: het zorgt voor irritatie bij gebruikers, nieuwe wachtwoorden worden gemakkelijk vergeten en op onveilige plekken worden genoteerd, en gebruikers kiezen sneller voor gemakkelijk te onthouden (en te raden) wachtwoorden.
- Het gebruik van 'Single Sign On' (SSO) en wachtwoordkluizen kan dit risico verminderen, maar aan de andere kant kan het lekken van een wachtwoord hiervan ook weer een grotere impact hebben.
- In plaats van wachtwoorden of wachtzinnen kunnen ook andere authenticatie-middelen gebruikt worden, zoals cryptografische sleutels, hardware tokens, en biometrische gegevens (multi-factor authenticatie).
#### Bewijs
Auditors kijken naar bewijzen van de implementatie van het proces. Dit kan bijvoorbeeld de volgende vorm aannemen:
| Omschrijving van bewijs | ISO27DIY artefact |
| ----------------------- | ----------------- |
| Omschrijving 1 | Artefact 1 |
#### Gerelateerd
Naar deze maatregel wordt verwezen in:
- [ ] Andere beheersmaatregelen binnen dezelfde norm die verwijzen naar deze maatregel
Andere gerelateerde ISO 27x beheersmaatregelen:
- [ ] Gerelateerde ISO 27x beheersmaatregelen die *niet* letterlijk in de brontekst genoemd worden.
[^1]: Gebruik voor versleuteling en hashing goedgekeurde technieken (zie [[ISO_27002_2022_NL_NN 8.24 Gebruik van cryptografie|8.24]]).

103
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md Normal file
View file

@ -0,0 +1,103 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.18 Toegangsrechten
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
Toegangsrechten met betrekking tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.
**Doel**
Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmiddelen wordt vastgesteld en goedgekeurd overeenkomstig de bedrijfseisen.
**Richtlijn**
<u>Verlenen en intrekken van toegangsrechten</u>
De procedure voor het toewijzen of intrekken van fysieke en logische toegangsrechten aan de geauthenticeerde identiteit van een entiteit behoort te omvatten:
a) autorisatie van de eigenaar van de informatie en andere gerelateerde bedrijfsmiddelen verkrijgen voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen (zie 5e verlening van aparte goedkeuring voor toegangsrechten door het management kan ook passend zijn;
b) de bedrijfseisen en het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie in overweging nemen;
c) overwegen functies te scheiden, waaronder het scheiden van de rollen van goedkeuring en implementatie van de toegangsrechten en het scheiden van conflicterende rollen;
d) bewerkstelligen dat toegangsrechten worden ingetrokken wanneer iemand geen toegang meer nodig heeft tot de informatie en andere gerelateerde bedrijfsmiddelen, en met name bewerkstelligen dat toegangsrechten van gebruikers die de organisatie hebben verlaten, tijdig worden ingetrokken;
e) overwegen tijdelijke toegangsrechten voor beperkte duur te verlenen en deze op de afloopdatum in te trekken, met name voor tijdelijk personeel of indien slechts tijdelijk toegang vereist is voor het personeel;
f) verifiëren dat het toegekende toegangsniveau in overeenstemming is met de onderwerpspecifieke beleidsregels inzake toegangsbeveiliging (zie 5.15) en aansluit op andere informatiebeveiligingseisen zoals functiescheiding (zie 5.3);
g) waarborgen dat toegangsrechten pas worden geactiveerd (bijvoor dienstverleners) nadat de autorisatieprocedures succesvol zijn afgerond;
h) een centraal overzicht bijhouden van toegangsrechten die aan een (logische of fysieke) gebruikersidentificatie zijn toegekend om toegang te verkrijgen tot informatie en andere gerelateerde bedrijfsmiddelen;
i) de toegangsrechten aanpassen van gebruikers die van rol of functie zijn veranderd;
j) fysieke en logische toegangsrechten verwijderen of aanpassen, hetgeen kan worden gedaan door sleutels, authenticatie-informatie, ID-kaarten of abonnementen te verwijderen, in te trekken, te herroepen of te vervangen;
k) een registratie bijhouden van wijzigingen in de logische en fysieke toegangsrechten van gebruikers.
<u>Beoordeling van toegangsrechten</u>
Bij het regelmatig beoordelen van fysieke en logische toegangsrechten behoren de volgende aspecten in overweging te worden genomen:
a) de toegangsrechten van gebruikers na een verandering binnen dezelfde organisatie (bijv. verandering van functie, promotie, demotie) of beëindiging van het dienstverband (zie 6.1 t/m 6.5);
b) autorisaties voor speciale toegangsrechten.
<u>Overweging voorafgaand aan een wijziging of beëindiging van het dienstverband</u>
De toegangsrechten van een gebruiker tot informatie en gerelateerde bedrijfsmiddelen behoren te worden beoordeeld en aangepast of ingetrokken voorafgaand aan een wijziging aan of beëindiging van het dienstverband, op basis van de evaluatie van risicofactoren zoals:
a) of de beëindiging of wijziging is geïnitieerd door de gebruiker of door het management en de reden voor de beëindiging;
b) de actuele verantwoordelijkheden van de gebruiker;
c) de waarde van de bedrijfsmiddelen die op dat moment toegankelijk zijn.
**Overige informatie**
Er behoort op te worden gelet dat gebruikerstoegangsrollen worden vastgesteld op basis van bedrijfseisen die een aantal toegangsrechten samenvatten in specifieke gebruikerstoegangsprofielen. Toegangsverzoeken en beoordelingen van toegangsrechten zijn gemakkelijker te beheren op het niveau van dergelijke rollen dan op het niveau van bijzondere rechten.
Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor personeel dat onbevoegde toegang probeert te verkrijgen (zie 5.20, 6.2, 6.4, 6.6).
Ingeval het management de beëindiging van het dienstverband heeft geïnitieerd, bestaat het risico dat ontevreden personeel of externe gebruikers opzettelijk informatie corrumperen of informatieverwerkende faciliteiten saboterenersonen die ontslag nemen of worden ontslagen, kunnen in de verleiding komen informatie te verzamelen voor toekomstig gebruik.
Klonen is een doelmatige manier waarop organisaties toegang aan gebruikers kunnen toewijzenit behoort echter met zorg te gebeuren, op basis van door de organisatie vastgestelde onderscheiden rollen, in plaats van een identiteit met alle gerelateerde toegangsrechten zomaar te klonenan het klonen is het inherente risico verbonden dat het leidt tot buitensporige toegangsrechten tot informatie en andere gerelateerde bedrijfsmiddelen.

92
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.19_BT Informatiebeveiliging in leveranciersrelaties.md Normal file
View file

@ -0,0 +1,92 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
## 5.19 Informatiebeveiliging in leveranciersrelaties
**Beheersmaatregel**
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheren.
**Doel**
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
**Richtlijn**
De organisatie behoort een onderwerpspecifiek beleid inzake leveranciersrelaties vast te stellen en aan alle relevante belanghebbenden mee te delen.
De organisatie behoort processen en procedures te identificeren en te implementeren om de beveiligingsrisico\'s in verband met het gebruik van door leveranciers geleverde producten en diensten op te pakken. Dit behoort ook van toepassing te zijn op het gebruik door de organisatie van middelen van aanbieders van clouddiensten. Deze processen en procedures behoren de door de organisatie te implementeren processen en procedures te omvatten, alsmede de processen en procedures waarvan de organisatie vereist dat de leverancier ze implementeert om te starten met het gebruik van de producten of diensten van een leverancier of voor de beëindiging van het gebruik van de producten en diensten van een leverancier, zoals:
a) het vaststellen en documenteren van de soorten leveranciers, bijv. ICT-diensten, logistieke voorzieningen, financiële diensten, ICT-infrastructuurcomponenten die gevolgen kunnen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie;
b) het vaststellen hoe leveranciers worden geëvalueerd en geselecteerd op basis van de gevoeligheid van informatie, producten en diensten (bijvet marktanalyse, referenties van klanten, beoordeling van documenten, beoordelingen op locatie, certificeringen);
c) het evalueren en selecteren van producten of diensten van een leverancier met toereikende beheersmaatregelen voor informatiebeveiliging en deze beoordelen; met name de juistheid en volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen die de integriteit van de informatie van, en de informatieverwerking door, de leverancier en daarmee de informatiebeveiliging van de organisatie garanderen;
d) het definiëren van de informatie, ICT-diensten en fysieke infrastructuur van de organisatie waartoe leveranciers toegang hebben en die ze kunnen monitoren, beheersen of gebruiken;
e) het definiëren van de door leveranciers geleverde soorten ICT-infrastructuurcomponenten en -diensten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie
f) het beoordelen en beheren van de informatiebeveiligingsrisico's in verband met:
1) het gebruik door leveranciers van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, met inbegrip van risico\'s die uitgaan van mogelijk kwaadwillig personeel van de leverancier;
2) storingen of kwetsbaarheden van de door de leveranciers geleverde producten (met inbegrip van softwarecomponenten en subcomponenten die in deze producten worden gebruikt) of diensten;
g) het monitoren van het voldoen aan vastgestelde informatiebeveiligingseisen voor elke soort leverancier en elke soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
h) het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door monitoring of door andere middelen;
i) het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van leveranciers, met inbegrip van verantwoordelijkheden van zowel de organisatie als van de leveranciers;
j) veerkracht- en, indien nodig, herstel- en calamiteitenmaatregelen om de beschikbaarheid te bewerkstelligen van de informatie van, en de informatieverwerking door, de leverancier en als gevolg daarvan de beschikbaarheid van de informatie van de organisatie;
k) bewustwording en training voor het personeel van de organisatie dat contacten onderhoudt met personeel van de leverancier betreffende passende regels van betrokkenheid, onderwerpspecifieke beleidsregels, processen en procedures en gedrag, gebaseerd op het type leverancier en het soort toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
l) het beheren van het nodige transport van informatie, gerelateerde bedrijfsmiddelen en al het andere dat moet worden veranderd, en waarborgen dat informatiebeveiliging tijdens de gehele transportperiode wordt gehandhaafd;
m) eisen om veilige beëindiging van de leveranciersrelatie te bewerkstelligen, met inbegrip van:
3) het intrekken van toegangsrechten;
4) het omgaan met informatie;
5) het vaststellen van de eigendom van intellectuele eigendom die tijdens de verbintenis is ontwikkeld;
6) de overdraagbaarheid van informatie in geval van verandering van leverancier of 'insourcing';
7) beheer van registraties;
8) het retourneren van bedrijfsmiddelen;
9) beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen;
10) voortdurende geheimhoudingseisen;
n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt verwacht van personeel en faciliteiten van de leverancier.
Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijvls gevolg van een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende producten of diensten te voorkomen (bijvoor van tevoren een alternatieve leverancier aan te wijzen of altijd gebruik te maken van alternatieve leveranciers).
**Overige informatie**
In gevallen waarin het voor een organisatie niet mogelijk is eisen te stellen aan een leverancier, behoort de organisatie:
a) de in deze beheersmaatregel gegeven richtlijnen in aanmerking te nemen bij het nemen van beslissingen over de keuze van een leverancier en zijn product of dienst;
b) op basis van een risicobeoordeling benodigde compenserende beheersmaatregelen te implementeren.
Informatie kan in gevaar worden gebracht door leveranciers met een ontoereikend informatiebeveiligingsbeheer. Om de toegang tot informatie en andere gerelateerde bedrijfsmiddelen door de leverancier te beheren, behoren beheersmaatregelen te worden vastgesteld en toegepast.
Indien er bijvoorbeeld een speciale noodzaak is om de informatie vertrouwelijk te houden, kunnen geheimhoudingsovereenkomsten of cryptografische technieken worden gebruikten.
Ander voorbeeld vormen risico\'s voor de bescherming van persoonlijke gegevens als de leveranciersovereenkomst betrekking heeft op de overdracht van, of toegang tot informatie over de grens. De organisatie behoort zich ervan bewust te zijn dat de wettelijke of contractuele verantwoordelijkheid voor het beschermen van de informatie bij de organisatie ligt.
Risico\'s kunnen ook worden veroorzaakt door ontoereikende beheersmaatregelen van door leveranciers geleverde ICT-infrastructuurcomponenten of -dienstenomponenten of diensten met storingen of kwetsbaarheden kunnen inbreuken op de informatiebeveiliging in de organisatie of voor een andere entiteit veroorzaken. Ze kunnen bijvoorbeeld besmetting met malware, aanvallen of andere schade aan andere entiteiten dan de organisatie veroorzaken.
Zie ISO/IEC 27036-2 voor nadere details.

