richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

ISO 27001 NL split into separate articles

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-20 15:47:28 +02:00
parent 68e570a85e
commit f78bb576f9
36 changed files with 1113 additions and 623 deletions
Download patch file Download diff file Expand all files Collapse all files

28
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-0.md Normal file
View file

@ -0,0 +1,28 @@
# 0 Inleiding
1. **Algemeen**
> Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
>
> Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
>
> Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
>
> Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
>
> De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
>
> ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
> Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
>
> Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](#_bookmark3)
>
> ]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
>
> Informatiebeveiliging, cybersecurity en bescherming van de privacy
>
> --- Managementsysteem voor informatiebeveiliging --- Eisen

3
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-1.md Normal file
View file

@ -0,0 +1,3 @@
# 1 Onderwerp en toepassingsgebied
> Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.

3
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-10.1.md Normal file
View file

@ -0,0 +1,3 @@
# 10.1 Continue verbetering
> De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.

29
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-10.2.md Normal file
View file

@ -0,0 +1,29 @@
# 10.2 Afwijkingen en corrigerende maatregelen
> Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
> Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-10.md Normal file
View file

@ -0,0 +1 @@
# 10 Verbetering

7
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-2.md Normal file
View file

@ -0,0 +1,7 @@
# 2 Normatieve verwijzingen
> Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
>
> of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
>
> ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*

9
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-3.md Normal file
View file

@ -0,0 +1,9 @@
# 3 Termen en definities
> Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
>
> ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>

5
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-4.1.md Normal file
View file

@ -0,0 +1,5 @@
# 4.1 Inzicht in de organisatie en haar context
> De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
>
> OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].

11
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-4.2.md Normal file
View file

@ -0,0 +1,11 @@
# 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden
> De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
> OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.

13
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-4.3.md Normal file
View file

@ -0,0 +1,13 @@
# 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
> De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
>
> Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
> Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.

3
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-4.4.md Normal file
View file

@ -0,0 +1,3 @@
# 4.4 Managementsysteem voor informatiebeveiliging
> De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-4.md Normal file
View file

@ -0,0 +1 @@
# 4 Context van de organisatie

21
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-5.1.md Normal file
View file

@ -0,0 +1,21 @@
# 5.1 Leiderschap en betrokkenheid
> Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
> OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.

19
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-5.2.md Normal file
View file

@ -0,0 +1,19 @@
# 5.2 Beleid
> Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
> Het informatiebeveiligingsbeleid moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie;
g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.

11
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-5.3.md Normal file
View file

@ -0,0 +1,11 @@
# 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
> Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.
>
> Het topmanagement moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van dit document;
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement.
> OPMERKING Het topmanagement kan ook verantwoordelijkheden en bevoegdheden toewijzen voor het binnen de organisatie rapporteren van de prestaties van het managementsysteem voor informatiebeveiliging.

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-5.md Normal file
View file

@ -0,0 +1 @@
# 5 Leiderschap

89
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-6.1.md Normal file
View file

@ -0,0 +1,89 @@
# 6.1 Acties om risico's en kansen op te pakken
1. **Algemeen**
> Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
> De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
> De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
> De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
1. **Behandeling van informatiebeveiligingsrisico's**
> De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
> OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
> OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
>
> OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
> De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
>
> OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 \[5\].

31
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-6.2.md Normal file
View file

@ -0,0 +1,31 @@
# 6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
> De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.
>
> De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd;
f) passend bij de situatie worden geactualiseerd;
g) beschikbaar zijn als gedocumenteerde informatie. \[Tekst verwijderd\][*](#_bookmark20)
> Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
h) wat er zal worden gedaan;
i) welke middelen er nodig zijn;
j) wie verantwoordelijk is;
k) wanneer het zal zijn voltooid; en
l) hoe de resultaten zullen worden geëvalueerd.

6
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-6.3.md Normal file
View file

@ -0,0 +1,6 @@
# 6.3 Planning van wijzigingen
> Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
>
> []{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).
>

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-6.md Normal file
View file

@ -0,0 +1 @@
# 6 Planning

3
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-7.1.md Normal file
View file

@ -0,0 +1,3 @@
# 7.1 Middelen
> De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.

