richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Vault restructure

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-23 11:51:51 +02:00
parent d45797d121
commit ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
Download patch file Download diff file Expand all files Collapse all files

12
Corpus/Standards/ISO27x/Authentication.md Normal file
View file

@ -0,0 +1,12 @@
# Authentication
Authentication is the proof of identity that is achieved through providing credentials to the access control mechanism.
See also:
- [a-8.5-Secure-authentication](OST/27002/EN/a-8.5-Secure-authentication.md)
- [Authentication Methods Used for Network Security](../../📚️%20Literature%20notes/Authentication%20Methods%20Used%20for%20Network%20Security.md)
- [Identity and Access Management (IAM)](../../💡Drafts%20and%20Ideas/Identity%20and%20Access%20Management%20(IAM).md)
- [Authorization](Authorization.md)
- [Identification](../../💡Drafts%20and%20Ideas/Identification.md)

13
Corpus/Standards/ISO27x/Authorization.md Normal file
View file

@ -0,0 +1,13 @@
# Authorization
Authorization is the mechanism that determines the access level(s) of the subjects to the objects.
See also:
- [Authorization vs Access Control](../../🎇%20Sparks/Authorization%20vs%20Access%20Control.md)
- [Access Control Models](../../🎇%20Sparks/Access%20Control%20Models.md)
- [Authentication](Authentication.md)
- [Identification](../../💡Drafts%20and%20Ideas/Identification.md)
- [CASSM Consumer Authentication Strength Maturity Model](../../📚️%20Literature%20notes/CASSM%20Consumer%20Authentication%20Strength%20Maturity%20Model.md)
- [Identity and Access Management (IAM)](../../💡Drafts%20and%20Ideas/Identity%20and%20Access%20Management%20(IAM).md)
- [a-5.15-Access-control](OST/27002/EN/a-5.15-Access-control.md) ???

43
Corpus/Standards/ISO27x/Explicitly mentioned roles in ISO 27001.md Normal file
View file

@ -0,0 +1,43 @@
Based on the text of **ISO/IEC 27001:2022**, the standard explicitly identifies specific roles and categories of individuals with distinct responsibilities regarding the Information Security Management System (ISMS).
These roles are categorized below by their function within the standard:
### 1. Top Management
"Top management" is the most prominent role cited throughout the standard. They are responsible for:
- Overall leadership w/r/t information security and commitment to the ISMS.
- Establishing the information security policy and objectives.
- Ensuring necessary resources are available for the ISMS.
- Ensuring responsibilities and authorities for relevant roles are assigned and communicated.
- Conducting management reviews of the ISMS at planned intervals.
### 2. Risk Owners
Risk owners (explicitly required by the standard) are identified in the risk management process (C.6.1.2). They must **approve the risk treatment plan** and **accept the residual risk** that remains after treatment.
### 3. Auditors
In the context of performance evaluation, the standard refers to **auditors**. The organization is required to select auditors to conduct internal audits ensuring objectivity and impartiality.
### 4. Asset Owners
While the main body of the standard focuses on _risk_ owners, **Annex A** (which lists the information security controls) explicitly mentions **owners** in the context of assets.
- **Control 5.9 (Inventory of information and other associated assets):** Requires an inventory of assets to be developed and maintained, "including **owners**".
### 5. Personnel and Persons Doing Work
The standard refers to the broader workforce under two main categories:
- **Persons doing work under the organization's control:** The organization must determine the necessary competence of these persons and ensure they are aware of the information security policy and their contribution to the ISMS.
- **Personnel:** Within Annex A, controls explicitly refer to "personnel" regarding screening, terms of employment, disciplinary processes, and information security awareness.
### 6. Other Relevant Management Roles
Clause 5.1 mentions that Top Management must support "other relevant management roles" to demonstrate their leadership as it applies to their specific areas of responsibility.
### 7. Interested Parties
While not an internal "role" in the traditional sense, the standard explicitly requires the organization to determine relevant **interested parties** (stakeholders) and their requirements, which must be addressed by the ISMS.
**Note on Specific Job Titles:** ISO 27001 describes responsibilities (e.g., "reporting on the performance of the information security management system") but generally does not prescribe specific job titles like "CISO" or "Security Manager." Instead, it requires Top Management to assign the _responsibility and authority_ for these tasks.