114
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.1_BT Beleidsregels voor informatiebeveiliging.md Normal file
View file

@ -0,0 +1,114 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.1 Beleidsregels voor informatiebeveiliging
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Veerkracht |
**Beheersmaatregel**
Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
**Doel**
De voortdurende geschiktheid, toereikendheid, doeltreffendheid van de sturing en ondersteuning door het management overeenkomstig de bedrijfseisen en de eisen van wet- en regelgeving, statutaire en contractuele eisen bewerkstelligen.
**Richtlijn**
De organisatie behoort op het hoogste niveau een 'informatiebeveiligingsbeleid' te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar informatiebeveiliging te bereiken.
Het informatiebeveiligingsbeleid behoort eisen in aanmerking te nemen die zijn ontleend aan:
a) bedrijfsstrategie en -eisen;
b) wet- en regelgeving en contracten;
c) de huidige en verwachte risico\'s en dreigingen inzake informatiebeveiliging.
Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende:
a) de definitie van informatiebeveiliging;
b) informatiebeveiligingsdoelstellingen of het kader voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) principes die als leidraad dienen voor alle activiteiten in verband met informatiebeveiliging;
d) een verbintenis om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
e) een verbintenis tot continue verbetering van het managementsysteem voor informatiebeveiliging;
f) toekenning van verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen;
g) procedures voor het behandelen van vrijgestelde situaties en uitzonderingen.
Eventuele wijzigingen aan het informatiebeveiligingsbeleid behoren ter goedkeuring aan de directie te worden voorgelegd.
Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels naarmate nodig is, om de implementatie van beheersmaatregelen voor informatiebeveiliging verder verplicht te stellene typische structuur van onderwerpspecifieke beleidsregels is dusdanig dat ze ingaan op de behoeften van bepaalde doelgroepen binnen een organisatie of dat ze bepaalde beveiligingsgebieden bestrijkennderwerpspecifieke beleidsregels behoren te worden afgestemd op het informatiebeveiligingsbeleid van de organisatie en dit aan te vullen.
Voorbeelden van dergelijke onderwerpen zijn:
a) toegangsbeveiliging;
b) fysieke beveiliging en beveiliging van de omgeving;
c) beheer van bedrijfsmiddelen;
d) overdragen van informatie;
e) beveiligde configuratie van en omgang met 'endpoint devices' van gebruikers;
f) netwerkbeveiliging;
g) beheer van informatiebeveiligingsincidenten;
h) back-up;
i) cryptografie en sleutelbeheer;
j) classificatie van en omgaan met informatie;
k) beheer van technische kwetsbaarheden;
l) veilig ontwikkelen.
De verantwoordelijkheid voor het ontwikkelen, beoordelen en goedkeuren van de onderwerpspecifieke beleidsregels behoort te worden toegewezen aan relevant personeel, op basis van passend bevoegdheidsniveau en technische bekwaamheide beoordeling behoort mede het beoordelen te omvatten van mogelijkheden voor het verbeteren van het informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels en het informatiebeveiligingsbeheer van de organisatie als antwoord op veranderingen in:
a) de bedrijfsstrategie van de organisatie;
b) de technische omgeving van de organisatie;
c) wet- en regelgeving en contracten;
d) informatiebeveiligingsrisico\'s;
e) huidige en verwachte dreigingen inzake informatiebeveiliging;
f) lering die wordt getrokken uit informatiebeveiligingsgebeurtenissen en -incidenten.
Bij de beoordeling van informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoort rekening te worden gehouden met de resultaten van directiebeoordelingen en auditsndien er één beleidsregel wordt gewijzigd, behoort, met het oog op de consistentie, te worden overwogen ook andere gerelateerde beleidsregels te beoordelen en bij te werken.
Het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels behoren in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer te worden gecommuniceerd aan relevant personeel en relevante belanghebbendenan ontvangers van de beleidsregels behoort te worden verlangd dat ze bevestigen dat ze de beleidsregels, indien van toepassing, begrijpen en zich eraan zullen houdene organisatie kan voor deze beleidsdocumenten formaten en namen vaststellen die aan de behoeften van de organisatie voldoenn bepaalde organisaties kunnen het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels in een en hetzelfde document worden opgenomene organisatie kan deze onderwerpspecifieke beleidsregels aanduiden als normen, richtlijnen, beleidsregels enz.
Als het informatiebeveiligingsbeleid of een onderwerpspecifieke beleidsregel buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie openbaar wordt gemaakt.
Tabel 1 illustreert de verschillen tussen informatiebeveiligingsbeleid en onderwerpspecifiek beleid.
**Tabel 1 --- Verschillen tussen informatiebeveiligingsbeleid en onderwerpspecifiek beleid**
| | **Informatiebeveiligingsbeleid** | **Onderwerpspecifiek beleid** |
| :--------------------------------------------- | :------------------------------- | :---------------------------- |
| **Detailniveau** | Algemeen of op hoofdlijnen | Specifiek en gedetailleerd |
| **Gedocumenteerd en formeel goedgekeurd door** | De directie | Het passende managementniveau |
**Overige informatie**
Onderwerpspecifieke beleidsregels kunnen van organisatie tot organisatie verschillen.

89
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten.md Normal file
View file

@ -0,0 +1,89 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
**Beheersmaatregel**
Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen.
**Doel**
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
**Richtlijn**
Leveranciersovereenkomsten behoren te worden vastgesteld en gedocumenteerd om te waarborgen dat er tussen de organisatie en de leverancier duidelijkheid bestaat ten aanzien van de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
Om aan de vastgestelde informatiebeveiligingseisen te voldoen kan worden overwogen de volgende voorwaarden in de overeenkomsten op te nemen:
a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te verschaffen of toegankelijk te maken;
b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 5.10, 5.12, 5.13);
c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de leverancier;
d) eisen van wet- en regelgeving, statutaire en contractuele eisen, met inbegrip van gegevensbescherming, het omgaan met persoonsgegevens, rechten van intellectuele eigendom en auteursrecht, en een beschrijving van hoe wordt gewaarborgd dat eraan wordt voldaan;
e) de verplichting van elke contractpartij om overeengekomen beheersmaatregelen te implementeren, met inbegrip van toegangsbeveiliging, prestatiebeoordeling, monitoren, melden, rapportage en auditen en de verplichtingen van de leverancier om te voldoen aan de informatiebeveiligingseisen van de organisatie;
f) de regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van onaanvaardbaar gebruik indien noodzakelijk;
g) procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door personeel van de leverancier (bijvan de hand van een specifieke lijst van personeel van leveranciers dat bevoegd is om de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie te gebruiken);
h) informatiebeveiligingseisen met betrekking tot de ICT-infrastructuur van de leverancier; met name minimale informatiebeveiligingseisen voor elk type informatie en elk type toegang, te gebruiken als basis voor individuele overeenkomsten met leveranciers op basis van de bedrijfsbehoeften en risicocriteria van de organisatie;
i) schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet;
j) eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident);
k) trainings- en bewustwordingseisen voor specifieke procedures en informatiebeveiligingseisen (bijv. voor incidentresponsprocedures, autorisatieprocedures);
l) relevante voorzieningen voor uitbesteding, met inbegrip van de te implementeren beheersmaatregelen, zoals een overeenkomst over de inzet van onderleveranciers (bijvisen dat voor hen dezelfde verplichtingen gelden als voor de leverancier, eisen dat er een lijst van onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert);
m) relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging;
n) screeningeisen, indien wettelijk toegestaan, voor het personeel van leveranciers, met inbegrip van verantwoordelijkheden voor het uitvoeren van de screening en kennisgevingsprocedures indien de screening niet is voltooid of de resultaten aanleiding geven tot twijfel of bezorgdheid;
o) de bewijs- en borgingsmechanismen van attesten van derden voor relevante informatiebeveiligingseisen met betrekking tot de processen van leveranciers en een onafhankelijk rapport over de doeltreffendheid van beheersmaatregelen;
p) het recht om de processen en beheersmaatregelen van de leverancier in verband met de overeenkomst te auditen;
q) verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid van beheersmaatregelen, en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld;
r) procedures voor het oplossen van defecten en conflicten;
s) voorzien in back-up die is afgestemd op de behoeften van de organisatie (wat betreft frequentie en type en opslaglocatie);
t) het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit (dzoodherstellocatie) waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit en overwegingen met betrekking tot alternatieve beheersmaatregelen waarop wordt teruggevallen indien de primaire beheersmaatregelen falen;
u) de beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat de organisatie vooraf op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden;
v) fysieke beveiligingsbeheersmaatregelen die passen bij de classificatie van de informatie;
w) beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens fysiek transport of tijdens logische overdracht;
x) beëindigingsclausules bij het afsluiten van de overeenkomst, met inbegrip van beheer van registraties, het retourneren van bedrijfsmiddelen, beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen en eventuele doorlopende geheimhoudingsverplichtingen;
y) het voorzien in een methode om de door de leverancier opgeslagen informatie van de organisatie op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is;
z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere leverancier of aan de organisatie zelf bij het einde van de overeenkomst.
De organisatie behoort een register van afspraken met externe partijen (bijv. contracten, een memorandum van overeenstemming, overeenkomsten voor het delen van informatie) op te stellen en te onderhouden om bij te houden waar haar informatie naartoe gaate organisatie behoort ook haar overeenkomsten met externe partijen regelmatig te beoordelen, te valideren en bij te werken om te garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules over informatiebeveiliging bevatten.
**Overige informatie**
De overeenkomsten kunnen voor de verschillende organisaties en de verschillende soorten leveranciers aanzienlijk variërenerhalve behoort erop te worden toegezien dat alle relevante eisen voor het oppakken van informatiebeveiligingsrisico's erin worden opgenomen.
Voor gegevens over overeenkomsten met leveranciers, zie de ISO/IEC 27036-reeks. Voor gegevens over overeenkomsten voor clouddiensten, zie de ISO/IEC 19086-reeks.