13
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-7.2.md Normal file
View file

@ -0,0 +1,13 @@
# 7.2 Competentie
> De organisatie moet:
a) de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die de prestaties van haar informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) indien van toepassing, acties ondernemen om de benodigde competentie te verwerven, en de doeltreffendheid van de ondernomen acties evalueren; en
d) geschikte gedocumenteerde informatie als bewijs van competentie bewaren.
> OPMERKING Toepasbare acties kunnen bijv. zijn: het voorzien in training van, het begeleiden van of het in een andere functie benoemen van huidige medewerkers; of het inhuren of contracteren van competente personen.

9
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-7.3.md Normal file
View file

@ -0,0 +1,9 @@
# 7.3 Bewustzijn
> Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties; en
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.

11
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-7.4.md Normal file
View file

@ -0,0 +1,11 @@
# 7.4 Communicatie
> De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) hoe te communiceren.

50
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-7.5.md Normal file
View file

@ -0,0 +1,50 @@
# 7.5 Gedocumenteerde informatie
1. **Algemeen**
> Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) de gedocumenteerde informatie die dit document vereist; en
b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
> OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
1. **Creëren en actualiseren**
> Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
> Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en
b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
> Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, inclusief behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
> Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.
>
> OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-7.md Normal file
View file

@ -0,0 +1 @@
# 7 Ondersteuning

13
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-8.1.md Normal file
View file

@ -0,0 +1,13 @@
# 8.1 Operationele planning en beheersing
> Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:
- criteria vast te stellen voor de processen;
- procesbeheersing te implementeren in overeenstemming met de criteria.
> Gedocumenteerde informatie moet beschikbaar zijn in de omvang die nodig is om het vertrouwen te hebben dat de processen volgens planning zijn uitgevoerd.
>
> De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
>
> De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.

5
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-8.2.md Normal file
View file

@ -0,0 +1,5 @@
# 8.2 Risicobeoordeling van informatiebeveiliging
> De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.

5
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-8.3.md Normal file
View file

@ -0,0 +1,5 @@
# 8.3 Informatiebeveiligingsrisico's behandelen
> De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobehandeling voor informatiebeveiliging.

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-8.md Normal file
View file

@ -0,0 +1 @@
# 8 Uitvoering

19
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-9.1.md Normal file
View file

@ -0,0 +1,19 @@
# 9.1 Monitoren, meten, analyseren en evalueren
> De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van processen en beheersmaatregelen voor informatiebeveiliging;
b) de methoden voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen. Om als valide te worden te beschouwd behoren de resultaten van de geselecteerde methoden te kunnen worden vergeleken en gereproduceerd;
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
f) wie deze resultaten moet analyseren en evalueren.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten.
>
> De organisatie moet de prestaties van de informatiebeveiliging en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.

30
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-9.2.md Normal file
View file

@ -0,0 +1,30 @@
# 9.2 Interne audit
1. **Algemeen**
> De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
> De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
>
> Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
>
> De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.
>

37
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-9.3.md Normal file
View file

@ -0,0 +1,37 @@
# 9.3 Management review
1. **Algemeen**
> Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.
2. **Input voor de management review**
> Bij de management review moet onder andere rekening worden gehouden met:
a) de status van acties die zijn voortgekomen uit voorgaande management reviews;
b) wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan;
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
> De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
>
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.