207
Corpus/Standards/ISO27x/Governance model for Policies and Controls.md Normal file
View file

@ -0,0 +1,207 @@
# Governance model for the ISMS, it's Policies and Controls
Based on ISO 27001 and ISO 27002, a governance model for your ISMS should be structured around **Top Management's accountability** while delegating the **tactical execution** to specific information security roles.
*See [Basic ISMS governance model](../../💡Drafts%20and%20Ideas/ISMS/Basic%20ISMS%20governance%20model.md) for a compacted version*
## Related to the Policies Lifecycle
Here is a suggested governance model mapping the lifecycle of security policies (commissioning, drafting, approving, etc.) to the specific roles mandated by the standards.
### **1. Top Management**
**Primary Mandate:** _Commissioning, Approving, and Signing Off._
In the ISO 27001 framework, Top Management holds the ultimate accountability. They do not necessarily write the policies, but they must authorize them to ensure they align with business strategy.
- **Commissioning:** Top management must ensure the information security policy is established and compatible with the strategic direction of the organization.
- **Signing Off / Approving:** They must formally approve the information security policy. Any changes to the high-level policy must also be approved by them.
- **Resourcing:** They are responsible for ensuring the resources needed for the ISMS are available.
 see [C.5.1](../../MoCs/ISO_27001_2022_5.1_MoC%20Leadership%20and%20commitment.md), [A.5.1](archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md)
### **2. Information Security Manager / Competent Personnel**
**Primary Mandate:** _Drafting, Advising, and Reviewing._
This role (often assigned to a CISO, Security Manager, or a specialized committee) functions as the architect of the system.
- **Drafting:** The development of policies should be allocated to personnel with the appropriate technical competency. They draft the "Information Security Policy" (high-level) and "Topic-Specific Policies" (e.g., Access Control, Backup).
- **Advising / Consulting:** This role provides subject matter expertise. They may seek advice from external subject matter experts or special interest groups to ensure policies match best practices and current threats.
- **Reviewing:** They must review policies at planned intervals or when significant changes occur (e.g., new technologies, new risks) to ensure continued suitability.
### **3. Line Management / Function Owners**
**Primary Mandate:** _Consulting and Enforcing._
Managers throughout the organization (HR, IT, Operations) act as the bridge between the policy and the employees.
- **Consulting:** While the security team drafts policies, line managers should be consulted to ensure the policies are practical and do not conflict with operational efficiency.
- **Enforcing:** Management requires all personnel to apply information security in accordance with the established policies. They are responsible for ensuring their teams are properly briefed on these roles. see [A.5.4](../../MoCs/ISO_27002_2022_5.4_MoC%20Management%20responsibilities.md)
### **4. All Personnel and Interested Parties**
**Primary Mandate:** _Acknowledging and Adhering._
- **Acknowledging:** Once a policy is published and communicated, recipients (employees and relevant external parties) should be required to acknowledge they understand and agree to comply.
- **Adhering:** Personnel must apply the policies in their daily work. see [A.5.4](../../MoCs/ISO_27002_2022_5.4_MoC%20Management%20responsibilities.md)
---
### **Governance Workflow: The Policy Lifecycle**
To operationalize this model, you can organize your governance activities into the following lifecycle stages, as supported by ISO 27002:
| Governance Activity | Responsible Role |
| :------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **1. Commissioning** | **Top Management** directs that a policy be created to address business needs, risks, or regulations. |
| **2. Drafting** | **Security Manager/Specialist** writes the content. This includes creating _Topic-Specific Policies_ (e.g., Access Control, Clear Desk). |
| **3. Consulting** | **Subject Matter Experts** (Legal, HR, IT) review the draft to ensure technical feasibility and legal compliance. |
| **4. Approving** | **Top Management** formally signs off. For lower-level _Topic-Specific Policies_, approval may be delegated to an appropriate level of management (e.g., IT Director approving the Backup Policy). |
| **5. Communicating** | **Security Manager/HR** publishes the policy in a format accessible to all employees and relevant external parties. |
| **6. Acknowledging** | **All Personnel** sign or digitally acknowledge that they have read and understood the policy. |
| **7. Reviewing** | **Security Manager** re-evaluates the policy at planned intervals or after significant changes (e.g., a security incident). |
These can be deducted from [C.5.1](../../MoCs/ISO_27001_2022_5.1_MoC%20Leadership%20and%20commitment.md), [A.5.1](archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md), C.0.1, and C.0.2
### **Analogy: The Legislative Process**
To visualize this governance model, consider the passing of a **Law (Policy)** in a city:
- **Top Management is the City Council/Mayor:** They commission the law ("We need a law to stop speeding") and give the final signature to make it valid (**Approving**). They don't usually write the legal text themselves.
- **The Security Manager is the Drafting Committee/Legal Counsel:** They research traffic data, write the specific legal text, and ensure it doesn't contradict existing laws (**Drafting/Advising**).
- **Line Managers are the District Captains:** They make sure their specific precincts know about the new law and enforce it (**Enforcing**).
- **Employees are the Citizens:** They must read the notification of the new law and drive within the speed limit (**Acknowledging/Adhering**).
## Roles and Responsibilities mentioned in ISO 27001
Based on ISO 27001 and the supporting guidance in ISO 27002 and ISO 27000, the standards identify several distinct ownership and management roles necessary for the effective governance of information security.
These roles are categorized into high-level governance, specific ownership accountabilities, and operational responsibilities.
### **1. Top Management**
Top management is defined as the person or group of people who directs and controls the organization at the highest level. They hold the ultimate accountability for the ISMS.
- **Responsibilities:** They are responsible for establishing the information security policy, ensuring it is compatible with the strategic direction of the organization, and ensuring necessary resources are available.
- **Delegation:** Top management must ensure that responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
- **Review:** They must review the organization's ISMS at planned intervals to ensure its continuing suitability, adequacy, and effectiveness.
(More on Leadership Responsibilities [here](ISO%2027001%20Leadership%20Responsibilities.md)).
### **2. Ownership Roles**
The standards distinguish between general management and "ownership," which implies specific accountability for risks and assets.
**A. Risk Owners**
- **Definition:** A risk owner is a person or entity with the accountability and authority to manage a specific risk.
- **Key Mandate:** ISO 27001 explicitly requires the organization to identify risk owners during the risk assessment process.
- **Authority:** Risk owners are responsible for approving the information security risk treatment plan and accepting any residual information security risks.
**B. Asset Owners**
- **Definition:** While not strictly defined in the vocabulary standard (ISO 27000), ISO 27002 requires that an inventory of assets be maintained and that "ownership" of these assets be assigned to an individual or group.
- **Responsibilities:** The asset owner is responsible for the proper management of an asset over its entire lifecycle. Specific duties include:
- Ensuring assets are inventoried and classified.
- Establishing requirements for acceptable use.
- Reviewing access restrictions and classifications periodically.
- Authorizing proper disposal or deletion of data.
- **Delegation:** Asset owners may delegate daily tasks (e.g., to a custodian looking after the asset), but the owner remains accountable for the asset's protection.
### **3. Operational and Specific Security Roles**
While ISO 27001 allows organizations to define roles based on their needs, the standards specifically reference or imply the following functional roles:
- **Information Security Management Function:** ISO 27001 requires the assignment of responsibility for ensuring the ISMS conforms to requirements and for reporting on its performance to top management. In practice, this is often the Information Security Manager or CISO.
- **Privacy Officer:** ISO 27002 suggests that compliance with privacy regulations is often best achieved by appointing a responsible person, such as a privacy officer, to provide guidance to personnel.
- **Project Management / Steering Committee:** ISO 27002 advises that information security should be integrated into project management, with follow-ups performed by governance bodies such as a project steering committee.
- **Auditors:** ISO 27001 mandates internal audits, requiring the selection of auditors who can ensure objectivity and the impartiality of the audit process.
- **System Administrators / Privileged Users:** ISO 27002 highlights the need to identify and manage users with "privileged access rights" (e.g., system administrators) who can override system or application controls.
### **Summary of Accountability vs. Responsibility**
To apply this to your governance model:
- **Top Management** provides the **mandate** and resources.
- **Risk Owners** provide the **authorization** for how risks are handled.
- **Asset Owners** define the **protection requirements** for the data they own.
- **Security Roles/Personnel** execute the **controls** and day-to-day operations.
## Roles and Responsibilities regarding Controls
Based on ISO 27001 and ISO 27002, the roles and responsibilities regarding the lifecycle of controls (implementing, monitoring, establishing effectiveness, and evaluating) are distributed across several levels of the organization.
The standards define these responsibilities as follows:
### **1. Top Management**
Top management holds the ultimate accountability for the system's success but delegates specific tasks.
- **Implementing:** They must ensure that the resources needed for the ISMS (and by extension, the controls) are available and that ISMS requirements are integrated into the organizations processes.  see [C.5.1](../../MoCs/ISO_27001_2022_5.1_MoC%20Leadership%20and%20commitment.md)
- **Monitoring & Effectiveness:** They must assign responsibilities for reporting on the performance of the ISMS. see [C.5.3](../../MoCs/ISO_27001_2022_5.3_MoC%20Organizational%20roles,%20responsibilities%20and%20authorities.md)
- **Evaluating:** They are required to review the ISMS at planned intervals (Management Review) to ensure its continuing suitability, adequacy, and effectiveness. see [C.9.2.2](../../MoCs/ISO_27001_2022_9.2_MoC%20Internal%20audit.md), [C.9.3.1](../../MoCs/ISO_27001_2022_9.3_MoC%20Management%20review.md)
### **2. Risk Owners**
Risk owners are central to the decision-making process regarding which controls are applied.
- **Implementing:** They are responsible for approving the information security risk treatment plan. This effectively means they authorize the implementation of the controls selected to modify risks.
- **Establishing Effectiveness:** They must accept any residual information security risks that remain after controls have been implemented.
see [C.6.1.3](../../MoCs/ISO_27001_2022_6.1.3_MoC%20Information%20security%20risk%20treatment.md) and Note 2 for 3.62 risk acceptance.
### **3. Asset Owners**
ISO 27002 places significant operational responsibility on the owners of assets.
- **Implementing:** They are responsible for the proper management of an asset over its entire life cycle. This includes ensuring assets are properly classified and protected.
- **Monitoring:** They must review access restrictions and classifications periodically to ensure they remain effective.
see [A.5.9](../../MoCs/ISO_27002_2022_5.9_MoC%20Inventory%20of%20information%20and%20other%20associated%20assets.md)
### **4. Managers (Line Management)**
Managers play a critical role in enforcing controls within their specific areas of operation.
- **Implementing:** Management should require all personnel to apply information security in accordance with established policies and procedures. They are responsible for ensuring personnel are properly briefed on their roles prior to being granted access to information.
- **Monitoring & Effectiveness:** Managers should regularly identify and review whether information security requirements are being met within their area of responsibility. If non-compliance is found, managers must identify causes, evaluate the need for corrective action, and implement it.
see [A.5.4](../../MoCs/ISO_27002_2022_5.4_MoC%20Management%20responsibilities.md), [A.5.5](../../MoCs/ISO_27002_2022_5.5_MoC%20Contact%20with%20authorities.md), [A.5.6](../../MoCs/ISO_27002_2022_5.6_MoC%20Contact%20with%20special%20interest%20groups.md), [A.5.36](../../MoCs/ISO_27002_2022_5.36_MoC%20Compliance%20with%20policies,%20rules%20and%20standards%20for%20information%20security.md)
### **5. Information Security Management Function**
While individual managers implement controls, a specific security function (often an Information Security Manager) provides oversight and specialized support.
- **Implementing:** This role often takes overall responsibility for the development and implementation of information security, supporting the identification of risks and mitigating controls.
- **Monitoring:** They may assist in monitoring activities, such as reviewing logs or managing vulnerability processes,.
see [A.5.2](../../MoCs/ISO_27002_2022_5.2_MoC%20Information%20security%20roles%20and%20responsibilities.md), [A.8.8](../../MoCs/ISO_27002_2022_8.8_MoC%20Management%20of%20technical%20vulnerabilities.md)
### **6. Internal Auditors and Independent Reviewers**
These roles are strictly focused on evaluation and verification.
- **Evaluating:** The organization must conduct internal audits to provide information on whether the ISMS conforms to requirements and is effectively implemented and maintained,.
- **Effectiveness:** An independent review (by internal audit or external party) assesses the organization's approach to managing information security and its implementation to ensure continuing suitability and effectiveness,.
see [C.9.2.1, C.9.2.2](../../MoCs/ISO_27001_2022_9.2_MoC%20Internal%20audit.md), [A.5.35](../../MoCs/ISO_27002_2022_5.35_MoC%20Independent%20review%20of%20information%20security.md)
### **7. All Personnel**
- **Implementing:** All employees are required to apply information security in accordance with established policies and procedures.
- **Monitoring:** They contribute to monitoring by reporting observed or suspected information security events (e.g., ineffective controls, human errors, or non-compliance) through established channels,.
see [A.5.4](../../MoCs/ISO_27002_2022_5.4_MoC%20Management%20responsibilities.md), [A.5.5](../../MoCs/ISO_27002_2022_5.5_MoC%20Contact%20with%20authorities.md), [A.5.6](../../MoCs/ISO_27002_2022_5.6_MoC%20Contact%20with%20special%20interest%20groups.md), [A.6.8](../../MoCs/ISO_27002_2022_6.8_MoC%20Information%20security%20event%20reporting.md)
---
### **Summary Table of Responsibilities**
|Role|Implementation|Monitoring & Effectiveness|Evaluation|
|:--|:--|:--|:--|
|**Top Management**|Provides resources and mandate.|Reviews performance reports.|Conducts Management Review.|
|**Risk Owner**|Approves the risk treatment plan.|Accepts residual risk.|Reviews risk status.|
|**Asset Owner**|Ensures proper protection of assets.|Periodically reviews access and classification.|Verifies asset inventory accuracy.|
|**Line Manager**|Enforces policies with staff.|regular reviews of compliance; initiates corrective action.|Reports review results to independent reviewers.|
|**Internal Auditor**|N/A (Must remain independent).|N/A|Tests conformity and effectiveness.|
### **Analogy: The City Infrastructure**
To visualize these roles regarding **controls** (e.g., traffic lights and speed bumps):
- **Top Management (City Council):** Allocates the budget for road safety and reviews annual safety reports to see if the city is safer (**Evaluation**).
- **Risk Owner (City Planner):** Decides that a specific intersection is dangerous and authorizes the installation of traffic lights (**Implementing/Approving Treatment**).
- **Asset Owner (Road Maintenance Chief):** Ensures the traffic lights are actually installed, cataloged, and working correctly on a daily basis (**Implementing/Monitoring**).
- **Line Manager (Precinct Captain):** Ensures their officers are enforcing traffic laws and that the officers themselves obey speed limits (**Monitoring Compliance**).
- **Internal Auditor (Inspector General):** Independently checks if the traffic lights meet legal codes and if the police are actually issuing tickets as reported, without fixing the lights themselves (**Evaluating**).

10
Corpus/Standards/ISO27x/ISO 17021 Conformity assessment.md Normal file
View file

@ -0,0 +1,10 @@
# ISO 17021 Conformity assessment
Certification of management systems is a third-party conformity assessment activity and bodies performing this activity are therefore third-party conformity assessment bodies.
See [Clause 10.1](https://www.isms.online/iso-27001/10-1-nonconformity-and-corrective-action/))