79
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.21_BT Beheren van informatiebeveiliging in de ICT-keten.md Normal file
View file

@ -0,0 +1,79 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
## 5.21 Beheren van informatiebeveiliging in de ICT-keten
**Beheersmaatregel**
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten en -diensten te beheren.
**Doel**
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
**Richtlijn**
In aanvulling op de algemene informatiebeveiligingseisen voor leveranciersrelaties behoren de volgende informatiebeveiligingsonderwerpen in aanmerking te worden genomen binnen de beveiliging van de ITC-toeleveringsketen:
a) informatiebeveiligingseisen definiëren die van toepassing zijn op het verwerven van ICT-producten of -diensten;
b) eisen dat leveranciers de beveiligingseisen van de organisatie in de gehele toeleveringsketen bekendmaken indien zij delen van de ICT-dienst die zij aan de organisatie leveren, uitbesteden;
c) eisen dat de leveranciers van ICT-producten passende beveiligingspraktijken in de gehele toeleveringsketen bekendmaken indien deze producten componenten bevatten die worden ingekocht bij of verkregen van andere leveranciers of andere entiteiten (bijv. softwareontwikkelaars en leveranciers van hardwarecomponenten die op basis van onderaanneming werken);
d) verzoeken dat de leveranciers van ICT-producten informatie verstrekken waarin de in producten gebruikte softwarecomponenten worden beschreven;
e) verzoeken dat de leveranciers van ICT-producten informatie verstrekken waarin de geïmplementeerde beveiligingsfuncties van hun product en de voor het veilige gebruik ervan vereiste configuratie worden beschreven;
f) een monitoringproces en aanvaardbare methoden voor het valideren dat de geleverde ICT-producten en -diensten voldoen aan de gestelde beveiligingseisen, implementeren. Voorbeelden van zulke methoden voor het beoordelen van leveranciers zijn penetratietests en bewijs of validatie van attesten van derden voor de informatiebeveiligingsactiviteiten van de leverancier;
g) een proces implementeren voor het vaststellen en documenteren van componenten van producten of diensten die essentieel zijn voor het handhaven van de functionaliteit en daarom verhoogde aandacht, toezicht en verdere opvolging vereisen als deze buiten de organisatie worden gebouwd, in het bijzonder indien de leverancier delen van componenten van producten of diensten aan andere leveranciers uitbesteedt;
h) zekerheid verkrijgen dat essentiële componenten en de herkomst ervan in de toeleveringsketen kunnen worden getraceerd;
i) zekerheid verkrijgen dat de geleverde ICT-producten functioneren zoals voorzien zonder onverwachte of ongewenste verschijnselen;
j) processen implementeren om te garanderen dat componenten van leveranciers echt zijn en ongewijzigd zijn ten opzichte van de specificatiesoorbeeldmaatregelen zijn labels tegen manipulatie, cryptografische hashverificaties of digitale handtekeningenonitoren op prestaties die niet aan de specificaties voldoen, kan een manier zijn om manipulatie of namaak aan te tonen.
Er behoort preventie en detectie van manipulatie te worden geïmplementeerd tijdens verschillende fasen van de levenscyclus van systeemontwikkeling, met inbegrip van de ontwerp-, ontwikkel-, integratie-, operationele en onderhoudsfasen;
k) waarborgen dat ICT-producten de vereiste beveiligingsniveaus halen, bijvoor middel van een formele certificerings- of beoordelingsregeling, zoals de Common Criteria Recognition Arrangement;
l) regels definiëren voor het delen van informatie met betrekking tot de toeleveringsketen en potentiële kwesties en compromissen tussen de organisatie en leveranciers;
m) specifieke processen implementeren voor het beheren van de levenscyclus en beschikbaarheid van ICT-componenten en gerelateerde beveiligingsrisico\'s. Dit omvat het beheren van de risico\'s dat onderdelen niet langer beschikbaar zijn omdat leveranciers hun bedrijf hebben gestaakt of deze onderdelen als gevolg van technologische ontwikkelingen niet meer aanbieden. Het identificeren van een alternatieve leverancier en het proces om software en competentie naar de alternatieve leverancier over te brengen behoren te worden overwogen.
**Overige informatie**
De specifieke risicobeheerpraktijken betreffende de ICT-toeleveringsketen komen boven op de algemene praktijken van informatiebeveiliging, kwaliteit, projectmanagement en systeemengineering, maar vervangen deze niet.
Organisaties wordt geadviseerd om samen te werken met leveranciers voor een goed begrip van de ICT-toeleveringsketen en de aangelegenheden die een belangrijke uitwerking hebben op de producten en diensten die worden geleverde organisatie kan informatiebeveiligingspraktijken van de ICT- toeleveringsketen beïnvloeden door in overeenkomsten met leveranciers de aangelegenheden bekend te maken waaraan door andere leveranciers in de ICT-toeleveringsketen invulling behoort te worden gegeven.
ICT behoort te worden verkregen van bronnen met een goede reputatiee betrouwbaarheid van software en hardware is een kwestie van kwaliteitscontroleoewel het voor een organisatie over het algemeen niet mogelijk is om de kwaliteitscontrolesystemen van haar leveranciers te inspecteren, kan zij wel een betrouwbaar oordeel vellen op basis van de reputatie van de leverancier.
De ICT-toeleveringsketen zoals hier bedoeld omvat ook clouddienstenoorbeelden van ICT-toeleveringsketens zijn:
a) 'cloud services provisioning', waar de aanbieder van de clouddienst afhankelijk is van de softwareontwikkelaars, aanbieders van telecommunicatiediensten, hardware-aanbieders;
b) internet of things (IoT), waarbij de dienst ook de fabrikanten van apparatuur, de aanbieders van de clouddienst (bijve exploitanten van het IoT-platform), de ontwikkelaars voor mobiele en internettoepassingen en de leverancier van softwarebibliotheken betreft;
c) hostingdiensten, waar de aanbieder op externe servicebalies vertrouwt, met inbegrip van eerste, tweede en derde niveaus van ondersteuning.
Zie ISO/IEC 27036-3 voor nadere details met inbegrip van richtlijnen voor risicobeoordeling.
Software-identificatietags (SWID) kunnen ook bijdragen aan betere informatiebeveiliging in de toeleveringsketen, door informatie te geven over de herkomst van software. Zie ISO/IEC 19770-2 voor nadere details.

74
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten.md Normal file
View file

@ -0,0 +1,74 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
| Attribuut | Waarde |
| :----------------------------------- | :---------------------------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties #Borging_van_informatiebeveiliging |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming #Verdediging |
**Beheersmaatregel**
De organisatie behoort de informatiebeveiligingspraktijken en de leveranciersdiensten regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren.
**Doel**
Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.
**Richtlijn**
Het monitoren en beoordelen van, en het beheren van veranderingen aan, leveranciersdiensten behoort te bewerkstelligen dat aan de informatiebeveiligingsvoorwaarden van de overeenkomsten wordt voldaan, informatiebeveiligingsincidenten en -problemen naar behoren worden beheerd en veranderingen in leveranciersdiensten of de bedrijfsstatus niet van invloed zijn op de dienstverlening.
Hiertoe behoort een proces voor het beheer van de relatie tussen de organisatie en de leverancier te bestaan om:
a) de prestatieniveaus van de dienstverlening te monitoren om de naleving van de overeenkomsten te verifiëren;
b) door leveranciers aangebrachte veranderingen te monitoren, waaronder:
1) verbeteringen van de huidige aangeboden dienstverlening;
2) ontwikkelingen van nieuwe toepassingen en systemen;
3) wijzigingen in of updates van beleid en procedures van de leverancier;
4) nieuwe of gewijzigde beheersmaatregelen om informatiebeveiligingsincidenten op te lossen en om de informatiebeveiliging te verbeteren;
c) veranderingen in leveranciersdiensten te monitoren, waaronder:
1) veranderingen en verbeteringen van netwerken;
2) gebruik van nieuwe technologieën;
3) aanvaarding van nieuwe producten of nieuwere versies of uitgaven;
4) nieuwe ontwikkelinstrumenten en omgevingen;
5) veranderingen in fysieke locatie van dienstverleningsfaciliteiten;
6) verandering van onderleveranciers;
7) uitbesteding aan een andere leverancier;
d) de rapporten over de dienstverlening die zijn opgesteld door de leverancier, te beoordelen en regelmatig voortgangsbesprekingen te regelen voor zover door de overeenkomsten vereist;
e) audits van leveranciers en onderleveranciers uit te voeren, in samenhang met de beoordeling van rapporten van onafhankelijke auditoren, indien beschikbaar, en vastgestelde kwesties op te volgen;
f) informatie te verstrekken over informatiebeveiligingsincidenten en deze informatie te beoordelen voor zover vereist door de overeenkomsten en ondersteunende richtlijnen en procedures;
g) audittrajecten van leveranciers en registraties van informatiebeveiligingsgebeurtenissen, operationele problemen, weigeringen, opsporing van storingen en onderbrekingen in verband met de geleverde dienst te beoordelen;
h) te reageren op geïdentificeerde informatiebeveiligingsgebeurtenissen of -incidenten en deze te beheren;
i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren;
j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen;
k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5, 5, 5, 5, 8);
l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten;
m)regelmatig te evalueren of de leveranciers afdoende informatiebeveiligingsniveaus in stand houden.
De verantwoordelijkheid voor het beheer van leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of teamm te monitoren dat de eisen van de overeenkomst, in het bijzonder de informatiebeveiligingseisen, worden nagekomen, behoren voldoende technische vaardigheden en middelen beschikbaar te worden gesteldls tekortkomingen in de dienstverlening worden waargenomen behoren passende maatregelen te worden getroffen.
**Overige informatie**
Zie ISO/IEC 27036-3 voor nadere details.