1
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO27001-2023-NL-9.md Normal file
View file

@ -0,0 +1 @@
# 9 Evaluatie van de prestaties

623
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_IEC_27001_2023_NL_ compleet.md → Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_IEC_27001_2023_NL_ bijlage-A.md
View file

@ -1,626 +1,3 @@
# **NEN-EN-ISO/IEC 27001:2023**
# Europees voorwoord {#europees-voorwoord .unnumbered}
> De tekst van ISO/IEC 27001:2022) is opgesteld door Technische Commissie ISO/IEC JTC 1 'Information technology' van de Internationale Organisatie voor Standaardisatie (ISO) en is overgenomen als EN ISO/IEC 27001:2023 door Technische Commissie CEN-CENELEC JTC 13 'Cybersecurity and Data Protection', waarvan DIN het secretariaat voert.
>
> Aan deze Europese norm moet uiterlijk in januari 2024 de status van nationale norm worden gegeven, door publicatie van een identieke tekst of door bekrachtiging, en strijdige nationale normen moeten uiterlijk in januari 2024 worden ingetrokken.
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. CEN is niet verantwoordelijk voor identificatie van dergelijke patentrechten.
>
> Dit document vervangt NEN EN ISO 27001:2017.
>
> Eventuele feedback en vragen over dit document behoren te worden gericht aan de nationale normalisatie-instantie of de nationale commissie van de gebruiker. Een volledige lijst van deze instanties is te vinden op de CEN-website.
>
> Volgens het huishoudelijk reglement van CEN-CENELEC zijn de normalisatieorganisaties van de volgende landen verplicht deze Europese norm in te voeren: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Nederland, Noord-Macedonië, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Servië, Slovenië, Slowakije, Spanje, Tsjechië, Turkije, het Verenigd Koninkrijk, Zweden en Zwitserland.
## \[Verklaring van bekrachtiging {#verklaring-van-bekrachtiging .unnumbered}
> De tekst van ISO/IEC 27001:2022 is zonder wijzigingen door CEN als EN ISO/IEC 27001:2023 aanvaard.
# ISO/IEC-voorwoord {#isoiec-voorwoord .unnumbered}
> ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van internationale normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo's, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden.
>
> De procedures die zijn gebruikt voor het ontwikkelen van dit document en de procedures die zijn bedoeld voor het verdere onderhoud ervan, worden beschreven in de ISO/IEC-richtlijnen, deel 1. Hierbij wordt met name gewezen op de verschillende goedkeuringscriteria die nodig zijn voor de verschillende soorten documenten. Dit document is opgesteld volgens de redactionele regels die in de ISO/IEC-richtlijnen, deel 2 zijn opgenomen (zie [www.iso.org/directives](https://www.iso.org/directives-and-policies.html) of [www.iec.ch/members_experts/refdocs](https://www.iec.ch/members_experts/refdocs)).
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. ISO en IEC zijn niet verantwoordelijk voor identificatie van dergelijke patentrechten. Nadere informatie over eventuele patentrechten die zijn geïdentificeerd tijdens het ontwikkelen van
>
> **6**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-1 .unnumbered}
> het document, is te vinden in de inleiding en/of de ISO-lijst met ontvangen patentverklaringen (zie [www.iso.org/patents](https://www.iso.org/iso-standards-and-patents.html)) of de IEC-lijst met ontvangen patentverklaringen (zie [http://patents.iec.ch](https://patents.iec.ch/)).
>
> Eventuele handelsnamen die in dit document worden gebruikt, zijn verstrekt ter informatie voor het gemak van de gebruiker en houden geen aanbeveling in.
>
> Uitleg over de vrijwillige aard van normen, de betekenis van ISO-specifieke termen en uitdrukkingen met betrekking tot conformiteitsbeoordeling, alsmede informatie over hoe ISO voldoet aan de beginselen van de Wereldhandelsorganisatie (WTO) in de Technical Barriers to Trade (TBT), wordt gegeven op: [www.iso.org/iso/foreword.html.](http://www.iso.org/iso/foreword.html) Voor IEC, zie [www.iec.ch/understanding-standards.](http://www.iec.ch/understanding-standards)
>
> Dit document is opgesteld door ISO/IEC JTC 1, *Information Technology*, SC 27, *Information security, cybersecurity and privacy protection*.
>
> Deze derde editie herroept en vervangt de tweede editie (ISO/IEC 27001:2013), die is herzien en is afgestemd op ISO/IEC 27002:2022. Ook de Technische Corrigenda ISO/IEC 27001:2013/COR 1:2014 en ISO/IEC 27001:2013/COR 2:2015 zijn hierin opgenomen.
>
> De belangrijkste wijzigingen zijn als volgt:
>
> --- de tekst is in overeenstemming gebracht met de geharmoniseerde structuur voor managementsysteemnormen.
>