64
Corpus/Standards/ISO27x/ISO 22317 Guidelines for business impact analysis.md Normal file
View file

@ -0,0 +1,64 @@
![](ISO_22317_Guidelines%20for%20business%20impact%20analysis.pdf)
## Steps
The steps for conducting an initial Business Impact Analysis (BIA) are:
- **Define the context and scope of the BIA process.** This involves understanding the organizations external and internal operating environments, including its business processes, activities, and resources. The BIA process should cover the entire scope of the business continuity management system (BCMS), which should be defined in terms of the organizations products and services.
- **Define and communicate roles and responsibilities for the BIA process.** Top management should ensure that roles and authorities are assigned, communicated, and that resources are provided. Key roles include the BIA leader and activity owners. The **BIA leader is responsible for the BIA process**, including preparing and delivering the BIA methodology, planning, and managing the process, consolidating and analyzing information, and presenting the outcomes to top management. **Activity owners are responsible for providing a detailed understanding of their activities, applying the BIA methodology, and providing information to the BIA leader**.
- **Obtain commitment from leadership and allocate adequate resources.** Top management commitment is essential for the BIA process. This includes communicating the value of the BIA process, providing support, allocating sufficient resources, agreeing on methods, priorities, and time frames, and ensuring an environment of continual improvement.
- **Plan the BIA.** This can include allocating resources, grouping products and services with similar characteristics, identifying the organizational structure and teams or individuals that can provide information, and communicating expectations to participants.
- **Agree on the approach for undertaking the BIA process.** This involves understanding the potential impacts of a disruption on the organization. Impacts can include loss of revenue, market share, customer confidence, reputation, and legal or regulatory penalties.
- **Define impact types and criteria.** The organization should define impact types and criteria to understand the impact of a disruption over time. Impact types can include business objectives, environmental, financial, health and safety, legal, regulatory, contractual, market share, operational, and reputational. Criteria should be defined for each impact type to determine when the impact becomes unacceptable. This can be done by defining thresholds or using an impact matrix.
- **Define time frames.** Impacts typically increase over time, so its important to define time frames to assess the magnitude of the impact. This can be done using a set number of time frames or a set number of time frames within which to consider the increasing impact.
- **Define the BIA methodology.** A consistent methodology should be defined to assess all products, services, and activities. The methodology should include how to assess impacts over time, the definition of the maximum tolerable period of disruption (MTPD), and the recovery time objective (RTO).
- **Determine the priorities of products and services with top management.** Top management should determine the priorities of products and services based on the organizations objectives, obligations, and the potential impacts of a disruption. Factors to consider include legal and regulatory requirements, contractual obligations, customer expectations, and the impact of failure to deliver. The output should be a list of prioritized products and services and their continuity requirements.
- **Determine the prioritized activities.** For each prioritized product and service, the related activities should be identified. Activity owners should then assess the impacts of a disruption over time, identify the MTPD, and set the RTO for each activity. The output should be a list of prioritized activities and their RTOs.
- **Identify resources and other dependencies.** The resources and dependencies required to perform prioritized activities should be identified. These can include people, information and data, physical infrastructure, equipment, ICT systems, transportation and logistics, finances, partners, and suppliers. For each resource, the quantity, time frame, characteristics, dependencies, and applicable requirements should be documented.
- **Analyze and consolidate BIA results.** The information gathered from all levels of the BIA process should be analyzed and consolidated to identify business continuity priorities and requirements. The organization should choose an appropriate analytical approach, ensuring the information is correct, credible, consistent, current, and complete.
- **Obtain top management approval for BIA results.** The BIA leader should present the BIA results to top management for their review, amendment, and approval. This should include the prioritization of products and services, activities, and resources. Top management approval should be documented. The BIA results can then be used to identify and select business continuity strategies and solutions.
- **Review the BIA process and methodology.** The BIA process and methodology should be reviewed regularly and updated as needed to ensure its effectiveness and efficiency.
- **Review BIA results.** The BIA results should be reviewed periodically and whenever there are significant changes within the organization or its context that could affect the business continuity priorities and requirements.
## Dependencies between processes and assets
The ISO/TS 22317:2021(E) standard emphasizes the importance of understanding dependencies between processes and assets in conducting a Business Impact Analysis (BIA). This involves recognizing how disruptions to one area can affect others, both internally and externally.
Here's what the standard highlights:
- **Impact of Disruptions on the delivery of products and services**
The BIA process should consider how disruptions can affect the delivery of products and services to customers and other interested parties.This includes disruptions originating internally, within the supply chain, or from external sources. The analysis should consider how these disruptions can impact various stakeholders, including customers, partners, the community, media, shareholders, creditors, competitors, staff, and regulators.
- **Interdependencies of Activities**
When analyzing the impact of disruptions on specific activities, it is crucial to consider their interdependencies on other activities, both within and outside the organization. This means understanding how a disruption to one activity can affect the ability of other activities to function. For instance, a delay in a manufacturing process could impact subsequent production stages or even the final delivery of a product.
- **Resource Dependencies**
A detailed understanding of daily resource requirements is essential to identify the resources necessary to recover or maintain prioritized activities following a disruption. These resources can include various assets like:
- People (staff, contractors)
- Information and data (including vital records)
- Physical infrastructure (buildings, workplaces, facilities, utilities)
- Equipment (office equipment, manufacturing equipment, tools, spare parts)
- ICT systems (applications, cloud services, remote access)
- Transportation and logistics
- Finance
- Partners and suppliers
- **Identifying and Documenting Dependencies**
The BIA process should identify the dependencies between activities and resources. This involves documenting the quantity, time frame, characteristics, and dependencies of each resource required for an activity. For example, for IT resources, specific details like software versions, hardware specifications, and data backup regimes would be essential. Recognizing these dependencies helps in developing appropriate recovery strategies and solutions.
- **Analyzing and Consolidating Dependencies**
When analyzing and consolidating the BIA results, it's vital to recognize and address potential conflicts or inconsistencies arising from the interdependencies between activities and resources. For example, if the recovery objectives of one activity conflict with the resource availability for another, these issues need to be resolved.
The ISO 22317 emphasizes the need for a holistic approach when conducting a BIA. This involves understanding not just the direct impact of a disruption on individual processes or assets but also the ripple effect it can have due to the complex network of dependencies within and outside the organization. By mapping these dependencies and analyzing their potential impact, organizations can develop more robust business continuity plans and ensure a more resilient operation.

17
Corpus/Standards/ISO27x/ISO 27000 MoC.md Normal file
View file

@ -0,0 +1,17 @@
# About ISO 27000
## Chapter 3: Terms and Conditions
- 3.39 level of risk = magnitude of a risk expressed as the combination of consequences and their likelihood
- 3.40 likelihood = chance of something happening
- 3.57 residual risk = risk remaining after risk treatment
- 3.61 risk = effect of uncertainty on objectives (positive or negative) Note 5 to entry: In the context of information security management systems, information security risks can be expressed as effect of uncertainty on information security objectives"
- 3.62 risk acceptance = informed decision to take a particular risk (but still subject to monitoring and review as per note 2 to the entry)
## Chapter 4: ...
### 4.2.4 Management
"In terms of an ISMS, management involves the supervision and making of decisions necessary to achieve business objectives through the protection of the organization's information assets. Management of information security is expressed through the formulation and use of information security policies, procedures and guidelines, which are then applied throughout the organization by all individuals associated with the organization."
[ISO 27000 PDF](ISO%2027000%20PDF.md)
[ISO 27000 Overview and Vocabulary](ISO%2027000%20Overview%20and%20Vocabulary.md)

37
Corpus/Standards/ISO27x/ISO 27000 Overview and Vocabulary.md Normal file
View file

@ -0,0 +1,37 @@
## ISO 27000 Version 2018-02
3.61
**risk**
effect of uncertainty on objectives (3.49)
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential “events” (as defined in ISO Guide 73:2009, 3.5.1.3) and “consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated “likelihood” (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
Note 5 to entry: In the context of information security management systems, information security risks can be expressed as effect of uncertainty on information security objectives.
Note 6 to entry: Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.
## NEN 7510-1 2024
3.1.70 **risico**
effect van onzekerheid op het behalen van doelstellingen
Opmerking 1 bij de term:
Een effect is een afwijking ten opzichte van de verwachting positief of negatief.
Opmerking 2 bij de term: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
Opmerking 3 bij de term: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.5.1.3) en gevolgen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.6.1.3), of een combinatie daarvan.
Opmerking 4 bij de term: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
Opmerking 5 bij de term: In de context van managementsystemen voor informatiebeveiliging kunnen informatiebeveiligingsrisicos worden uitgedrukt als een effect van onzekerheid over de informatiebeveiligingsdoelstellingen.
Opmerking 6 bij de term: Informatiebeveiligingsrisico wordt geassocieerd met de mogelijkheid dat bedreigingen gebruik zullen maken van zwakke punten van een informatiebedrijfsmiddel of een groep informatiebedrijfsmiddelen, en de organisatie daarbij schade toebrengen.
[BRON: NPR-ISO Guide 73:2009, 1.1, gewijzigd Opmerkingen 1 en

3
Corpus/Standards/ISO27x/ISO 27000 PDF.md Normal file
View file

@ -0,0 +1,3 @@
# ISO 27000 Fundamentals of information security management systems (ISMS)
![](ISO_IEC_27000_2018_EN_Vocabulary.pdf)

9
Corpus/Standards/ISO27x/ISO 27001 Approaching Annex A.md Normal file
View file

@ -0,0 +1,9 @@
When you start with ISO 27001, the key to looking at this bewildering list of controls is not to see this as a todo list or an implementation plan, but as a checklist, asking yourself for each control: how are we doing this at the moment?
Because if you have a sensible approach to your information, your devices and the services you use, chances are you have actually implemented most of them, at least partially. Let's start with some low-hanging fruit:
- [ ] Examples of 'common' controls.
- [ ] backups
- [ ] cryptography
- [ ] physical security
- [ ] password protection