84
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT Informatiebeveiliging voor het gebruik van clouddiensten.md Normal file
View file

@ -0,0 +1,84 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
**Beheersmaatregel**
Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
**Doel**
Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren.
**Richtlijn**
De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen.
De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beheren. Dit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5 en 5).
Het gebruik van clouddiensten kan gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt. Het is essentieel dat de verantwoordelijkheden voor zowel de aanbieder als de organisatie, handelend als afnemer van de clouddienst, op de juiste wijze worden gedefinieerd en geïmplementeerd.
De organisatie behoort het volgende te definiëren:
a) alle relevante informatiebeveiligingseisen in verband met het gebruik van de clouddiensten;
b) selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten;
c) rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten;
d) welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst en welke door de organisatie als afnemer van de clouddienst worden beheerd;
e) hoe door de aanbieder van de clouddienst verstrekte informatiebeveiligingscapaciteiten kunnen worden verkregen en gebruikt;
f) hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten geïmplementeerde beheersmaatregelen voor informatiebeveiliging;
g) hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten;
h) procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met betrekking tot het gebruik van clouddiensten;
i) haar aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van clouddiensten om informatiebeveiligingsrisico's te beheren;
j) hoe het gebruik van clouddiensten met inbegrip van exitstrategieën voor clouddiensten kan worden gewijzigd of beëindigd.
Overeenkomsten voor clouddiensten zijn vaak vooraf gedefinieerd zonder dat het mogelijk is erover te onderhandelen. Voor alle clouddiensten behoort de organisatie overeenkomsten voor clouddiensten met de aanbieder(s) van clouddiensten te beoordelen. Een overeenkomst voor clouddiensten behoort in te gaan op de eisen van de organisatie ten aanzien van vertrouwelijkheid, integriteit, beschikbaarheid en het omgaan met persoonsgegevens, met passende doelstellingen voor het niveau van dienstverlening van de clouddienst en kwalitatieve doelstellingen voor de clouddienst. De organisatie behoort ook relevante risicobeoordelingen uit te voeren om de risico\'s in verband met het gebruik van de clouddienst te identificeren. Eventuele overblijvende risico\'s in verband met het gebruik van de clouddienst behoren duidelijk te worden geïdentificeerd en aanvaard door het passende management van de organisatie.
Een overeenkomst tussen de aanbieder van een clouddienst en de organisatie, in haar rol van afnemer van de clouddienst, behoort de volgende bepalingen te bevatten voor de bescherming van de gegevens van de organisatie en de beschikbaarheid van diensten:
a) het leveren van oplossingen op basis van door de industrie aanvaarde normen voor architectuur en infrastructuur;
b) het beheren van toegangsbeveiligingsmaatregelen van de clouddienst conform de eisen van de organisatie;
c) het implementeren van oplossingen voor het monitoren van en beschermen tegen malware;
d) het verwerken en op goedgekeurde locaties (bijven bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid opslaan van gevoelige informatie van de organisatie;
e) het bieden van gerichte steun indien er zich een informatiebeveiligingsincident voordoet in de cloudomgeving;
f) het bewerkstelligen dat aan de informatiebeveiligingseisen van de organisatie wordt voldaan indien clouddiensten verder worden uitbesteed aan een externe leverancier (of verbieden dat clouddiensten worden uitbesteed);
g) het ondersteunen van de organisatie bij het verzamelen van digitaal bewijsmateriaal, met inachtneming van wet- en regelgeving inzake digitaal bewijsmateriaal in verschillende rechtsgebieden;
h) het voorzien in passende ondersteuning en beschikbaarheid van diensten gedurende een passend tijdsbestek wanneer de organisatie niet langer gebruik wil maken van de clouddienst;
i) het voorzien in de vereiste back-ups van gegevens en configuratie-informatie en het veilig beheren van back-ups voor zover van toepassing, op basis van de capaciteiten van de leverancier van de clouddienst die wordt ingezet door de organisatie in haar rol als afnemer van de clouddienst;
j) het verstrekken en retourneren van informatie zoals configuratiebestanden, broncode en gegevens die eigendom zijn van de organisatie in haar rol van afnemer van de clouddienst op verzoek of bij beëindiging van de dienst.
In haar rol van afnemer van de clouddienst behoort de organisatie te overwegen of de overeenkomst behoort te vereisen dat de aanbieders van clouddiensten vooraf kennis geven van wezenlijke wijzigingen aan hoe de dienst aan de organisatie wordt geleverd die gevolgen hebben voor de afnemer, waaronder:
a) wijzigingen aan de technische infrastructuur (bijverhuizing, herconfiguratie of wijzigingen in hardware of software) die van invloed zijn op, of tot veranderingen leiden in, de aangeboden clouddienst;
b) het verwerken of opslaan van informatie in een nieuw geografisch of juridisch rechtsgebied;
c) het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers (met inbegrip van het wijzigen van bestaande of het gebruik van nieuwe partijen).
De organisatie die clouddiensten gebruikt, behoort nauw contact te onderhouden met haar aanbieders van de clouddiensteneze contacten maken wederzijdse uitwisseling mogelijk van informatie over informatiebeveiliging voor het gebruik van de clouddiensten, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie, in haar rol van afnemer van de clouddiensten, om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.
**Overige informatie**
Deze beheersmaatregel bekijkt cloudbeveiliging vanuit het oogpunt van de afnemer van de clouddienst(en).
Aanvullende informatie met betrekking tot clouddiensten is te vinden in ISO/IEC 17788, ISO/IEC 17789 en ISO/IEC 22123-1. Specifieke informatie met betrekking tot clouds en overdraagbaarheid bij exitstrategieën is te vinden in ISO/IEC 19941. Specifieke informatie met betrekking tot informatiebeveiliging en publieke clouddiensten wordt beschreven in ISO/IEC 27017. Specifieke informatie met betrekking tot de bescherming van persoonsgegevens in publieke clouds die als verwerker van persoonsgegevens fungeren, wordt beschreven in ISO/IEC 27018. Leveranciers- relaties voor clouddiensten worden behandeld in ISO/IEC 27036-4 en clouddienstovereenkomsten en de inhoud ervan worden behandeld in de ISO/IEC 19086-reeks, waarbij ISO/IEC 19086-4 specifiek ingaat op beveiliging en privacy.

45
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging.md Normal file
View file

@ -0,0 +1,45 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming #Veerkracht |
**Beheersmaatregel**
Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie.
**Doel**
Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de implementatie, uitvoering en het beheer van informatiebeveiliging binnen de organisatie inrichten.
**Richtlijn**
Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
a) de bescherming van informatie en andere gerelateerde bedrijfsmiddelen;
b) het uitvoeren van specifieke informatiebeveiligingsprocessen;
c) beheeractiviteiten met betrekking tot informatiebeveiligingsrisico's en in het bijzonder voor het accepteren van de overblijvende risico's (bijv. voor de eigenaren van risico\'s);
d) al het personeel dat gebruikmaakt van informatie en andere gerelateerde bedrijfsmiddelen van een organisatie.
Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteitenersonen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend, kunnen beveiligingstaken aan anderen toewijzenij blijven echter verantwoordelijk en behoren vast te stellen of gedelegeerde taken correct zijn verricht.
Elk beveiligingsgebied waarvoor personen verantwoordelijk zijn, behoort te worden gedefinieerd, gedocumenteerd en gecommuniceerdutorisatieniveaus behoren te worden gedefinieerd en gedocumenteerdersonen die een specifieke rol op het gebied van informatiebeveiliging op zich nemen, behoren competent te zijn wat betreft de kennis en vaardigheden die de rol vereist en behoren te worden ondersteund bij het op de hoogte blijven van de ontwikkelingen die verband houden met de rol en die vereist zijn om aan de verantwoordelijkheden van de rol te kunnen voldoen.
**Overige informatie**
Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van risico\'s en beperkende beheersmaatregelen te ondersteunen.
Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managersen gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan.
Afhankelijk van de omvang en de middelen van een organisatie kan informatiebeveiliging door speciale rollen of door functies die naast bestaande rollen worden uitgevoerd, worden afgedekt.

66
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.30_BT ICT-gereedheid voor bedrijfscontinuïteit.md Normal file
View file

@ -0,0 +1,66 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
| Attribuut | Waarde |
| :----------------------------------- | :--------------- |
| Type beheersmaatregel: | #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Beschikbaarheid |
| Cybersecurityconcepten: | #Reageren |
| Operationele capaciteiten: | #Continuïteit |
| Beveiligingsdomeinen: | #Veerkracht |
**Beheersmaatregel**
De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
**Doel**
De beschikbaarheid van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring waarborgen.
**Richtlijn**
De ICT-gereedheid voor bedrijfscontinuïteit is een belangrijk onderdeel van bedrijfscontinuïteitsbeheer en informatiebeveiligingsbeheer om te bewerkstelligen dat ook tijdens een verstoring aan de doelstellingen van de organisatie kan blijven worden voldaan.
De ICT-continuïteitseisen zijn het resultaat van de bedrijfsimpactanalyse (BIA). Het BIA-proces behoort gebruik te maken van impactsoorten en -criteria om de impact in de tijd als gevolg van de verstoring van bedrijfsactiviteiten die producten en diensten leveren te beoordelen. De omvang en de duur van de daaruit voortvloeiende gevolgen behoren te worden gebruikt om geprioriteerde activiteiten waaraan een hersteltijddoelstelling (RTO) behoort te worden toegekend te identificeren. De BIA behoort vervolgens vast te stellen welke middelen nodig zijn om geprioriteerde activiteiten te ondersteunenr behoort ook een RTO te worden gespecificeerd voor deze middelenen deel van deze middelen behoort ICT-diensten te omvatten.
De BIA waarbij ICT-diensten worden betrokken, kan worden uitgebreid om de prestatie- en capaciteitseisen van ICT-systemen en de RPO's van informatie die nodig is om activiteiten te ondersteunen tijdens een verstoring, te definiëren.
Op basis van de output van de BIA en risicobeoordeling waarbij ICT-diensten worden betrokken, behoort de organisatie strategieën voor ICT-continuïteit te identificeren en selecteren waarin opties voor voorafgaand aan, tijdens en na een verstoring in overweging worden genomen. De strategieën voor bedrijfscontinuïteit kunnen uit een of meer oplossingen bestaan. Op basis van de strategieën behoren plannen te worden opgesteld, geïmplementeerd en getest om na een (ver)storing van essentiële processen het vereiste beschikbaarheidsniveau van ICT-diensten binnen de vereiste tijdsbestekken te halen.
De organisatie behoort ervoor te zorgen dat:
a) er een adequate organisatiestructuur is die is voorbereid op een verstoring, deze verzacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie;
b) ICT-continuïteitsplannen, met inbegrip van respons- en herstelprocedures waarin wordt beschreven hoe de organisatie gepland heeft een verstoring van de ICT-diensten te beheren:
1) regelmatig door middel van oefeningen en tests worden geëvalueerd;
2) door het management worden goedgekeurd;
c) ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten:
1) prestatie- en capaciteitsspecificaties om te voldoen aan de bedrijfscontinuïteitseisen en -doelstellingen zoals gespecificeerd in de BIA;
2) de RTO van elke geprioriteerde ICT-dienst en de procedures voor het herstel van die componenten;
3) de RPO van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om de informatie te herstellen.
**Overige informatie**
Het beheer van de ICT-continuïteit vormt een essentieel onderdeel van de bedrijfscontinuïteitseisen met betrekking tot beschikbaarheid om in staat te zijn:
a) te reageren op en te herstellen van verstoringen van ICT-diensten ongeacht de oorzaak;
b) te bewerkstelligen dat de continuïteit van geprioriteerde activiteiten door de vereiste ICT-diensten wordt ondersteund;
c) te reageren voordat er zich een verstoring van de ICT-diensten voordoet en zodra er ten minste één incident is waargenomen dat kan leiden tot een verstoring van de ICT-diensten.
Verdere richtlijnen over de ICT-gereedheid voor bedrijfscontinuïteit zijn te vinden in ISO/IEC 27031.
Verdere richtlijnen over een systeem voor bedrijfscontinuïteitsbeheer zijn te vinden in ISO 22301 en ISO 22313.
Verdere richtlijnen over BIA zijn te vinden in ISO/TS 22317.