> Eventuele feedback of vragen over dit document behoren te worden gericht aan het nationale normalisatie-instituut van de gebruiker. Een volledig overzicht van deze instituten is te vinden op [www.iso.org/members.html](https://www.iso.org/members.html) en [www.iec.ch/national-committees.](https://www.iec.ch/national-committees)
**7**
> **NEN-EN-ISO/IEC 27001:2023**
# Inleiding
1. **Algemeen**
> Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
>
> Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
>
> Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
>
> Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
>
> De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
>
> ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
> Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
>
> Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](#_bookmark3)
>
> ]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
>
> **8**
**NEN-EN-ISO/IEC 27001:2023**
> Informatiebeveiliging, cybersecurity en bescherming van de privacy
>
> --- Managementsysteem voor informatiebeveiliging --- Eisen
# Onderwerp en toepassingsgebied
> Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.
# Normatieve verwijzingen
> Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
>
> of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
>
> ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*
# Termen en definities
> Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
>
> ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>
# Context van de organisatie
## Inzicht in de organisatie en haar context
> De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
>
> OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].
**9**
> **NEN-EN-ISO/IEC 27001:2023**
## Inzicht in de behoeften en verwachtingen van belanghebbenden
> De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
> OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.
## Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
> De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
>
> Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
> Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.
## Managementsysteem voor informatiebeveiliging
> De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.
# Leiderschap
## Leiderschap en betrokkenheid
> Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
> **10**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-2 .unnumbered}
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
> OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.
## Beleid
> Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
> Het informatiebeveiligingsbeleid moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie;
g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.
## Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
> Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.
>
> Het topmanagement moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van dit document;
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement.
**11**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-3 .unnumbered}
> OPMERKING Het topmanagement kan ook verantwoordelijkheden en bevoegdheden toewijzen voor het binnen de organisatie rapporteren van de prestaties van het managementsysteem voor informatiebeveiliging.
# Planning
## Acties om risico's en kansen op te pakken
1. **Algemeen**
> Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
> De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
> De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
> **12**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-4 .unnumbered}
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
> De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
1. **Behandeling van informatiebeveiligingsrisico's**
> De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
> OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
> OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
>
> OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
**13**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-5 .unnumbered}
> De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
>
> OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 \[5\].
## Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
> De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.
>
> De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd;
f) passend bij de situatie worden geactualiseerd;
g) beschikbaar zijn als gedocumenteerde informatie. \[Tekst verwijderd\][*](#_bookmark20)
> Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
h) wat er zal worden gedaan;
i) welke middelen er nodig zijn;
j) wie verantwoordelijk is;
k) wanneer het zal zijn voltooid; en
l) hoe de resultaten zullen worden geëvalueerd.