89
Corpus/Standards/ISO27x/ISO 27001 Certification audit.md Normal file
View file

@ -0,0 +1,89 @@
# ISO 27001 Certification audit
- [ ] compare requirements below, with KIWA document
The certification audit must be performed by a certified auditor, and only a recognized Certification Body can issue a ISO 27001 certificate.
See also this [FAQ on ISMS audits and certification](https://www.iso27001security.com/html/audit_-_certification.html).
## Stage 1 audit: Document review
The auditor looks for:
- the documented scope,
- ISMS policy and objectives,
- description of the risk assessment methodology,
- Risk Assessment Report,
- Risk Treatment Plan
- procedures for document control
- procedures for corrective and preventive actions
- procedures for internal audit.
- Statement of Applicability,
- Documentation of applicable Annex A controls
- inventory of assets (A.7.1.1),
- acceptable use of assets (A.7.1.3),
- roles and responsibilities of employees, contractors and third party users (A.8.1.1),
- terms and conditions of employment (A.8.1.3),
- procedures for the operation of information processing facilities (A.10.1.1),
- access control policy (A.11.1.1),
- identification of applicable legislation (A.15.1.1).
- records of at least one internal audit and management review.
Only if all these requirements are met, you pass on to Stage 2.
## Stage 2 audit: Main audit
Usually follows a few weeks after Stage 1 audit.
The focus is on proof of actual implementation of your ISMS processes and controls.
This is checked mainly by asking for records of activities, but also through observation and employee interviews.
Mandatory records include education, training, skills, experience and qualifications (5.2.2), internal audit (6), management review (7.1), corrective (8.2) and preventive (8.3) actions; however, the auditor will be expecting to see many more records as a result of carrying out your procedures.
## Report
The auditor will report the findings using 3 categories:
- Observations, which may be handled by the organization as it sees fit
- Minor non-conformities: which are deviations from the standard that do not affect the ability to achieve the ISMS's goals. They require drafting a Corrective Action Plan to resolve the issue
- Major non-conformities, which do affect the ISMS's ability to achieve the intended results. These prevent the certificate from being issued.
The auditor will report the findings, with a deadline for resolving the non-conformities, usually 90 days. After resolving the issue, you notify the auditor and supply evidence. If you've done this well, the auditor will accept your corrective action issue the certificate.
Source: [Advisera](https://advisera.com/27001academy/blog/2010/02/15/how-to-get-certified-against-iso-27001/), retrieved December 13, 2021
### Reasons for major non-conformities
- If a company completely failed to fulfill a certain requirement e.g., it didnt perform management review at all, although this was required by the standard.
- If your process has completely fallen apart e.g., your procedure required you to perform backup once a day, whereas the backup was performed only a couple of times per month, randomly.
- If you have several minor nonconformities that are related to the same process or to the same element of your management system e.g., you have several minor nonconformities related to your Human resources department: some of the training records are missing, not all employees are trained as they should be, some of the employment records are missing, etc. this becomes a major nonconformity because there is obviously something very wrong with this department.
- If a certification mark is misused e.g., you claim to your customers that your product is ISO certified (certification of ISO management standards covers only the processes and management systems, not the products themselves).
- If a minor nonconformity, raised during the previous audit, has not been resolved within the deadline such a small nonconformity automatically becomes a major one.
Source: [Advisera](https://advisera.com/27001academy/blog/2014/06/02/major-vs-minor-nonconformities-in-the-certification-audit/), retrieved December 13, 2021
See also: [Dealing with non-conformities](https://info-savvy.com/iso-27001-clause-10-1-non-conformity-and-corrective-action/)
## Nico Nijenhuis, TüV, 10 juni 2020
- Wordt bij TüV 3 maanden vooruit gepland
- Er staat een vast aantal dagen voor, dat is in de norm bepaald
* Je kunt vooraf evt een proefaudit laten doen
* Certificering bestaat uit 2 fasen:
* Fase 1 - documentatie onderzoek - is de verplichte documentatie aanwezig (of is aantoonbaar vastgesteld dat bepaalde zaken geregeld zijn.) de norm noemt op verschillende punten “gedocumenteerde informatie”
* Na enkele weken volgt Fase 2: interviews en audits per onderwerp/afdeling
* Daarna wordt de rapportage opgemaakt
* Waar er sprake is van non-conformity krijg je 12 weken de tijd om het op te lossen
* Indien opgelost volgt er een certificaat
* Als er een groter probleem is, is er langere tijd en een tweede certificeringsronde nodig.
1. Observatie: mag je zelf actiepunten voor definiëren, doe je er niets mee, dan escaleert het naar …
2. Niet-kritieke afwijking —> Corrective Action Plan; indien niet opgelost, escalatie naar …
3. Kritieke afwijking —> je krijgt uitstel om het op te lossen, is show stopper voor certificaat.
CAP: Corrective Action Plan
Related: [ISO 17021 Conformity assessment](ISO%2017021%20Conformity%20assessment.md)
### Audit cyclus
* Het certificaat is 3 jr geldig
* Binnen die 3 jaar zijn er 2 controle audits
* Na 3 jaar moet je op voor hercertificering

29
Corpus/Standards/ISO27x/ISO 27001 Eigenaarschap van Documentatie.md Normal file
View file

@ -0,0 +1,29 @@
De ISO 27001 en 27002 normen beschouwen documentatie, beleidsstukken, procedures en registraties als "gedocumenteerde informatie" en vallen onder de bredere definitie van **bedrijfsmiddelen (assets)**. [^1][^2]De norm eist geen centrale "documentatie-eigenaar" voor de hele organisatie, maar hanteert een gedecentraliseerde aanpak waarbij het eigenaarschap afhankelijk is van het soort document.
Volgens beheersmaatregel [A.5.9](../../MoCs/ISO_27002_2022_5.9_MoC%20Inventory%20of%20information%20and%20other%20associated%20assets.md) (Inventarisatie van bedrijfsmiddelen) moet álle informatie en gerelateerde bedrijfsmiddelen een specifieke **eigenaar** toegewezen krijgen. Deze eigenaar is verantwoordelijk voor het juiste beheer van de documentatie gedurende de hele levenscyclus, waaronder de classificatie, toegangsbeperkingen en de periodieke beoordeling ervan.
De norm geeft specifieke richtlijnen over waar de verantwoordelijkheid voor de verschillende soorten documentatie zou moeten liggen:
**1. Het overkoepelende Informatiebeveiligingsbeleid** Dit is het document op het hoogste niveau. De norm eist expliciet dat de verantwoordelijkheid voor het vaststellen en goedkeuren van dit beleid uitsluitend bij het **topmanagement (de directie)** ligt.
**2. Onderwerpspecifieke beleidsregels** Voor meer gedetailleerde of specifieke beleidsregels (zoals beleid voor toegangsbeveiliging, cryptografie of werken op afstand) ligt de verantwoordelijkheid voor het ontwikkelen, beoordelen en goedkeuren bij **relevant personeel op basis van een passend bevoegdheidsniveau en technische bekwaamheid**. Dit betekent dat het eigenaarschap hier doorgaans bij de systeemeigenaren, security officers of afdelingsmanagers ligt (het "passende managementniveau", zie [A.5.1](archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md)).
**3. Gedocumenteerde bedieningsprocedures** Voor werkinstructies en bedieningsprocedures (zoals omschreven in [A.5.37](../../MoCs/ISO_27002_2022_5.37_MoC%20Documented%20operating%20procedures.md)) eist de norm dat in de documentatie zélf expliciet wordt gespecificeerd **welke personen verantwoordelijk zijn** voor de in de procedure beschreven activiteiten.
**4. Registraties en bewijsmateriaal (Artifacts)** Registraties zijn informatie (zoals logbestanden, auditrapporten, of goedkeuringsformulieren) die als bewijs worden bewaard om aan te tonen dat processen volgens planning zijn uitgevoerd[^3] (zie [C.8.1](../../MoCs/ISO_27001_2022_8.1_MoC%20Operational%20planning%20and%20control.md)). Zoals het TypeDB-dataschema uit de bronnen illustreert, kunnen deze documenten als _artifacts_ worden gezien, waaraan specifieke actoren (zoals een persoon of organisatie) gekoppeld moeten zijn via een verantwoordelijkheidsrelatie (bijv. in de rol van eigenaar of beheerder).
**Algemene eisen aan documentatie-eigenaarschap (ISO 27001, Hoofdstuk 7.5)** Bij het creëren en actualiseren van élk stuk gedocumenteerde informatie eist de norm dat de organisatie zorgt voor:
- Passende identificatie en beschrijving, waarbij de norm expliciet de **auteur** als voorbeeld van een vereist kenmerk noemt.
- Een proces voor formele **beoordeling en goedkeuring** van de geschiktheid en toereikendheid van het document. Dit impliceert dat er altijd iemand met de juiste autoriteit is aangewezen om de inhoud te valideren.
Zie [C.7.5.2](../../MoCs/ISO_27001_2022_7.5.2_MoC%20Creating%20and%20updating.md).
---
[^1]: 3.1 Termen en definities > Bedrijfsmiddel
[^2]: 7.5 Gedocumenteerde informatie > 7.5.1 Algemeen
[^3]: 3.1 Termen en definities > Term 3.1.28 registratie

55
Corpus/Standards/ISO27x/ISO 27001 Leadership Responsibilities.md Normal file
View file

@ -0,0 +1,55 @@
# ISO 27001 Leadership Responsibilities
*Note that I asked a follow-up to list the responsibilities exclusive to "Top Management vs. other unspecified management layers"  the response can be found [here](ISO%2027001%20Top%20Management%20responsibilities.md).*
ISO 27001 and ISO 27002 place the ultimate responsibility and accountability for the Information Security Management System (ISMS) on **Top Management**. This is codified primarily in **Clause 5** of ISO 27001 and supported by **Control 5.4** in ISO 27002.
The standards outline the responsibilities of leadership as follows:
### 1. Leadership and Commitment (ISO 27001)
Top management must demonstrate leadership and commitment to the ISMS. They are explicitly accountable for the effectiveness of the system. Their specific responsibilities include:
- **Strategic Alignment:** Ensuring the information security policy and objectives are established and compatible with the strategic direction of the organization.
- **Integration:** Ensuring that ISMS requirements are integrated into the organizations processes.
- **Resourcing:** Ensuring that the resources needed for the ISMS are available.
- **Communication:** Communicating the importance of effective information security management and conforming to ISMS requirements.
- **Outcomes:** Ensuring the ISMS achieves its intended outcomes.
- **Support:** Directing and supporting persons to contribute to the effectiveness of the ISMS and supporting other relevant management roles to demonstrate leadership in their specific areas.
- **Improvement:** Promoting continual improvement.
This is all described in [Clause 5.1](../../MoCs/ISO_27001_2022_5.1_MoC%20Leadership%20and%20commitment.md).
### 2. Policy Establishment (ISO 27001 & ISO 27002)
Top management is responsible for establishing an information security policy that is appropriate to the purpose of the organization.
- **Approval:** The policy must be formally approved by top management.
- **Changes:** Any changes to the policy must be approved by top management.
This is described in [Clause 5.2](../../MoCs/ISO_27001_2022_5.2_MoC%20Policy.md) and [Control 5.1](archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md).
### 3. Organizational Roles and Authorities (ISO 27001)
Top management must ensure that responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization. specifically, they must assign the responsibility and authority for:
- Ensuring the ISMS conforms to the requirements of the standard.
- Reporting on the performance of the ISMS to top management.
This is described in Clauses [5.2](../../MoCs/ISO_27001_2022_5.2_MoC%20Policy.md) and [5.3](../../MoCs/ISO_27001_2022_5.3_MoC%20Organizational%20roles,%20responsibilities%20and%20authorities.md).
### 4. Management Responsibilities regarding Personnel (ISO 27002)
**[Control 5.4](../../MoCs/ISO_27002_2022_5.4_MoC%20Management%20responsibilities.md) (Management responsibilities)** specifies that management should require all personnel to apply information security in accordance with the established policies and procedures.
To fulfill this, management should ensure that personnel:
- Are properly briefed on their roles and responsibilities before being granted access to information.
- Are provided with guidelines stating information security expectations.
- Are mandated to fulfill the information security policy.
- Achieve a level of awareness relevant to their roles.
- Are provided with a confidential channel for reporting violations ("whistleblowing") where practicable.
- Are provided with adequate resources and project planning time for implementing security processes.
### 5. Oversight and Review
- **Management Review:** Top management is required to review the organization's ISMS at planned intervals to ensure its continuing suitability, adequacy, and effectiveness. This review includes making decisions related to continual improvement and resource needs.
- **Independent Review:** The results of independent reviews of the ISMS should be reported to the management who initiated the review and, if appropriate, to top management. If the review identifies that the approach to managing information security is inadequate, management must initiate corrective actions.
Described in [Clause 9.3](../../MoCs/ISO_27001_2022_9.3_MoC%20Management%20review.md) and [Control 5.35](../../MoCs/ISO_27002_2022_5.35_MoC%20Independent%20review%20of%20information%20security.md).