50
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.3_BT Functiescheiding.md Normal file
View file

@ -0,0 +1,50 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.3 Functiescheiding
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Governance #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem |
**Beheersmaatregel**
Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.
**Doel**
Het risico op fraude, fouten en het omzeilen van beheersmaatregelen voor informatiebeveiliging verminderen.
**Richtlijn**
De functiescheiding en verantwoordelijkheidszones hebben tot doel conflicterende functies te scheiden en onder verschillende personen te verdelen om te voorkomen dat mogelijk conflicterende functies door één persoon alleen worden uitgevoerd.
De organisatie behoort vast te stellen voor welke functies en verantwoordelijkheidszones het nodig is dat ze worden gesegmenteerdieronder volgen voorbeelden van activiteiten waarvoor segmentatie nodig kan zijn:
a) het initiëren, goedkeuren en uitvoeren van een verandering;
b) het verzoeken om, goedkeuren en implementeren van toegangsrechten;
c) het ontwerpen, implementeren en beoordelen van code;
d) het ontwikkelen van software en het beheren van productiesystemen;
e) het gebruiken en beheren van toepassingen;
f) het gebruiken van toepassingen en het beheren van databases;
g) het ontwerpen, auditen en borgen van beheersmaatregelen voor informatiebeveiliging.
Bij het ontwerpen van beheersmaatregelen met het oog op scheiding behoort rekening te worden gehouden met de mogelijkheid van samenzweringoor kleine organisaties kan het moeilijk zijn om functies te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar isanneer het moeilijk is om functies te scheiden, behoren andere beheersmaatregelen te worden overwogen, zoals het monitoren van activiteiten, audittrajecten en supervisie door het management.
Bij het gebruik van op functies gebaseerde toegangsbeveiligingssystemen behoort ervoor te worden gezorgd dat aan personen geen conflicterende functies worden toegekendanneer er een groot aantal functies is, behoort de organisatie te overwegen geautomatiseerde hulpmiddelen te gebruiken om conflicten te identificeren en de verwijdering ervan mogelijk te makenuncties behoren zorgvuldig te worden gedefinieerd en ingesteld zodat toegangsproblemen tot een minimum kunnen worden beperkt indien een functie wordt verwijderd of opnieuw wordt toegewezen.
**Overige informatie**
Geen overige informatie.

50
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden.md Normal file
View file

@ -0,0 +1,50 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.4 Managementverantwoordelijkheden
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------ |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem |
**Beheersmaatregel**
Het management behoort van al het personeel te eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie.
**Doel**
Bewerkstelligen dat het management zijn rol bij informatiebeveiliging begrijpt en maatregelen neemt om ervoor te zorgen dat al het personeel zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging en deze ook nakomt.
**Richtlijn**
Het management behoort er blijk van te geven dat het het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels, procedures en beheersmaatregelen voor informatiebeveiliging ondersteunt.
Het management behoort ervoor te zorgen dat personeelsleden:
a) op de juiste manier worden geïnstrueerd over hun informatiebeveiligingsrollen en -verantwoordelijkheden voordat zij toegang krijgen tot informatie en andere gerelateerde bedrijfsmiddelen van de organisatie;
b) richtlijnen ontvangen die de verwachtingen met betrekking tot hun informatiebeveiligingsrol binnen de organisatie aangeven;
c) verplicht worden te voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie;
d) een niveau van bewustwording van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie 6.3);
e) de arbeids- of contractvoorwaarden en de voorwaarden van overeenkomsten, met inbegrip van het informatiebeveiligingsbeleid en passende werkmethoden, naleven [\*)];
f) de passende vaardigheden en kwalificaties op het gebied van informatiebeveiliging blijven houden door voortdurende bijscholing;
g) waar mogelijk, een vertrouwelijk kanaal krijgen om overtredingen van het informatiebeveiligings- beleid, onderwerpspecifiek beleid of procedures voor informatiebeveiliging te melden ('klokkenluiden')it kan anonieme meldingen mogelijk maken, of bepalingen bevatten die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die dergelijke meldingen moeten behandelen;
h) voldoende middelen en tijd voor projectplanning krijgen voor het implementeren van de beveiligingsgerelateerde processen en beheersmaatregelen van de organisatie.
**Overige informatie**
Geen overige informatie.
\*) Nederlandse voetnoot: Anders geformuleerd dan in de brontekst,

37
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties.md Normal file
View file

@ -0,0 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.5 Contact met overheidsinstanties
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren #Beschermen #Reageren #Herstellen |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Verdediging #Veerkracht |
**Beheersmaatregel**
De organisatie behoort contact met de relevante instanties te leggen en te onderhouden.
**Doel**
Een passende stroom van informatie met betrekking tot informatiebeveiliging tussen de organisatie en relevante juridische, regelgevende en toezichthoudende instanties bewerkstelligen.
**27**
**Richtlijn**
De organisatie behoort aan te geven wanneer en door wie contact behoort te worden opgenomen met overheidsinstanties (bijvolitie, regelgevende organen, toezichthouders) en hoe geïdentificeerde informatiebeveiligingsincidenten tijdig behoren te worden gemeld.
Contacten met overheidsinstanties behoren ook te worden gebruikt om inzicht mogelijk te maken in de bestaande en toekomstige verwachtingen van deze instanties (bijvoepasselijke regelgeving met betrekking tot informatiebeveiliging).
**Overige informatie**
Organisaties die worden aangevallen, kunnen instanties verzoeken om actie te ondernemen tegen de aanvaller.
Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie 5.24 t/m 5.28) of de noodplan- en bedrijfscontinuïteitsprocessen (zie 5.29 en 5.30). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].

40
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen.md Normal file
View file

@ -0,0 +1,40 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.6 Contact met speciale belangengroepen
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen #Reageren #Herstellen |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Verdediging |
**Beheersmaatregel**
De organisatie behoort contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen te leggen en te onderhouden.
**Doel**
Een passende stroom van informatie met betrekking tot informatiebeveiliging bewerkstelligen.
**Richtlijn**
Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om:
a) kennis te verbeteren over 'best practices' en op de hoogte te blijven van relevante beveiligingsinformatie;
b) ervoor te zorgen dat de kennis van informatiebeveiliging actueel is;
c) vroegtijdige waarschuwingen te ontvangen inzake alarm, adviezen en patches die verband houden met aanvallen en kwetsbaarheden;
d) toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging;
e) informatie over nieuwe technologieën, producten, diensten, dreigingen of kwetsbaarheden te delen en uit te wisselen;
f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie 5.24 t/m 5.28).
**Overige informatie**
Geen overige informatie.

79
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.7_BT Informatie en analyses over dreigingen.md Normal file
View file

@ -0,0 +1,79 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.7 Informatie en analyses over dreigingen
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief #Detectief #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren #Detecteren #Reageren |
| Operationele capaciteiten: | #Beheer_van_dreigingen_en_kwetsbaarheden |
| Beveiligingsdomeinen: | #Veerkracht |
**Beheersmaatregel**
Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd om informatie en analyses over dreigingen te produceren.
**Doel**
Bewustwording bieden van de mogelijke dreigingen voor de organisatie zodat de passende mitigerende maatregelen kunnen worden getroffen.
**Richtlijn**
Informatie over bestaande of opkomende dreigingen wordt verzameld en geanalyseerd teneinde:
a) weloverwogen maatregelen mogelijk te maken om te voorkomen dat de dreigingen schade aan de organisatie toebrengen;
b) de impact van dergelijke dreigingen te beperken.
Informatie en analyses over dreigingen kunnen in drie lagen worden opgedeeld die alle drie in aanmerking behoren te worden genomen:
a) informatie over strategische dreigingen: uitwisseling van informatie op hoofdlijnen over het veranderende dreigingslandschap (bijvoorten aanvallers of soorten aanvallen);
b) informatie en analyses over tactische dreigingen: informatie over de desbetreffende methodieken, instrumenten en technologieën waarvan aanvallers zich bedienen;
c) informatie en analyses over operationele dreigingen: details over specifieke aanvallen, met inbegrip van technische indicatoren.
Informatie en analyses over dreigingen behoren:
a) relevant te zijn (dzerband te houden met de bescherming van de organisatie);
b) inzicht te bieden (dze organisatie een nauwkeurig en gedetailleerd inzicht te verschaffen in het dreigingslandschap);
c) contextueel te zijn om situationeel bewustwording te bieden (dzoor context toe te voegen aan de informatie op basis van het tijdstip van de gebeurtenissen, waar zij zich voordoen, eerdere ervaringen en prevalentie in soortgelijke organisaties);
d) bruikbaar te zijn (dzat de organisatie snel en doeltreffend kan handelen op basis van de informatie).
Activiteiten op het gebied van informatie en analyses over dreigingen behoren het volgende te omvatten:
a) het vaststellen van doelstellingen voor het produceren van informatie en analyses over dreigingen;
b) het identificeren, doorlichten en selecteren van interne en externe informatiebronnen die nodig en geschikt zijn om te voorzien in informatie die vereist is om de gewenste informatie en analyses over dreigingen te produceren;
c) het verzamelen van informatie uit geselecteerde interne en externe bronnen;
d) het verwerken van verzamelde informatie om deze voor te bereiden op analyse (bijv. door informatie te vertalen, op te maken of te bevestigen);
e) het analyseren van informatie om inzicht te krijgen in hoe deze verband houdt met de organisatie en de betekenis ervan voor de organisatie;
f) het in een begrijpelijke vorm meedelen ervan aan en delen met relevante personen.
Informatie over dreigingen behoort te worden geanalyseerd en later te worden gebruikt:
a) door processen te implementeren om uit bronnen van informatie en analyses over dreigingen verzamelde informatie op te nemen in de beheerprocessen voor informatiebeveiligingsrisico's van de organisatie;
b) als aanvullende input voor technische preventieve en detectieve beheersmaatregelen, zoals firewalls, inbraakdetectiesystemen of antimalwareoplossingen;
c) als input voor de processen en technieken voor het testen van de informatiebeveiliging.
De organisatie behoort informatie en analyses over dreigingen op wederzijdse basis met andere organisaties te delen om de algemene informatie en analyses over dreigingen te verbeteren.
**Overige informatie**
Organisaties kunnen informatie en analyses over dreigingen gebruiken om dreigingen te voorkomen, detecteren of erop te reagerenrganisaties kunnen zelf informatie en analyses over dreigingen produceren, maar het is gebruikelijker dat ze informatie en analyses over dreigingen ontvangen en gebruiken die door andere bronnen wordt geproduceerd.
Informatie en analyses over dreigingen worden vaak verstrekt door onafhankelijke aanbieders of adviseurs, overheidsinstanties of groepen die gezamenlijk informatie over dreigingen verzamelen en analyseren.
De doeltreffendheid van beheersmaatregelen zoals 5.25, 8.7, 8.16 of 8.23 is afhankelijk van de kwaliteit van de beschikbare informatie en analyses over dreigingen.