## Planning van wijzigingen
> Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
>
> []{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).
>
> **14**
**NEN-EN-ISO/IEC 27001:2023**
# Ondersteuning
## Middelen
> De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
## Competentie
> De organisatie moet:
a) de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die de prestaties van haar informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) indien van toepassing, acties ondernemen om de benodigde competentie te verwerven, en de doeltreffendheid van de ondernomen acties evalueren; en
d) geschikte gedocumenteerde informatie als bewijs van competentie bewaren.
> OPMERKING Toepasbare acties kunnen bijv. zijn: het voorzien in training van, het begeleiden van of het in een andere functie benoemen van huidige medewerkers; of het inhuren of contracteren van competente personen.
## Bewustzijn
> Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties; en
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.
## Communicatie
> De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) hoe te communiceren.
**15**
> **NEN-EN-ISO/IEC 27001:2023**
## Gedocumenteerde informatie
1. **Algemeen**
> Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) de gedocumenteerde informatie die dit document vereist; en
b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
> OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
1. **Creëren en actualiseren**
> Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
> Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en
b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
> Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, inclusief behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
> Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.
>
> **16**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-6 .unnumbered}
> OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.
# Uitvoering
## Operationele planning en beheersing
> Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:
- criteria vast te stellen voor de processen;
- procesbeheersing te implementeren in overeenstemming met de criteria.
> Gedocumenteerde informatie moet beschikbaar zijn in de omvang die nodig is om het vertrouwen te hebben dat de processen volgens planning zijn uitgevoerd.
>
> De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
>
> De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.
## Risicobeoordeling van informatiebeveiliging
> De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.
## Informatiebeveiligingsrisico's behandelen
> De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobehandeling voor informatiebeveiliging.
# Evaluatie van de prestaties
## Monitoren, meten, analyseren en evalueren
> De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van processen en beheersmaatregelen voor informatiebeveiliging;
b) de methoden voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen. Om als valide te worden te beschouwd behoren de resultaten van de geselecteerde methoden te kunnen worden vergeleken en gereproduceerd;
**17**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-7 .unnumbered}
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
f) wie deze resultaten moet analyseren en evalueren.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten.
>
> De organisatie moet de prestaties van de informatiebeveiliging en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.
## Interne audit
1. **Algemeen**
> De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
> De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
>
> Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
>
> De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.
>
> **18**
**NEN-EN-ISO/IEC 27001:2023**
## Management review
1. **Algemeen**
> Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.
2. **Input voor de management review**
> Bij de management review moet onder andere rekening worden gehouden met:
a) de status van acties die zijn voortgekomen uit voorgaande management reviews;
b) wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan;
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
> De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
>
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.
# Verbetering
## Continue verbetering
> De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.
**19**
> **NEN-EN-ISO/IEC 27001:2023**
## Afwijkingen en corrigerende maatregelen
> Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
> Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.
> **20**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-8 .unnumbered}
> []{#_bookmark38 .anchor}**Bijlage A**