8
Corpus/Standards/ISO27x/ISO 27001 Statement of Applicability.md Normal file
View file

@ -0,0 +1,8 @@
> The Statement of Applicability (SoA) forms a fundamental part of your information security management system (ISMS). The SoA is one of the most important documents youll need to develop for ISO 27001:2013 certification.
> Put simply, in its quest to protect valuable information assets and manage the information processing facilities, the SoA states what ISO 27001 controls and policies are being applied by the organisation. It benchmarks against the Annex A control set in the ISO 27001 standard
> The statement of applicability is found in 6.1.3 of the main requirements for ISO 27001, which is part of the broader 6.1, focused on actions to address risks and opportunities. The SoA is therefore an integral part of the mandatory ISO 27001 documentation that needs to be presented to an external auditor when the ISMS is undergoing an independent audit e.g. by a UKAS audit certification body.
Source: [ISMS.online](https://www.isms.online/iso-27001/iso27001-statement-applicability-simplified/), retrieved December 2, 2021

42
Corpus/Standards/ISO27x/ISO 27001 Top Management responsibilities.md Normal file
View file

@ -0,0 +1,42 @@
# ISO 27001 Top Management responsibilities
Based on the provided sources, particularly **ISO/IEC 27001 Clause 5** and **Clause 9.3**, specific responsibilities are assigned explicitly to **"Top Management"**. These are distinct from general "management" responsibilities (such as those in ISO 27002 Control 5.4), which apply to all levels of supervision (line managers, project managers, etc.).
The responsibilities **exclusive to Top Management** focus on strategic alignment, resource provision, and ultimate accountability for the ISMS. They include:
### 1. Strategic Alignment and Policy Establishment
Only Top Management is explicitly required to:
- **Establish the Policy:** They must establish the information security policy.
- **Ensure Strategic Compatibility:** They must ensure that the information security policy and objectives are compatible with the **strategic direction** of the organization.
- **Ensure Process Integration:** They must ensure that ISMS requirements are integrated into the organizations broader business processes.
### 2. Resource Provision
While other managers utilize resources, Top Management is exclusively responsible for **ensuring the resources needed** for the ISMS are available. This implies budgetary and organizational authority that lower management layers typically do not possess independently.
### 3. Assignment of Roles and Authority
Top Management has the exclusive duty to assign and communicate responsibilities and authorities within the organization. Specifically, they must assign the responsibility for:
- Ensuring the ISMS conforms to the standard.
- **Reporting performance** of the ISMS back _to_ Top Management.
### 4. Management Review
Top Management is explicitly required to conduct the **Management Review** (Clause 9.3) at planned intervals. This is a formal evaluation of the ISMS's continuing suitability, adequacy, and effectiveness, which includes making decisions on:
- Changes to the ISMS.
- Opportunities for continual improvement.
### 5. Ultimate Accountability
Clause 5.1 states that Top Management shall demonstrate leadership by "ensuring that the information security management system achieves its intended outcome(s)". While operational managers work towards this, the standard places the ultimate requirement of _ensuring_ success on Top Management.
### Comparison: What is _Not_ Exclusive to Top Management?
In contrast, **ISO 27002 Control 5.4** refers simply to "**Management** responsibilities" rather than "Top Management." The following tasks are responsibilities of _all_ management layers (line managers, supervisors), not exclusively Top Management:
- Briefing personnel on roles and responsibilities before granting access.
- Ensuring personnel are provided with guidelines and achieve necessary awareness.
- Ensuring personnel comply with terms and conditions of employment.

6
Corpus/Standards/ISO27x/ISO 27001 audit calculatie.md Normal file
View file

@ -0,0 +1,6 @@
---
tags:
- iso27001
- audit
---
![](../../Various/Interne%20Audit%20Normity%20calculatie.numbers)

2
Corpus/Standards/ISO27x/ISO 27001 audit process.md Normal file
View file

@ -0,0 +1,2 @@
https://www.isms.online/iso-27001/what-is-the-iso-27001-audit-process/

21
Corpus/Standards/ISO27x/ISO 27001 examples of scope statements.md Normal file
View file

@ -0,0 +1,21 @@
# Examples of ISO 27001 Scope Statements
## 2ICT
> Informatiebeveiliging gerelateerd aan het leveren van online werkplekken en aanvullende clouddiensten, in overeenstemming met de Verklaring van Toepasselijkheid Versie 1.5 - 18-02-2021.
## Intermail
> Advise, implement, enhance, support and perform data services, hardware and data connections for the DM activities, as claimed in the Statement of Applicability, version 7, 22 March 2019. (Intermail)
## IC Solutions
> De scope van informatiebeveiligingsmanagementsysteem omvat alle processen van IC Solutions, de onderliggende informatiesystemen, informatie en gegevens, diensten van externe partijen en het gebruik daarvan door medewerkers en (keten)partners, ongeacht locatie, tijdstip en gebruikte apparatuur.
> Het leveren en beheren van hosted werkplekken en e-mail en gerelateerde hosting diensten, zoals vastgesteld door het management en in overeenstemming met de Verklaring van Toepasselijkheid, versie 1.4 d.d. 07-03-2019.
## Pixelpool
> Develop, maintain and manage a specialized software solution for the fashion industry, called Dtail. As well as producing and visualizing 3D content for the fashion industry.
>As part of its services, PixelPool securely handles and manages confidential business data of its clients.
The confidential data is stored and handled in 4 systems:
· On-premises servers, partially managed by an IT partner
· Data center backup server, managed by an IT partner
· Microsoft 365 and SharePoint, partially managed by an IT partner
· Cloud computing and cloud storage, managed by AWS (Amazon Web Service)

30
Corpus/Standards/ISO27x/ISO 27001 stage 1 audit.md Normal file
View file

@ -0,0 +1,30 @@
---
tags:
- iso27001
- audit
---
Our Stage 1 audit is coming up soon. If youve done this before as a startup, what did your auditor focus on during Stage 1?
> Buy the standards:
> - ISO27001 - it describes the "what"
> - ISO27002 - it describes the "how" in relation to the controls
> - ISO27003 - it describes the "how" in relation to the harmonised structure.
>All depends on your auditor, but in general they look if you are ready for the audit. You should have had an internal audit, that should give you a lot of information on what you are missing. In my experience they focus on the management system, so not so much the annex. Just read this part of the standard and make sure you comply with all that is requested there.
>Focus on risk analysis, stakeholders, incident response, policies, internal audit, improvement register.
> You need to first perform a gap assessment. Document each requirement in the standard, including those defined in the Management Clauses, and simply measure yourself against how you meet each control.
>
> 1: Not Ready 2: Were there 3: Were there and have evidence.
>
> Additionally, youll need to have an Internal Audit performed by a competent 27001 auditor before you can get certified, its a requirement of the management clauses. This Internal Audit can prepare you for what you may be missing before the certification body auditors find issues.
> Stage 1 is a "readiness assessment" and document audit.
> There are very few documents that ISO 27001 actually mandates - like, about 12. The auditor will be checking that you have those required docs, and that you have any docs that you have said you need.
> Search the Standard for: "shall be documented" and "documentation shall be maintained", you'll find most of the stuff you MUST have.
>
> You also MUST do a whole system internal audit BEFORE you reach Stage 2 (or MajorNC), and it's a really good idea to do it, or most of it, before Stage 1. A decent internal audit will help you find anything that's missing.
> As others said, first stage is primarily ISMS strategy and having documentation/processes in order.

3
Corpus/Standards/ISO27x/ISO 27003.md Normal file
View file

@ -0,0 +1,3 @@
# ISO 27003 Process-oriented approach to the successful implementation of the ISMS in accordance with 27001
![](ISO%20IEC%2027003-2017%20ISMS%20Guidance.pdf)

5
Corpus/Standards/ISO27x/ISO 27004.md Normal file
View file

@ -0,0 +1,5 @@
# ISO 27004 Monitoring, measurement, analysis and evaluation
Measurement framework allowing an assessment of ISMS effectiveness
![](ISO%20IEC%2027004-2016%20Monitoring%20and%20measuring.pdf)

4
Corpus/Standards/ISO27x/ISO 27005.md Normal file
View file

@ -0,0 +1,4 @@
# ISO 27005
Guidance on implementing a process-oriented risk management approach
![](ISO%20IEC%2027005-2022%20Guidance%20on%20managing%20risks.pdf)

3
Corpus/Standards/ISO27x/ISO 27017.md Normal file
View file

@ -0,0 +1,3 @@
# ISO 27017 Code of practice for information security controls for cloud services
![](NEN-ISO-IEC%2027017-2015%20en.pdf)

4
Corpus/Standards/ISO27x/ISO 27018.md Normal file
View file

@ -0,0 +1,4 @@
# ISO 27018 Code of practice for protection of personally identifiable information in public clouds
![](NEN-EN-ISO_IEC%2027018_2020%20en.pdf)