69
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.8_BT Informatiebeveiliging in projectmanagement.md Normal file
View file

@ -0,0 +1,69 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.8 Informatiebeveiliging in projectmanagement
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren #Beschermen |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming |
**Beheersmaatregel**
Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.
**Doel**
Ervoor zorgen dat informatiebeveiligingsrisico's binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt.
**Richtlijn**
Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement om ervoor te zorgen dat informatiebeveiligingsrisico\'s in het kader van projectmanagement worden aangepaktit kan worden toegepast op elk type project ongeacht de complexiteit, omvang, duur, discipline of het toepassingsgebied (bijv. een project voor een proces voor kernactiviteiten, IT, 'facility management' of andere ondersteunende processen).
Het projectmanagement dat wordt toegepast, behoort te vereisen dat:
a) informatiebeveiligingsrisico's tijdens een vroeg stadium en periodiek gedurende de volledige
levenscyclus van het project als onderdeel van de projectrisico\'s worden beoordeeld en behandeld;
b) informatiebeveiligingseisen \[bijv. beveiligingseisen voor toepassingen (8.26), eisen inzake de naleving van intellectuele-eigendomsrechten (5.32) enz.\] in de vroege stadia van projecten worden aangepakt;
c) informatiebeveiligingsrisico's in verband met de uitvoering van projecten, zoals de beveiliging van interne en externe communicatieaspecten, gedurende de gehele levenscyclus van het project in aanmerking worden genomen en behandeld;
d) de vorderingen met betrekking tot de behandeling van informatiebeveiligingsrisico's worden beoordeeld en de doeltreffendheid van de behandeling wordt beoordeeld en beproefd.
De passendheid van de informatiebeveiligingsoverwegingen en -activiteiten behoort in vooraf bepaalde stadia te worden gecontroleerd door geschikte personen of governance-instanties, zoals de projectstuurgroep.
Verantwoordelijkheden en bevoegdheden voor informatiebeveiliging relevant voor het project behoren te worden gedefinieerd en te worden toegewezen aan gespecificeerde rollen.
Informatiebeveiligingseisen voor door het project te leveren producten of diensten behoren te worden vastgesteld met gebruikmaking van verschillende methoden zoals het afleiden van nalevingseisen uit informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en regelgevingerdere informatiebeveiligingseisen kunnen worden ontleend aan activiteiten zoals dreigingsmodellering, beoordelingen van incidenten, het gebruik van kwetsbaarheidsdrempels of het opstellen van noodplannen om zo te bewerkstelligen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende dreigingen die gebaseerd zijn op de operationele omgeving.
Er behoren informatiebeveiligingseisen te worden vastgesteld voor alle soorten projecten, niet alleen voor ICT-ontwikkelprojectenij het vaststellen van deze eisen behoort ook het volgende in aanmerking te worden genomen:
a) welke informatie het betreft (vaststelling van de informatie), wat de bijbehorende informatiebeveiligingsbehoeften zijn (classificatie; zie 5.12) en de mogelijke negatieve bedrijfsimpact die het gevolg kan zijn van ontoereikende beveiliging;
b) de noodzaak om de desbetreffende informatie en andere gerelateerde bedrijfsmiddelen te beschermen, met name wat betreft vertrouwelijkheid, integriteit en beschikbaarheid;
c) de vereiste mate van betrouwbaarheid of zekerheid ten opzichte van de beweerde identiteit van entiteiten om de authenticatie-eisen af te leiden;
d) processen voor het verlenen van toegang en autorisatie, voor klanten en andere zakelijke gebruikers en voor bevoorrechte of technische gebruikers, zoals relevante projectleden, mogelijk operationeel personeel of externe leveranciers;
e) het informeren van gebruikers over hun plichten en verantwoordelijkheden;
f) eisen die zijn afgeleid van bedrijfsprocessen, zoals registreren en monitoren van transacties, eisen voor onweerlegbaarheid;
g) eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot informatiebeveiliging (bijv. interfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);
h) naleving van de wettelijke, statutaire, regelgevende en contractuele omgeving waarin de organisatie actief is;
i) het vereiste niveau van vertrouwen of zekerheid dat derden zullen voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie, met inbegrip van relevante beveiligingsclausules in overeenkomsten of contracten.
**Overige informatie**
De projectontwikkelaanpak, zoals de Waterfall-levenscyclus of de Agile-levenscyclus, behoort gestructureerde informatiebeveiliging te ondersteunen die kan worden aangepast aan de volgens een beoordeling vastgestelde informatiebeveiligingsrisico's, aansluitend bij het karakter van het projectet vroegtijdig nadenken over informatiebeveiligingseisen voor het product of de dienst (bijvijdens de plannings- en ontwerpfasen) kan leiden tot doeltreffender en kostenefficiëntere oplossingen voor kwaliteits- en informatiebeveiliging. ISO 21500 en ISO 21502 geven richtlijnen voor projectmanagementconcepten en -processen die belangrijk zijn voor de prestaties van projecten.
ISO/IEC 27005 geeft richtlijnen voor het gebruik van risicobeheerprocessen om beheersmaatregelen te identificeren die aan informatiebeveiligingseisen voldoen.

79
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen.md Normal file
View file

@ -0,0 +1,79 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming |
**Beheersmaatregel**
Er behoort een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden.
**Doel**
De informatie en andere gerelateerde bedrijfsmiddelen van de organisatie identificeren om de informatiebeveiliging ervan te behouden en passend eigenaarschap toe te wijzen.
**Richtlijn**
[Inventarislijst]
De organisatie behoort haar informatie en andere gerelateerde bedrijfsmiddelen te identificeren en het belang ervan wat betreft informatiebeveiliging vast te stellenocumentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
De inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijnpties om de nauwkeurigheid van een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen te bewerkstelligen zijn onder andere:
a) regelmatig beoordelingen van geïdentificeerde informatie en andere gerelateerde bedrijfsmiddelen aan de hand van de inventarislijst van bedrijfsmiddelen uitvoeren;
b) de inventarislijst automatisch laten bijwerken als er een bedrijfsmiddel wordt geïnstalleerd, gewijzigd of verwijderd.
De locatie van een bedrijfsmiddel behoort al naargelang de situatie in de inventarislijst te worden opgenomen.
De inventarislijst hoeft niet één lijst te zijn van informatie en andere gerelateerde bedrijfsmiddelenangezien de inventarislijst van bedrijfsmiddelen door de relevante functies behoort te worden onderhouden, kan deze worden beschouwd als een verzameling dynamische inventarislijsten, zoals inventarislijsten voor informatiebedrijfsmiddelen, hardware, software, virtuele machines (VM\'s), faciliteiten, personeel, competenties, capaciteiten en registraties.
Elk bedrijfsmiddel behoort te worden geclassificeerd overeenkomstig de classificatie van de met dat bedrijfsmiddel gerelateerde informatie (zie 5.12).
Het niveau van granulariteit van de inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen behoort te passen bij de behoeften van de organisatieoms is het vanwege de aard van het bedrijfsmiddel niet praktisch uitvoerbaar om specifieke instanties van bedrijfsmiddelen in de informatielevenscyclus te documenterenen voorbeeld van een bedrijfsmiddel met een korte levensduur is een instantie van een VM die van korte duur kan zijn.
[Eigendom]
Voor de geïdentificeerde informatie- en andere gerelateerde bedrijfsmiddelen behoort de eigendom van het bedrijfsmiddel te worden toegewezen aan een persoon of een groep en behoort de classificatie te worden geïdentificeerd (zie 5.12, 5.13). Er behoort een procedure te worden geïmplementeerd die ervoor zorgt dat de benoeming van de eigenaar van bedrijfsmiddelen tijdig plaatsvindtet eigenaarschap behoort te worden toegekend als bedrijfsmiddelen worden aangemaakt of als bedrijfsmiddelen naar de organisatie worden overgebrachtet eigenaarschap van een bedrijfsmiddel behoort naarmate nodig is opnieuw te worden toegekend wanneer de huidige eigenaren van een bedrijfsmiddel vertrekken of een andere functie krijgen.
[Taken van de eigenaar]
De eigenaar van het bedrijfsmiddel behoort verantwoordelijk te zijn voor het juiste beheer ervan voor de gehele levenscyclus van het bedrijfsmiddel en behoort ervoor te zorgen dat:
a) informatie en andere gerelateerde bedrijfsmiddelen worden geïnventariseerd;
b) informatie en andere gerelateerde bedrijfsmiddelen passend worden geclassificeerd en beschermd;
c) de classificatie periodiek wordt beoordeeld;
d) er een lijst wordt opgesteld van de componenten die technologische bedrijfsmiddelen ondersteunen, zoals database-, opslag-, softwarecomponenten en -subcomponenten, en deze worden gekoppeld;
e) eisen voor het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen (zie 5.10) worden vastgesteld;
f) de toegangsbeperkingen overeenstemmen met de classificatie, doeltreffend zijn en periodiek worden beoordeeld;
g) informatie en andere gerelateerde bedrijfsmiddelen die worden gewist of verwijderd, veilig worden behandeld en uit de inventarislijst worden verwijderd;
h) hij betrokken is bij het identificeren en het beheer van de risico\'s in verband met zijn bedrijfsmiddel(en);
i) hij het personeel ondersteunt dat de rollen en de verantwoordelijkheden heeft voor het beheren van zijn informatie.
**Overige informatie**
Inventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen zijn vaak nodig om de doeltreffende bescherming van informatie zeker te stellen en kunnen voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële redenennventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen ondersteunen ook risicobeheer, auditactiviteiten, kwetsbaarhedenbeheer, incidentrespons- en herstelplanning.
Taken en verantwoordelijkheden kunnen worden gedelegeerd (bijvan een beheerder die de dagelijkse zorg heeft over de bedrijfsmiddelen), maar de persoon of groep die ze heeft gedelegeerd blijft verantwoordelijk.
Het kan nuttig zijn om groepen van informatie en andere gerelateerde bedrijfsmiddelen aan te wijzen die samen een bepaalde dienst verlenenn dat geval is de eigenaar van deze dienst verantwoordelijk voor het leveren van de dienst, met inbegrip van de werking van de bedrijfsmiddelen die de dienst verzorgen.
Zie ISO/IEC 19770-1 voor aanvullende informatie over het beheer van IT-bedrijfsmiddelenie ISO 55001 voor aanvullende informatie over het beheer van bedrijfsmiddelen.