623
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_IEC_27001_2023_NL_compleet.md Normal file
View file

@ -0,0 +1,623 @@
# **NEN-EN-ISO/IEC 27001:2023**
# Europees voorwoord {#europees-voorwoord .unnumbered}
> De tekst van ISO/IEC 27001:2022) is opgesteld door Technische Commissie ISO/IEC JTC 1 'Information technology' van de Internationale Organisatie voor Standaardisatie (ISO) en is overgenomen als EN ISO/IEC 27001:2023 door Technische Commissie CEN-CENELEC JTC 13 'Cybersecurity and Data Protection', waarvan DIN het secretariaat voert.
>
> Aan deze Europese norm moet uiterlijk in januari 2024 de status van nationale norm worden gegeven, door publicatie van een identieke tekst of door bekrachtiging, en strijdige nationale normen moeten uiterlijk in januari 2024 worden ingetrokken.
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. CEN is niet verantwoordelijk voor identificatie van dergelijke patentrechten.
>
> Dit document vervangt NEN EN ISO 27001:2017.
>
> Eventuele feedback en vragen over dit document behoren te worden gericht aan de nationale normalisatie-instantie of de nationale commissie van de gebruiker. Een volledige lijst van deze instanties is te vinden op de CEN-website.
>
> Volgens het huishoudelijk reglement van CEN-CENELEC zijn de normalisatieorganisaties van de volgende landen verplicht deze Europese norm in te voeren: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Nederland, Noord-Macedonië, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Servië, Slovenië, Slowakije, Spanje, Tsjechië, Turkije, het Verenigd Koninkrijk, Zweden en Zwitserland.
## \[Verklaring van bekrachtiging {#verklaring-van-bekrachtiging .unnumbered}
> De tekst van ISO/IEC 27001:2022 is zonder wijzigingen door CEN als EN ISO/IEC 27001:2023 aanvaard.
# ISO/IEC-voorwoord {#isoiec-voorwoord .unnumbered}
> ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van internationale normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo's, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden.
>
> De procedures die zijn gebruikt voor het ontwikkelen van dit document en de procedures die zijn bedoeld voor het verdere onderhoud ervan, worden beschreven in de ISO/IEC-richtlijnen, deel 1. Hierbij wordt met name gewezen op de verschillende goedkeuringscriteria die nodig zijn voor de verschillende soorten documenten. Dit document is opgesteld volgens de redactionele regels die in de ISO/IEC-richtlijnen, deel 2 zijn opgenomen (zie [www.iso.org/directives](https://www.iso.org/directives-and-policies.html) of [www.iec.ch/members_experts/refdocs](https://www.iec.ch/members_experts/refdocs)).
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. ISO en IEC zijn niet verantwoordelijk voor identificatie van dergelijke patentrechten. Nadere informatie over eventuele patentrechten die zijn geïdentificeerd tijdens het ontwikkelen van
>
> **6**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-1 .unnumbered}
> het document, is te vinden in de inleiding en/of de ISO-lijst met ontvangen patentverklaringen (zie [www.iso.org/patents](https://www.iso.org/iso-standards-and-patents.html)) of de IEC-lijst met ontvangen patentverklaringen (zie [http://patents.iec.ch](https://patents.iec.ch/)).
>
> Eventuele handelsnamen die in dit document worden gebruikt, zijn verstrekt ter informatie voor het gemak van de gebruiker en houden geen aanbeveling in.
>
> Uitleg over de vrijwillige aard van normen, de betekenis van ISO-specifieke termen en uitdrukkingen met betrekking tot conformiteitsbeoordeling, alsmede informatie over hoe ISO voldoet aan de beginselen van de Wereldhandelsorganisatie (WTO) in de Technical Barriers to Trade (TBT), wordt gegeven op: [www.iso.org/iso/foreword.html.](http://www.iso.org/iso/foreword.html) Voor IEC, zie [www.iec.ch/understanding-standards.](http://www.iec.ch/understanding-standards)
>
> Dit document is opgesteld door ISO/IEC JTC 1, *Information Technology*, SC 27, *Information security, cybersecurity and privacy protection*.
>
> Deze derde editie herroept en vervangt de tweede editie (ISO/IEC 27001:2013), die is herzien en is afgestemd op ISO/IEC 27002:2022. Ook de Technische Corrigenda ISO/IEC 27001:2013/COR 1:2014 en ISO/IEC 27001:2013/COR 2:2015 zijn hierin opgenomen.
>
> De belangrijkste wijzigingen zijn als volgt:
>
> --- de tekst is in overeenstemming gebracht met de geharmoniseerde structuur voor managementsysteemnormen.
>
> Eventuele feedback of vragen over dit document behoren te worden gericht aan het nationale normalisatie-instituut van de gebruiker. Een volledig overzicht van deze instituten is te vinden op [www.iso.org/members.html](https://www.iso.org/members.html) en [www.iec.ch/national-committees.](https://www.iec.ch/national-committees)
**7**
> **NEN-EN-ISO/IEC 27001:2023**
# Inleiding
1. **Algemeen**
> Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
>
> Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
>
> Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
>
> Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
>
> De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
>
> ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
> Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
>
> Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](#_bookmark3)
>
> ]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
>
> **8**
**NEN-EN-ISO/IEC 27001:2023**
> Informatiebeveiliging, cybersecurity en bescherming van de privacy
>
> --- Managementsysteem voor informatiebeveiliging --- Eisen
# Onderwerp en toepassingsgebied
> Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.
# Normatieve verwijzingen
> Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
>
> of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
>
> ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*
# Termen en definities
> Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
>
> ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>
# Context van de organisatie
## Inzicht in de organisatie en haar context
> De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
>
> OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].
**9**
> **NEN-EN-ISO/IEC 27001:2023**
## Inzicht in de behoeften en verwachtingen van belanghebbenden
> De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
> OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.
## Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
> De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
>
> Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
> Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.
## Managementsysteem voor informatiebeveiliging
> De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.
# Leiderschap
## Leiderschap en betrokkenheid
> Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
> **10**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-2 .unnumbered}
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
> OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.
## Beleid
> Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
> Het informatiebeveiligingsbeleid moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie;
g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.
## Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
> Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.
>
> Het topmanagement moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van dit document;
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement.
**11**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-3 .unnumbered}
> OPMERKING Het topmanagement kan ook verantwoordelijkheden en bevoegdheden toewijzen voor het binnen de organisatie rapporteren van de prestaties van het managementsysteem voor informatiebeveiliging.
# Planning
## Acties om risico's en kansen op te pakken
1. **Algemeen**
> Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
> De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
> De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
> **12**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-4 .unnumbered}
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
> De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
1. **Behandeling van informatiebeveiligingsrisico's**
> De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
> OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
> OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
>
> OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
**13**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-5 .unnumbered}
> De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
>
> OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 \[5\].
## Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
> De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.
>
> De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd;
f) passend bij de situatie worden geactualiseerd;
g) beschikbaar zijn als gedocumenteerde informatie. \[Tekst verwijderd\][*](#_bookmark20)
> Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
h) wat er zal worden gedaan;
i) welke middelen er nodig zijn;
j) wie verantwoordelijk is;
k) wanneer het zal zijn voltooid; en
l) hoe de resultaten zullen worden geëvalueerd.
## Planning van wijzigingen
> Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
>
> []{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).
>
> **14**
**NEN-EN-ISO/IEC 27001:2023**
# Ondersteuning
## Middelen
> De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
## Competentie
> De organisatie moet:
a) de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die de prestaties van haar informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) indien van toepassing, acties ondernemen om de benodigde competentie te verwerven, en de doeltreffendheid van de ondernomen acties evalueren; en
d) geschikte gedocumenteerde informatie als bewijs van competentie bewaren.
> OPMERKING Toepasbare acties kunnen bijv. zijn: het voorzien in training van, het begeleiden van of het in een andere functie benoemen van huidige medewerkers; of het inhuren of contracteren van competente personen.
## Bewustzijn
> Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties; en
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.
## Communicatie
> De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) hoe te communiceren.
**15**
> **NEN-EN-ISO/IEC 27001:2023**
## Gedocumenteerde informatie
1. **Algemeen**
> Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) de gedocumenteerde informatie die dit document vereist; en
b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
> OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
1. **Creëren en actualiseren**
> Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
> Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en
b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
> Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, inclusief behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
> Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.
>
> **16**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-6 .unnumbered}
> OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.
# Uitvoering
## Operationele planning en beheersing
> Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:
- criteria vast te stellen voor de processen;
- procesbeheersing te implementeren in overeenstemming met de criteria.
> Gedocumenteerde informatie moet beschikbaar zijn in de omvang die nodig is om het vertrouwen te hebben dat de processen volgens planning zijn uitgevoerd.
>
> De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
>
> De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.
## Risicobeoordeling van informatiebeveiliging
> De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.
## Informatiebeveiligingsrisico's behandelen
> De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobehandeling voor informatiebeveiliging.
# Evaluatie van de prestaties
## Monitoren, meten, analyseren en evalueren
> De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van processen en beheersmaatregelen voor informatiebeveiliging;
b) de methoden voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen. Om als valide te worden te beschouwd behoren de resultaten van de geselecteerde methoden te kunnen worden vergeleken en gereproduceerd;
**17**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-7 .unnumbered}
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
f) wie deze resultaten moet analyseren en evalueren.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten.
>
> De organisatie moet de prestaties van de informatiebeveiliging en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.
## Interne audit
1. **Algemeen**
> De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
> De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
>
> Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
>
> De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.
>
> **18**
**NEN-EN-ISO/IEC 27001:2023**
## Management review
1. **Algemeen**
> Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.
2. **Input voor de management review**
> Bij de management review moet onder andere rekening worden gehouden met:
a) de status van acties die zijn voortgekomen uit voorgaande management reviews;
b) wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan;
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
> De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
>
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.
# Verbetering
## Continue verbetering
> De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.
**19**
> **NEN-EN-ISO/IEC 27001:2023**
## Afwijkingen en corrigerende maatregelen
> Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
> Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.
> **20**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-8 .unnumbered}