327
Corpus/Standards/ISO27x/ISO 27028.md Normal file
View file

@ -0,0 +1,327 @@
---
tags:
- iso27028
- LLMgenerated
---
# ISO 27028 Guidance on ISO/IEC 27002 attributes
Still in development as per 3 juli 2025
ISO/IEC TS 27028, "Information security, cybersecurity and privacy protection — Guidance on ISO/IEC 27002 attributes," is a technical specification that aims to provide guidance on the use and development of attributes aligned with ISO/IEC 27002:2022.1 Essentially, it helps organizations better classify, select, and design information security controls for various purposes.
While ISO 27002 provides a catalog of information security controls, ISO 27028 delves deeper into how to categorize and use these controls effectively through the concept of "attributes." These attributes can help an organization understand the characteristics of a control (e.g., preventive, detective, corrective) and how it contributes to their overall information security posture.
# Practical applications of ISO 27028
Here are some practical applications of ISO 27028:
- **Tailoring Information Security Management Systems (ISMS):**
- **Risk-based control selection:** Organizations can use the attributes to select controls that are most relevant to their specific risks and business needs. For example, if a high risk is identified for data confidentiality, the attributes can help identify preventive controls that directly address this.
- **Customizing control sets:** While ISO 27002 offers a comprehensive list, not every control is applicable to every organization.5 ISO 27028 can help in developing customized sets of controls based on attribute values, ensuring that only necessary and effective controls are implemented.
- **Optimizing resource allocation:** By understanding the attributes of controls, organizations can prioritize investments in security measures that provide the greatest impact on mitigating identified risks, optimizing their security budget.
- **Improving Control Effectiveness and Assurance:**
- **Enhanced control design:** The guidance in ISO 27028 can help organizations design more robust controls by considering various attributes during the implementation phase.
- **Better monitoring and reporting:** Attributes can be used to categorize and track the performance of controls. This allows for more meaningful monitoring, measurement, and reporting of security posture to management and stakeholders.
- **Auditing and compliance:** Auditors can use the attribute-based approach to assess the completeness and effectiveness of an organization's controls against specific requirements, whether internal policies or external regulations.
- **Facilitating Communication and Understanding:**
- **Clearer security objectives:** By using attributes, security professionals can articulate the purpose and function of controls more clearly to non-technical stakeholders, fostering a better understanding of information security throughout the organization.
- **Standardized terminology:** The standard promotes a consistent way of describing and categorizing controls, which can improve communication and collaboration within an organization and with external partners.6
- **Responding to Evolving Threats:**
- **Adaptability:** The attribute-based approach allows organizations to be more agile in adapting their security controls as new threats and vulnerabilities emerge. They can quickly identify which types of controls are needed to address new risks.
- **Proactive security:** By considering attributes like "preventive" or "detective," organizations can build a more balanced and proactive security architecture rather than solely reacting to incidents.7
In essence, ISO 27028 acts as a valuable tool for organizations that are serious about implementing and optimizing their information security management systems, moving beyond a simple checklist approach to a more intelligent and tailored application of security controls.
# Developing your own attributes
Here's how ISO 27028 supports the development of custom attributes:
- **Tailored Views:** Organizations can create attributes that provide **more granular or relevant perspectives** on their controls. For instance, a highly regulated industry might introduce attributes specific to their compliance obligations (e.g., "GDPR relevance" or "HIPAA applicability").
- **Enhanced Risk Treatment:** Custom attributes can help in **better linking controls to specific risks** identified in an organization's risk assessment. If a risk treatment plan requires controls with a very specific characteristic not covered by standard attributes, custom ones can fill that gap.
- **Improved Reporting:** Custom attributes allow organizations to **generate reports and metrics** that are more meaningful to their internal stakeholders and management. For example, an attribute for "responsible department" could enable clear reporting on ownership of controls.
- **Integration with Existing Frameworks:** If an organization uses other security frameworks (like NIST CSF or CIS Controls) alongside ISO 27001/27002, they can develop custom attributes that **map to the terminology and concepts of those frameworks**, facilitating integration and consistency.
- **Optimized Control Selection and Design:** By developing attributes that directly reflect their unique operational environment and security objectives, organizations can **make more informed decisions** about which controls to implement and how to design them effectively.
Developing a system of specific attributes for information security controls, as guided by ISO/IEC TS 27028, is crucial for tailoring an organization's security posture. Here's what's important:
---
### Alignment with Organizational Context 🎯
The most critical aspect is ensuring the attributes **directly support your organization's unique needs, objectives, and risk profile**. This means:
- **Business Objectives:** Attributes should help in achieving specific business goals, such as maintaining service availability, protecting customer data, or ensuring regulatory compliance.
- **Risk Landscape:** They must be designed to classify controls in a way that directly assists in mitigating the organization's specific threats and vulnerabilities.
- **Regulatory & Compliance Requirements:** For organizations in regulated industries, attributes should facilitate demonstrating adherence to laws, standards, and industry-specific mandates (e.g., GDPR, HIPAA, PCI DSS).
- **Strategic Security Goals:** The attributes should reflect and reinforce the overarching security strategy of the organization.
---
### Clarity and Unambiguity 🧐
Each attribute and its possible values should be **clearly defined and easily understood** by anyone who will use them.
- **Precise Definitions:** Avoid vague language. Define what each attribute means and what its specific values represent. For example, if you have an attribute "Control Function," its values like "Preventive," "Detective," and "Corrective" should have clear definitions.
- **Mutual Exclusivity:** Where appropriate, attribute values should be mutually exclusive, meaning a control can only have one value for a given attribute to avoid confusion.
- **Consistency:** The application of attributes must be consistent across all controls and by all personnel involved in the process. This might require training and clear documentation.
---
### Practicality and Usability 🛠️
The attribute system must be **easy to implement and maintain** within your existing security processes.
- **Simplicity:** Don't overcomplicate it. Too many attributes or overly complex definitions can make the system cumbersome and lead to low adoption.
- **Integration:** Consider how the attribute system will integrate with existing tools and processes, such as risk management platforms, control frameworks, and reporting mechanisms.
- **Maintainability:** The system should be manageable. As your organization evolves, the attributes may need to be reviewed and updated. Ensure there's a process for this.
- **Actionability:** Attributes should provide actionable insights. They should help you make decisions about control selection, implementation, monitoring, and reporting. If an attribute doesn't lead to better decision-making, it might not be necessary.
---
### Scalability and Adaptability ⚖️
The attribute system should be **flexible enough to evolve** with your organization and the changing threat landscape.
- **Future-Proofing:** While you can't predict everything, design the system with some flexibility to accommodate new technologies, business processes, or emerging threats without a complete overhaul.1
- **Granularity:** Choose an appropriate level of granularity. Too broad, and the attributes are unhelpful; too fine, and they become unmanageable.2 Find a balance that provides meaningful insights without excessive detail.
---
### Communication and Documentation ✍️
Effective communication and thorough documentation are essential for the **successful adoption and longevity** of the attribute system.
- **Comprehensive Documentation:** Create clear documentation explaining each attribute, its purpose, its possible values, and how to apply it. This serves as a critical reference for users.
- **Training and Awareness:** Provide training to relevant stakeholders on how to use and interpret the attribute system.
- **Stakeholder Buy-in:** Involve key stakeholders from different departments (e.g., IT, legal, business units) in the development process to ensure their needs are met and to foster ownership.
By focusing on these key aspects, organizations can develop a system of specific attributes that significantly enhances their ability to manage information security controls effectively and strategically.
# Methodologies Suggested by ISO 27028 for Developing and Applying Attributes
ISO 27028 provides structured guidance for organizations to develop and apply attributes to information security controls, building on the concepts introduced in ISO/IEC 27002:2022. The methodologies recommended include:
1. Event-Consequence Scenario Method
• Event-consequence scenarios are central to ISO 27028s approach. Organizations are encouraged to analyze potential security events and their consequences to identify which attributes are most relevant for their controls.
• This scenario-based method helps in customizing attributes and their values to reflect the organizations unique operational context and risk profile.
2. Customization and Extension of Attributes
• Organizations may modify, extend, or disregard the default attributes provided in ISO/IEC 27002.
• ISO 27028 suggests a methodology for developing customized attributes, such as:
• Defining new attributes based on organizational needs (e.g., department, asset type, maturity level, priority, implementation status).
• Assigning attribute values that are meaningful for the organizations structure and risk management processes.
3. Attribute-Based Control Selection and Gap Analysis
• Attributes can be used to classify, select, or design information security controls for various management and business purposes.
• The methodology includes:
• Using attributes to filter and select controls that align with specific security objectives (e.g., confidentiality, integrity, availability).
• Applying attributes to identify gaps in the risk treatment plan and assess resilience against control failures.
4. Iterative Review and Improvement
• The process of developing and applying attributes is iterative. Organizations are advised to periodically review and refine attributes and their values based on lessons learned from incidents and changes in the operational environment.
In summary:
ISO 27028 emphasizes a practical, scenario-driven approach (event-consequence analysis), supports the customization of attributes, and encourages using attributes for control selection and ongoing risk management. This methodology is designed to help organizations tailor their security framework to their specific needs and enhance resilience.