4
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md Normal file
View file

@ -0,0 +1,4 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---

35
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN Gebruik van cryptografie.md Normal file
View file

@ -0,0 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 8.24 Gebruik van cryptografie
ISO 27002:2022 [[ISO_27002_2022_NL_BT 8.24 Gebruik van cryptografie|Brontekst]]
#### Wat
Beschrijving van de beheersmaatrege;l
#### Waarom
Doel van de maatregel
#### Hoe
- Lijst van uit te voeren activiteiten
##### Sub van Hoe
Eisen aan de structuur en inhoud van artefacten, en andere aanwijzingen.
#### Overige informatie
- lijst
#### Bewijs
Auditors kijken naar bewijzen van de implementatie van het proces. Dit kan bijvoorbeeld de volgende vorm aannemen:
| Omschrijving van bewijs | ISO27DIY artefact |
| ----------------------- | ----------------- |
| Omschrijving 1 | Artefact 1 |
#### Gerelateerd
Naar deze maatregel wordt verwezen in:
- [ ] Andere beheersmaatregelen binnen dezelfde norm die verwijzen naar deze maatregel
Andere gerelateerde ISO 27x beheersmaatregelen:
- [ ] Gerelateerde ISO 27x beheersmaatregelen die *niet* letterlijk in de brontekst genoemd worden.

0
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md Normal file
View file

4
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md Normal file
View file

@ -0,0 +1,4 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---

114
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_Index.md Normal file
View file

@ -0,0 +1,114 @@
#iso27002/2022/NL
# ISO 27002:2022 NL Index
| 2022 ID | Maatregel | Brontekst | Normaal |
| :------ | :---------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- |
| **3** | **Termen, definities en afgekorte termen** | | |
| 3.1 | Termen en definities | [[ISO_27002_2022_NL_3.1_BT Termen en definities \|BT]] | [[ISO_27002_2022_NL_NN 3.1 Termen en definities \|NN]] |
| 3.2 | Afgekorte termen | [[ISO_27002_2022_NL_3.2_BT Afgekorte termen \|BT]] | [[ISO_27002_2022_NL_NN 3.2 Afgekorte termen \|NN]] |
| **4** | **Structuur van dit document** | _ | |
| 4.1 | Hoofdstukken | [[ISO_27002_2022_NL_4.1_BT Hoofdstukken \|BT]] | [[ISO_27002_2022_NL_NN 4.1 Hoofdstukken \|NN]] |
| 4.2 | Thema's en attributen | [[ISO_27002_2022_NL_4.2_BT Thema's en attributen \|BT]] | [[ISO_27002_2022_NL_NN 4.2 Thema's en attributen \|NN]] |
| 4.3 | Indeling beheersmaatregel | [[ISO_27002_2022_NL_4.3_BT Indeling beheersmaatregel \|BT]] | [[ISO_27002_2022_NL_NN 4.3 Indeling beheersmaatregel \|NN]] |
| **5** | **Organisatorische beheersmaatregelen** | _ | |
| 5.1 | Beleidsregels voor informatiebeveiliging | [[ISO_27002_2022_NL_5.1_BT Beleidsregels voor informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.1 Beleidsregels voor informatiebeveiliging \|NN]] |
| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | [[ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging \|NN]] |
| 5.3 | Functiescheiding | [[ISO_27002_2022_NL_5.3_BT Functiescheiding \|BT]] | [[ISO_27002_2022_NL_NN 5.3 Functiescheiding \|NN]] |
| 5.4 | Managementverantwoordelijkheden | [[ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden \|BT]] | [[ISO_27002_2022_NL_NN 5.4 Managementverantwoordelijkheden \|NN]] |
| 5.5 | Contact met overheidsinstanties | [[ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties \|BT]] | [[ISO_27002_2022_NL_NN 5.5 Contact met overheidsinstanties \|NN]] |
| 5.6 | Contact met speciale belangengroepen | [[ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen \|BT]] | [[ISO_27002_2022_NL_NN 5.6 Contact met speciale belangengroepen \|NN]] |
| 5.7 | Informatie en analyses over dreigingen | [[ISO_27002_2022_NL_5.7_BT Informatie en analyses over dreigingen \|BT]] | [[ISO_27002_2022_NL_NN 5.7 Informatie en analyses over dreigingen \|NN]] |
| 5.8 | Informatiebeveiliging in projectmanagement | [[ISO_27002_2022_NL_5.8_BT Informatiebeveiliging in projectmanagement \|BT]] | [[ISO_27002_2022_NL_NN 5.8 Informatiebeveiliging in projectmanagement \|NN]] |
| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | [[ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen \|BT]] | [[ISO_27002_2022_NL_NN 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen \|NN]] |
| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | [[ISO_27002_2022_NL_5.10_BT Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen \|BT]] | [[ISO_27002_2022_NL_NN 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen \|NN]] |
| 5.11 | Retourneren van bedrijfsmiddelen | [[ISO_27002_2022_NL_5.11_BT Retourneren van bedrijfsmiddelen \|BT]] | [[ISO_27002_2022_NL_NN 5.11 Retourneren van bedrijfsmiddelen \|NN]] |
| 5.12 | Classificeren van informatie | [[ISO_27002_2022_NL_5.12_BT Classificeren van informatie \|BT]] | [[ISO_27002_2022_NL_NN 5.12 Classificeren van informatie \|NN]] |
| 5.13 | Labelen van informatie | [[ISO_27002_2022_NL_5.13_BT Labelen van informatie \|BT]] | [[ISO_27002_2022_NL_NN 5.13 Labelen van informatie \|NN]] |
| 5.14 | Overdragen van informatie | [[ISO_27002_2022_NL_5.14_BT Overdragen van informatie \|BT]] | [[ISO_27002_2022_NL_NN 5.14 Overdragen van informatie \|NN]] |
| 5.15 | Toegangsbeveiliging | [[ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.15 Toegangsbeveiliging \|NN]] |
| 5.16 | Identiteitsbeheer | [[ISO_27002_2022_NL_5.16_BT Identiteitsbeheer \|BT]] | [[ISO_27002_2022_NL_NN 5.16 Identiteitsbeheer \|NN]] |
| 5.17 | Beheren van authenticatie-informatie | [[ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie \|BT]] | [[ISO_27002_2022_NL_NN 5.17 Beheren van authenticatie-informatie \|NN]] |
| 5.18 | Toegangsrechten | [[ISO_27002_2022_NL_5.18_BT Toegangsrechten \|BT]] | [[ISO_27002_2022_NL_NN 5.18 Toegangsrechten \|NN]] |
| 5.19 | Informatiebeveiliging in leveranciersrelaties | [[ISO_27002_2022_NL_5.19_BT Informatiebeveiliging in leveranciersrelaties \|BT]] | [[ISO_27002_2022_NL_NN 5.19 Informatiebeveiliging in leveranciersrelaties \|NN]] |
| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | [[ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten \|BT]] | [[ISO_27002_2022_NL_NN 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten \|NN]] |
| 5.21 | Beheren van informatiebeveiliging in de ICT-keten | [[ISO_27002_2022_NL_5.21_BT Beheren van informatiebeveiliging in de ICT-keten \|BT]] | [[ISO_27002_2022_NL_NN 5.21 Beheren van informatiebeveiliging in de ICT-keten \|NN]] |
| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | [[ISO_27002_2022_NL_5.22_BT Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten \|BT]] | [[ISO_27002_2022_NL_NN 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten \|NN]] |
| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | [[ISO_27002_2022_NL_5.23_BT Informatiebeveiliging voor het gebruik van clouddiensten \|BT]] | [[ISO_27002_2022_NL_NN 5.23 Informatiebeveiliging voor het gebruik van clouddiensten \|NN]] |
| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten \|NN]] |
| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | [[ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen \|BT]] | [[ISO_27002_2022_NL_NN 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen \|NN]] |
| 5.26 | Reageren op informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.26 Reageren op informatiebeveiligingsincidenten \|NN]] |
| 5.27 | Leren van informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.27 Leren van informatiebeveiligingsincidenten \|NN]] |
| 5.28 | Verzamelen van bewijsmateriaal | [[ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal \|BT]] | [[ISO_27002_2022_NL_NN 5.28 Verzamelen van bewijsmateriaal \|NN]] |
| 5.29 | Informatiebeveiliging tijdens een verstoring | [[ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring \|BT]] | [[ISO_27002_2022_NL_NN 5.29 Informatiebeveiliging tijdens een verstoring \|NN]] |
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | [[ISO_27002_2022_NL_5.30_BT ICT-gereedheid voor bedrijfscontinuïteit \|BT]] | [[ISO_27002_2022_NL_NN 5.30 ICT-gereedheid voor bedrijfscontinuïteit \|NN]] |
| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | [[ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen \|BT]] | [[ISO_27002_2022_NL_NN 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen \|NN]] |
| 5.32 | Intellectuele-eigendomsrechten | [[ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten \|BT]] | [[ISO_27002_2022_NL_NN 5.32 Intellectuele-eigendomsrechten \|NN]] |
| 5.33 | Beschermen van registraties | [[ISO_27002_2022_NL_5.33_BT Beschermen van registraties \|BT]] | [[ISO_27002_2022_NL_NN 5.33 Beschermen van registraties \|NN]] |
| 5.34 | Privacy en bescherming van persoonsgegevens | [[ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens \|BT]] | [[ISO_27002_2022_NL_NN 5.34 Privacy en bescherming van persoonsgegevens \|NN]] |
| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | [[ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.35 Onafhankelijke beoordeling van informatiebeveiliging \|NN]] |
| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | [[ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging \|NN]] |
| 5.37 | Gedocumenteerde bedieningsprocedures | [[ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures \|BT]] | [[ISO_27002_2022_NL_NN 5.37 Gedocumenteerde bedieningsprocedures \|NN]] |
| | | | |
| **6** | **Mensgerichte beheersmaatregelen** | | |
| 6.1 | Screening | [[ISO_27002_2022_NL_6.1_BT Screening \|BT]] | [[ISO_27002_2022_NL_NN 6.1 Screening \|NN]] |
| 6.2 | Arbeidsovereenkomst | [[ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst \|BT]] | [[ISO_27002_2022_NL_NN 6.2 Arbeidsovereenkomst \|NN]] |
| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | [[ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 6.3 Bewustwording van, opleiding en training in informatiebeveiliging \|NN]] |
| 6.4 | Disciplinaire procedure | [[ISO_27002_2022_NL_6.4_BT Disciplinaire procedure \|BT]] | [[ISO_27002_2022_NL_NN 6.4 Disciplinaire procedure \|NN]] |
| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | [[ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband \|BT]] | [[ISO_27002_2022_NL_NN 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband \|NN]] |
| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | [[ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten \|BT]] | [[ISO_27002_2022_NL_NN 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten \|NN]] |
| 6.7 | Werken op afstand | [[ISO_27002_2022_NL_6.7_BT Werken op afstand \|BT]] | [[ISO_27002_2022_NL_NN 6.7 Werken op afstand \|NN]] |
| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | [[ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen \|BT]] | [[ISO_27002_2022_NL_NN 6.8 Melden van informatiebeveiligingsgebeurtenissen \|NN]] |
| | | | |
| **7** | **Fysieke beheersmaatregelen** | | |
| 7.1 | Fysieke beveiligingszones | [[ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones \|BT]] | [[ISO_27002_2022_NL_NN 7.1 Fysieke beveiligingszones \|NN]] |
| 7.2 | Fysieke toegangsbeveiliging | [[ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 7.2 Fysieke toegangsbeveiliging \|NN]] |
| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | [[ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten \|BT]] | [[ISO_27002_2022_NL_NN 7.3 Beveiligen van kantoren, ruimten en faciliteiten \|NN]] |
| 7.4 | Monitoren van de fysieke beveiliging | [[ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging \|BT]] | [[ISO_27002_2022_NL_NN 7.4 Monitoren van de fysieke beveiliging \|NN]] |
| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | [[ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen \|BT]] | [[ISO_27002_2022_NL_NN 7.5 Beschermen tegen fysieke en omgevingsdreigingen \|NN]] |
| 7.6 | Werken in beveiligde zones | [[ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones \|BT]] | [[ISO_27002_2022_NL_NN 7.6 Werken in beveiligde zones \|NN]] |
| 7.7 | Clear desk en clear screen | [[ISO_27002_2022_NL_7.7_BT Clear desk en clear screen \|BT]] | [[ISO_27002_2022_NL_NN 7.7 Clear desk en clear screen \|NN]] |
| 7.8 | Plaatsen en beschermen van apparatuur | [[ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.8 Plaatsen en beschermen van apparatuur \|NN]] |
| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | [[ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein \|BT]] | [[ISO_27002_2022_NL_NN 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein \|NN]] |
| 7.10 | Opslagmedia | [[ISO_27002_2022_NL_7.10_BT Opslagmedia \|BT]] | [[ISO_27002_2022_NL_NN 7.10 Opslagmedia \|NN]] |
| 7.11 | Nutsvoorzieningen | [[ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen \|BT]] | [[ISO_27002_2022_NL_NN 7.11 Nutsvoorzieningen \|NN]] |
| 7.12 | Beveiligen van bekabeling | [[ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling \|BT]] | [[ISO_27002_2022_NL_NN 7.12 Beveiligen van bekabeling \|NN]] |
| 7.13 | Onderhoud van apparatuur | [[ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.13 Onderhoud van apparatuur \|NN]] |
| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | [[ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.14 Veilig verwijderen of hergebruiken van apparatuur \|NN]] |
| | | | |
| **8** | **Technologische beheersmaatregelen** | | |
| 8.1 | User endpoint devices | [[ISO_27002_2022_NL_8.1_BT User endpoint devices \|BT]] | [[ISO_27002_2022_NL_NN 8.1 User endpoint devices \|NN]] |
| 8.2 | Speciale toegangsrechten | [[ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten \|BT]] | [[ISO_27002_2022_NL_NN 8.2 Speciale toegangsrechten \|NN]] |
| 8.3 | Beperking toegang tot informatie | [[ISO_27002_2022_NL_8.3_BT Beperking toegang tot informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.3 Beperking toegang tot informatie \|NN]] |
| 8.4 | Toegangsbeveiliging op broncode | [[ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode \|BT]] | [[ISO_27002_2022_NL_NN 8.4 Toegangsbeveiliging op broncode \|NN]] |
| 8.5 | Beveiligde authenticatie | [[ISO_27002_2022_NL_8.5_BT Beveiligde authenticatie \|BT]] | [[ISO_27002_2022_NL_NN 8.5 Beveiligde authenticatie \|NN]] |
| 8.6 | Capaciteitsbeheer | [[ISO_27002_2022_NL_8.6_BT Capaciteitsbeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.6 Capaciteitsbeheer \|NN]] |
| 8.7 | Bescherming tegen malware | [[ISO_27002_2022_NL_8.7_BT Bescherming tegen malware \|BT]] | [[ISO_27002_2022_NL_NN 8.7 Bescherming tegen malware \|NN]] |
| 8.8 | Beheer van technische kwetsbaarheden | [[ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden \|BT]] | [[ISO_27002_2022_NL_NN 8.8 Beheer van technische kwetsbaarheden \|NN]] |
| 8.9 | Configuratiebeheer | [[ISO_27002_2022_NL_8.9_BT Configuratiebeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.9 Configuratiebeheer \|NN]] |
| 8.10 | Wissen van informatie | [[ISO_27002_2022_NL_8.10_BT Wissen van informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.10 Wissen van informatie \|NN]] |
| 8.11 | Maskeren van gegevens | [[ISO_27002_2022_NL_8.11_BT Maskeren van gegevens \|BT]] | [[ISO_27002_2022_NL_NN 8.11 Maskeren van gegevens \|NN]] |
| 8.12 | Voorkomen van gegevenslekken (Data leakage prevention) | [[ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention) \|BT]] | [[ISO_27002_2022_NL_NN 8.12 Voorkomen van gegevenslekken (Data leakage prevention) \|NN]] |
| 8.13 | Back-up van informatie | [[ISO_27002_2022_NL_8.13_BT Back-up van informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.13 Back-up van informatie \|NN]] |
| 8.14 | Redundantie van informatieverwerkende faciliteiten | [[ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten \|BT]] | [[ISO_27002_2022_NL_NN 8.14 Redundantie van informatieverwerkende faciliteiten \|NN]] |
| 8.15 | Logging | [[ISO_27002_2022_NL_8.15_BT Logging \|BT]] | [[ISO_27002_2022_NL_NN 8.15 Logging \|NN]] |
| 8.16 | Monitoren van activiteiten | [[ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten \|BT]] | [[ISO_27002_2022_NL_NN 8.16 Monitoren van activiteiten \|NN]] |
| 8.17 | Kloksynchronisatie | [[ISO_27002_2022_NL_8.17_BT Kloksynchronisatie \|BT]] | [[ISO_27002_2022_NL_NN 8.17 Kloksynchronisatie \|NN]] |
| 8.18 | Gebruik van speciale systeemhulpmiddelen | [[ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen \|BT]] | [[ISO_27002_2022_NL_NN 8.18 Gebruik van speciale systeemhulpmiddelen \|NN]] |
| 8.19 | Installeren van software op operationele systemen | [[ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen \|BT]] | [[ISO_27002_2022_NL_NN 8.19 Installeren van software op operationele systemen \|NN]] |
| 8.20 | Beveiliging netwerkcomponenten | [[ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten \|BT]] | [[ISO_27002_2022_NL_NN 8.20 Beveiliging netwerkcomponenten \|NN]] |
| 8.21 | Beveiliging van netwerkdiensten | [[ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten \|BT]] | [[ISO_27002_2022_NL_NN 8.21 Beveiliging van netwerkdiensten \|NN]] |
| 8.22 | Netwerksegmentatie | [[ISO_27002_2022_NL_8.22_BT Netwerksegmentatie \|BT]] | [[ISO_27002_2022_NL_NN 8.22 Netwerksegmentatie \|NN]] |
| 8.23 | Toepassen van webfilters | [[ISO_27002_2022_NL_8.23_BT Toepassen van webfilters \|BT]] | [[ISO_27002_2022_NL_NN 8.23 Toepassen van webfilters \|NN]] |
| 8.24 | Gebruik van cryptografie | [[ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie \|BT]] | [[ISO_27002_2022_NL_NN 8.24 Gebruik van cryptografie \|NN]] |
| 8.25 | Beveiligen tijdens de ontwikkelcyclus | [[ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus \|BT]] | [[ISO_27002_2022_NL_NN 8.25 Beveiligen tijdens de ontwikkelcyclus \|NN]] |
| 8.26 | Toepassingsbeveiligingseisen | [[ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen \|BT]] | [[ISO_27002_2022_NL_NN 8.26 Toepassingsbeveiligingseisen \|NN]] |
| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | [[ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten \|BT]] | [[ISO_27002_2022_NL_NN 8.27 Veilige systeemarchitectuur en technische uitgangspunten \|NN]] |
| 8.28 | Veilig coderen | [[ISO_27002_2022_NL_8.28_BT Veilig coderen \|BT]] | [[ISO_27002_2022_NL_NN 8.28 Veilig coderen \|NN]] |
| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | [[ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie \|BT]] | [[ISO_27002_2022_NL_NN 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie \|NN]] |
| 8.30 | Uitbestede systeemontwikkeling | [[ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling \|BT]] | [[ISO_27002_2022_NL_NN 8.30 Uitbestede systeemontwikkeling \|NN]] |
| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | [[ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen \|BT]] | [[ISO_27002_2022_NL_NN 8.31 Scheiding van ontwikkel-, test- en productieomgevingen \|NN]] |
| 8.32 | Wijzigingsbeheer | [[ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.32 Wijzigingsbeheer \|NN]] |
| 8.33 | Testgegevens | [[ISO_27002_2022_NL_8.33_BT Testgegevens \|BT]] | [[ISO_27002_2022_NL_NN 8.33 Testgegevens \|NN]] |
| 8.34 | Bescherming van informatiesystemen tijdens audits | [[ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits \|BT]] | [[ISO_27002_2022_NL_NN 8.34 Bescherming van informatiesystemen tijdens audits \|NN]] |

8
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_PDF.md Normal file
View file

@ -0,0 +1,8 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
# ISO 27002 2022 NL
![[ISO_IEC 27002_2022_NL.pdf]]