## Using an Event-Consequence Scenario Method
### Overview
The **Event-Consequence Scenario Method** is a structured approach recommended by ISO 27028 for developing and applying attributes to information security controls. It guides organizations to analyze potential security events and their consequences, then use this analysis to tailor attributes that best reflect their operational context and risk profile. This method is particularly relevant for implementing and customizing controls from ISO/IEC 27002:2022[1][2].
#### Key Steps in the Method
- **Identify plausible security events:** Consider a range of possible incidents, from common to rare, that could impact the organization.
- **Analyze consequences:** Assess the potential impact of each event on information assets, operations, and compliance.
- **Map controls to scenarios:** Link specific ISO 27002 controls to the identified scenarios, evaluating how attributes (such as control type, security property, or operational capability) align with the organization's needs.
- **Customize attributes:** Adjust or create new attributes based on the findings to improve control selection, risk treatment, and resilience[1][2].
### Examples Relevant to ISO 27002
Below are practical examples illustrating how the Event-Consequence Scenario Method can be applied to ISO 27002 controls:
#### Example 1: Ransomware Attack Scenario
- **Event:** Employee opens a phishing email, triggering ransomware.
- **Consequence:** Critical business files are encrypted, leading to downtime, data loss, and possible ransom demands.
- **Relevant ISO 27002 Controls:**
- **Control 5.30 ICT Readiness for Business Continuity:** Ensures backup and recovery plans are in place to restore data and operations.
- **Control 8.7 Protection Against Malware:** Focuses on deploying anti-malware solutions and user awareness training.
- **Attribute Application:** Controls are tagged with attributes like *confidentiality*, *availability*, *operational capability: recovery*, and *control type: preventive/detective* to ensure comprehensive coverage for ransomware scenarios[3][4].
#### Example 2: Physical Intrusion Scenario
- **Event:** Unauthorized individual gains access to a secure server room.
- **Consequence:** Potential theft, tampering, or destruction of critical IT infrastructure.
- **Relevant ISO 27002 Controls:**
- **Control 7.4 Physical Security Monitoring:** Involves surveillance, alarms, and access controls.
- **Attribute Application:** Controls are assigned attributes such as *security domain: physical*, *control type: preventive*, and *information security property: integrity/availability* to address physical threats[4].
#### Example 3: Data Breach Due to Weak Passwords
- **Event:** Attacker exploits weak passwords to access sensitive customer data.
- **Consequence:** Loss of confidentiality, regulatory fines, and reputational damage.
- **Relevant ISO 27002 Controls:**
- **Control 8.2 Privileged Access Rights:** Ensures strong authentication for sensitive accounts.
- **Control 8.3 User Registration and De-registration:** Manages user access lifecycle.
- **Attribute Application:** Controls are mapped with attributes like *confidentiality*, *control type: preventive*, and *cybersecurity concept: access control* to strengthen defenses against this scenario[1][2].
### Practical Benefits
- **Gap Analysis:** By mapping controls and attributes to specific scenarios, organizations can more easily identify coverage gaps in their risk treatment plans.
- **Customization:** Attributes can be tailored to reflect unique operational needs, such as department, asset type, or implementation status.
- **Resilience Assessment:** The method helps organizations test their resilience to control failures by simulating real-world events and consequences[1][2].
This scenario-driven approach grounds the selection and customization of controls in realistic threats, making the information security framework more robust and relevant to the organization's actual risk landscape.
Sources
[1] Alireza Ghahrood - Guidance on ISO/IEC 27002 Attributes - LinkedIn https://www.linkedin.com/posts/alirezaghahrood_iso-27028-guidance-on-isoiec-27002-attributes-activity-7302656222434877441-X94G
[2] [PDF] Control attributes - ISO 27001 Security https://www.iso27001security.com/SecAware_white_paper_on_security_control_attributes_v2_1_.pdf
[3] The two approaches for information security risk identification ... https://rigcert.education/resources/the-approaches-for-information-security-risk-identification-according-to-iso-27005
[4] ISO 27002 Essentials: A Comprehensive Overview - NordLayer https://nordlayer.com/learn/iso/iso-27002/
[5] ISO 27001 Learning From Information Security Incidents: Annex A 5.27 https://hightable.io/iso-27001-annex-a-5-27-learning-from-information-security-incidents/
[6] ISO/IEC TS 27028 Control attributes https://www.iso27001security.com/html/27028.html
[7] #iso27001 #isms #iso27002 | Dipen Das, CISM, CISSP, CRISC https://www.linkedin.com/posts/dipendas1979_iso27001-isms-iso27002-activity-7300514829008613376-Vrs6
[8] ISO 27002:2022 Control 6.8 Information Security Event Reporting https://www.isms.online/iso-27002/control-6-8-information-security-event-reporting/
[9] ISO 27001 Attributes Explained Simply - High Table https://hightable.io/iso-27001-attributes-the-ultimate-guide/
[10] Guidance on ISO/IEC 27002 attributes https://www.iso.org/obp/ui/en/
[11] [PDF] Control attributes - ISO 27001 Security https://www.iso27001security.com/ISO27k_ISMS_6.1_guideline_on_security_control_attributes_2022.pdf
[12] ISO 27002:2022 Control 8.25 Secure Development Life Cycle https://www.isms.online/iso-27002/control-8-25-secure-development-life-cycle/
[13] [PDF] sc27 committee document 11: 2024 (1) - Introduction https://committee.iso.org/files/live/sites/jtc1sc27/files/resources/SC27%20COMMITTEE%20DOCUMENT%2011.pdf
[14] ISO 27002:2022, Security Controls. Complete Overview - ISMS.online https://www.isms.online/iso-27002/
[15] [PDF] Untitled http://clean-ecology.com/Upload/files/39431062656.pdf
[16] XM The ISO 27000 Family of Standards 230516 | PDF - Scribd https://www.scribd.com/document/698051303/Xm-the-ISO-27000-Family-of-Standards-230516
[17] ISO27002:2022 explained Technological controls - ICT Institute https://ictinstitute.nl/iso270022022-explained-technological-controls/
[18] ISO/IEC 27005 risk management https://www.iso27001security.com/html/27005.html
[19] ISO/IEC 27002:2022(en), Information security, cybersecurity and ... https://www.iso.org/obp/ui/es/
[20] ISO/IEC DIS 27028 https://www.iso.org/standard/61007.html
# Developing a taxonomy of Organization-Specific Attributes
Developing your taxonomy is a multi-step process that involves gathering information, brainstorming, refining, and validating. The goal is to create a set of labels (attributes) that allow you to slice, dice, and view your security controls from multiple, meaningful perspectives.
### **Step 1: Gather Foundational Inputs**
Before you can define custom attributes, you must understand the landscape they need to describe. This involves collecting and analyzing key organizational documents. Think of this as gathering your raw materials.
- **Risk Register:** This is your most important input. It tells you what youre trying to protect against. Your attributes should help you select controls that directly mitigate your top risks.
- **Asset Inventory:** You need to know what you're protecting. A good inventory will classify assets by type (e.g., servers, laptops, cloud services) and criticality.
- **Business Process Maps:** How does the organization create value? Understanding critical processes (like payment processing or patient data management) helps you link controls directly to business operations.
- **Compliance Requirements:** Create a master list of all legal, regulatory, and contractual obligations (e.g., GDPR, PCI DSS, HIPAA, client contracts). Your attributes must be able to flag controls needed for compliance.
- **Stakeholder Analysis:** Identify the people involved with controls: **owners** (accountable for the risk), **implementers** (responsible for building/configuring the control), and **assessors** (who monitor effectiveness).
### **Step 2: Start with the Standard, then Customize**
Don't reinvent the wheel entirely. ISO/IEC 27002:2022 provides five default attributes that offer a great starting point. Understand them first, then build upon them.
- **ISO 27002 Default Attributes:**
- **Control types:** (e.g., #preventive, #detective, #corrective) - _When_ the control acts in relation to a security incident.
- **Information security properties:** (e.g., #confidentiality, #integrity, #availability) - _What_characteristic of information the control protects.
- **Cybersecurity concepts:** (e.g., #identify, #protect, #detect, #respond, #recover) - _How_ the control maps to cybersecurity incident management capabilities.
- **Operational capabilities:** (e.g., #governance, #asset_management) - _Which_ practical security function the control belongs to.
- **Security domains:** (e.g., #governance_and_ecosystem, #protection, #defence, #resilience) - A high-level categorization of the control's purpose.
Now, based on your Step 1 inputs, brainstorm **organization-specific attributes** that add the context your organization needs.
- **Brainstorming Categories:**
- **Business Context:** To link controls to operations.
- _Examples:_ `Business Unit` (e.g., Finance, HR, R&D), `Applicable Business Process` (e.g., Payroll, Client Onboarding), `Strategic Objective Supported`.
- **Asset & Data Context:** To link controls to what they protect.
- _Examples:_ `Asset Type` (e.g., Cloud Database, User Endpoint, OT Sensor), `Data Classification`(e.g., Public, Internal, Confidential).
- **Compliance Context:** To streamline audits and reporting.
- _Examples:_ `Applicable Regulation` (e.g., GDPR, CCPA, SOX), `Audit Target` (e.g., Internal Audit Q3, External Pen Test).
- **Responsibility Context:** To clarify ownership. 🤝
- _Examples:_ `Control Owner` (e.g., Director of IT, Head of HR), `Implementation Team` (e.g., Network Ops, Cloud Engineering).
- **Implementation Context:** To manage the control lifecycle.
- _Examples:_ `Implementation Status` (e.g., Implemented, Planned, Not Started), `Automation Level`(e.g., Manual, Automated, Hybrid).
### **Step 3: Define a Controlled Vocabulary**
For each attribute, you must define a specific, limited set of possible values. This is crucial for consistency and reporting. Free-text fields are the enemy of a clean taxonomy.
This is the difference between:
- **Bad (Free Text):** `Applicable Regulation` = "That EU privacy law"
- **Good (Controlled Vocabulary):** `Applicable Regulation` = `GDPR`
**Example Attribute & Value Set:**
|Attribute|Controlled Values|Description|
|---|---|---|
|**Data Classification**|`Public`, `Internal`, `Confidential`, `Restricted`|The sensitivity level of data the control protects.|
|**Implementation Status**|`Planned`, `In Progress`, `Implemented`, `Retired`|The current lifecycle stage of the control.|
|**Automation Level**|`Manual`, `Hybrid`, `Fully Automated`|The degree to which the control operates without human intervention.|
### **Step 4: Review, Refine, and Validate**
Assemble a working group of the stakeholders you identified in Step 1 (IT, security, legal, business representatives). Present your draft taxonomy and ask critical questions:
- **Is it useful?** Will this attribute help us make better risk decisions or select controls more easily?
- **Is it clear?** Is the meaning of the attribute and its values unambiguous?
- **Is it sustainable?** Can we realistically and consistently apply these attributes to our controls?
- **Is it lean?** Are there redundant attributes? Can we combine any? Avoid "analysis paralysis" by keeping the taxonomy as simple as possible while still being effective.
The output of this step is a validated and agreed-upon taxonomy, ready for documentation.
---
By following these steps, you create a rich, multi-faceted taxonomy. This allows anyone in the organization—from a CISO wanting a high-level view of risk mitigation to an engineer selecting controls for a new system—to filter and understand security controls through a lens that is directly relevant to their role and responsibilities.

85
Corpus/Standards/ISO27x/ISO 27034 MoC.md Normal file
View file

@ -0,0 +1,85 @@
---
tags:
- iso27034
- type/MoC
---
# ISO 27034 Application security
[Overview by SecAware](https://www.iso27001security.com/html/27034.html)
## Overview generated by Gemini
These ISO/IEC standards establish comprehensive frameworks for **application security**, aiming to ensure software is built and maintained securely throughout its lifecycle. **ISO/IEC 27034-1** introduces core concepts like the **Organization Normative Framework (ONF)**, a central repository for reusable security elements, and **Application Security Controls (ASCs)**, which detail security activities and their verification. **ISO/IEC 27034-2** provides the **organizational framework** for managing the ONF, detailing its components such as business, regulatory, and technological contexts, along with processes like risk analysis and verification. **ISO/IEC 27034-3** outlines the **Application Security Management Process (ASMP)**, guiding organizations in integrating security into each application's lifecycle, from specifying requirements to auditing. Finally, **ISO/IEC 27034-6** offers **case studies and examples**, illustrating the practical application of ASCs and the **Application Security Life Cycle Reference Model (ASLCRM)**, while **ISO/IEC 27034-7** introduces the concept of **Prediction Application Security Rationales (PASRs)** for assessing the security of subsequent application versions without full re-verification.
The ISO/IEC 27034 series provides a comprehensive framework to **integrate security seamlessly throughout the life cycle of applications**. It is designed to assist organizations in protecting their information at the application level and applies to applications developed in-house, acquired from third parties, or outsourced. Importantly, it is applicable to organizations of all sizes and types, including commercial enterprises and government agencies. It is not a software application development standard, a project management standard, or a software development life cycle standard itself, but rather integrates with existing processes.
The purpose of ISO/IEC 27034 is to help organizations:
 Establish **security requirements** and **assess security risks**.
 Assign a **Targeted Level of Trust** to applications and select corresponding security controls and verification measures.
 Demonstrate that their applications can be used securely under a defined environment.
 Support the general concepts of ISO/IEC 27001 (Information security management systems) and implement security controls from ISO/IEC 27002 (Code of practice for information security management).
• **Minimize resistance to changes** brought by new application security elements.
• **Standardize application security elements** for uniform implementation and verification.
 Achieve an appropriate level of security in a **cost-effective manner**, for example, through reusing existing approved application security elements.
**Overview of the 27034 Framework**
The ISO/IEC 27034 framework is built around two main overarching processes:
1. **Organization Normative Framework (ONF) Management Process**: This is a **continuous, organizational-level process** responsible for managing the application security aspects of the ONF. It defines and maintains the organization's contexts for application security and serves as a central reference.
2. **Application Security Management Process (ASMP)**: This process is used for **managing security on specific application projects**. It is a specialization of the risk management process found in ISO/IEC 27005. The ASMP helps a project team apply relevant portions of the ONF to a specific application project and formally record evidence of the outcomes in an Application Normative Framework (ANF).
**Key Components and Concepts**
To implement these processes, ISO/IEC 27034 introduces several core components:
• **Organization Normative Framework (ONF)**: The **most important component** of ISO/IEC 27034, the ONF is an **organization-wide framework** that stores all application security best practices recognized by the organization. It acts as the foundation for application security, guiding all future security decisions. Key elements of the ONF include:
    ◦ **Business context component**: Identifies security risks and requirements from the organizations business activities and adopted standards.
    ◦ **Regulatory context component**: Identifies security risks from applicable laws and regulations in the countries or jurisdictions where the application is developed, deployed, or used.
    ◦ **Technological context component**: Identifies security risks from the organizations IT components and best practices for their use.
    ◦ **Application specifications repository**: Documents general IT functional requirements and pre-approved solutions to determine and mitigate risks from application specifications.
    ◦ **Roles, responsibilities and qualifications repository**: Lists all roles, responsibilities, and required qualifications for actors involved with the organizations applications and ONF.
    ◦ **Organization Application Security Control (ASC) Library**: The **repository of all ASCs available in the organization**. ASCs are associated with one or many levels of trust.
    ◦ **Application Security Life Cycle Reference Model (ASLCRM)**: A reference model that helps to uniformly identify and communicate _when_ in the application life cycle and _by whom_ ASCs should be implemented. It is divided into Provisioning (Preparation, Realization, Transition) and Operation (Utilization and maintenance, Archival, Destruction) stages, and vertically into layers like Application management, Application provisioning and operation, Infrastructure management, and Application audit.
• **Application Security Control (ASC)**: A **central concept** in ISO/IEC 27034, an ASC is a data structure that precisely describes a **security activity** and its associated **verification measurement** to be performed at a specific point in an application's life cycle. It formalizes security activities and ensures supporting evidence is collected for verification.
• **Application Normative Framework (ANF)**: A **subset or refinement of the ONF** that contains only the detailed, relevant information required for a **specific application project** to achieve its Targeted Level of Trust. Its security requirements are derived from the application's risk assessment.
• **Levels of Trust (LoT)**: A label identifying a set of applicable ASCs from the Organization ASC Library.
    ◦ **Targeted Level of Trust (TLOT)**: The set of ASCs deemed necessary by the application owner to lower the risk associated with a specific application to an acceptable level. This becomes the goal for the application project team.
    ◦ **Actual Level of Trust (ALOT)**: The maximum confidence level demonstrated by the verification team based on the verification measurements of all the applications ASCs. An application is considered **"secure"** when its Actual Level of Trust is equal to or greater than its Targeted Level of Trust.
**Implementation in a Small Software Development Company**
For a small software development company, implementing ISO/IEC 27034 can be approached effectively by leveraging its inherent flexibility and iterative nature:
• **Integration with Existing Processes**: The processes and frameworks of ISO/IEC 27034 are designed to be **integrated into an organization's existing processes**, rather than implemented in isolation. This means your company can map its current software development lifecycle and practices to the ISO/IEC 27034 framework, reducing the impact of adopting new standards.
• **Iterative Implementation**: The ONF Management Process should be performed **iteratively**, allowing you to implement the ONF incrementally. This approach helps to **reduce initial impact** and achieve quicker gains by prioritizing the elements that are most urgently needed for your company. You can start with a baseline level of security and expand as your needs and resources grow.
• **Focus on Core Components**: For a small company, it might be beneficial to initially focus on formalizing the most critical ONF components, such as the **business, regulatory, and technological contexts**, and developing a foundational **ASC Library** relevant to your primary applications.
• **Defined Roles and Responsibilities**: While RACI charts are mentioned, the standard emphasizes that organizations should align guidance with their own methods for clarifying roles and responsibilities. This allows for flexibility in how a small team defines who is "responsible," "accountable," "consulted," and "informed" for application security activities.
• **Cost-Effectiveness and Reuse**: A key purpose of the ONF is to enable an appropriate level of security in a **cost-effective manner**, for instance, by **reusing existing approved application security elements**. This is a significant advantage for a small company where resource optimization is crucial. Once ASCs are defined, they can be reused across multiple projects.
• **Leveraging Automation and Tools**: The standard encourages the use of approved tools to take advantage of new security analysis functionality. Automation can increase consistency in defining and enforcing security requirements and Targeted Levels of Trust across applications. This can be particularly beneficial for a small team, enabling them to achieve more with fewer manual efforts.
• **Targeted Level of Trust for Each Application**: By defining a **Targeted Level of Trust** for each application based on a risk assessment, your company can ensure that the investment in security is appropriate for the value and risks associated with that specific application.
• **Guidance for Acquisition/Outsourcing**: If your company acquires software or outsources development, ISO/IEC 27034 provides guidelines for communicating requirements and verifying evidence of security controls from third parties.
By systematically implementing the framework, even in a simplified and iterative manner, your small software development company can gain demonstrable evidence that its applications are adequately protected, align with industry best practices, and improve its overall application security posture.

3
Corpus/Standards/ISO27x/ISO 27034-5.md Normal file
View file

@ -0,0 +1,3 @@
# ISO 27034-5 Protocols and application security control data structure
![](NEN-ISO-IEC%2027034-5-2017%20en.pdf)

5
Corpus/Standards/ISO27x/ISO 27701.md Normal file
View file

@ -0,0 +1,5 @@
# ISO 27701 Privacy information management Requirements and guidelines
![](ISO_IEC_27701_2019_EN.pdf)

78
Corpus/Standards/ISO27x/ISO Certification Structure and Process.md Normal file
View file

@ -0,0 +1,78 @@
# ISO Certification: Structure and Process
**ISO (International Organization for Standardization) does not itself certify organizations or offer certification services.** Instead, a structured, multi-level system involving independent third parties is used to ensure that organizations can be recognized as “ISO-certified” for implementing ISO standards[^4][^6].
### **Key Elements of the ISO Certification Construction**
- **ISO Develops Standards, Not Certification**
- ISOs role is to develop international standards (such as ISO 9001 for quality management), but it does not perform certification or issue certificates[^4][^6].
- The ISO logo cannot be used to indicate certification, and ISO does not authorize anyone to use its logo for this purpose[^4].
- **Certification Bodies**
- Certification is performed by independent organizations known as *certification bodies* (sometimes called registrars)[^2][^3][^6].
- These bodies are responsible for auditing organizations to assess whether their management systems, products, or services comply with specific ISO standards[^2][^3].
- If the organization meets the requirements, the certification body issues a certificate confirming compliance[^2][^3].
- **Accreditation Bodies**
- To ensure certification bodies themselves operate competently and impartially, they are accredited by *accreditation bodies*—usually one per country[^5][^6].
- Accreditation bodies evaluate and formally recognize certification bodies according to international standards, most notably ISO/IEC 17021 for management system certification[^5][^6].
- Accreditation provides assurance that the certification process is credible and internationally recognized[^5][^6].
- **International Oversight**
- International organizations such as the International Accreditation Forum (IAF) and the International Laboratory Accreditation Cooperation (ILAC) oversee and harmonize the activities of accreditation bodies to ensure global consistency and mutual recognition of certificates[^4][^5][^6].
### **Certification Process Overview**
The typical steps for an organization to become ISO-certified are:
1. **Develop and Implement the Management System**
- The organization designs and implements a management system that meets the chosen ISO standards requirements[^1][^3][^7].
2. **Internal Audit and Review**
- The organization conducts internal audits and management reviews to ensure compliance and effectiveness[^3][^7].
3. **Select an Accredited Certification Body**
- The organization chooses an independent, accredited certification body to conduct the external audit[^3][^4].
4. **External Audit**
- The certification body performs a thorough audit (often in two stages) to verify compliance with the ISO standard[^2][^3].
5. **Certification Decision**
- If the audit is successful, the certification body issues an ISO certificate, typically valid for three years, subject to periodic surveillance audits[^2][^3].
### **Summary Table: ISO Certification Structure**
| Role | Function |
| :---------------------- | :------------------------------------------------------------------------------- |
| ISO | Develops standards; does not certify organizations |
| Certification Body | Audits organizations and issues certificates if compliant |
| Accreditation Body | Accredits certification bodies to ensure competence and impartiality |
| International Oversight | IAF/ILAC harmonize accreditation globally for mutual recognition of certificates |
### **Key Points**
- ISO does not certify organizations; certification is performed by independent, accredited certification bodies[^4][^6].
- Certification bodies are themselves accredited by national or regional accreditation bodies, ensuring their competence and impartiality[^5][^6].
- Accreditation bodies operate under international oversight to maintain global consistency[^4][^5][^6].
- The ISO recognizes the system of certification and accreditation but does not issue certificates itself[^4][^6].
This system ensures that ISO certification is credible, impartial, and internationally recognized, even though ISO itself is not directly involved in certifying organizations.
---
[^1]: https://www.indeed.com/career-advice/career-development/what-is-iso-certifications
[^2]: https://www.iso-certification-qatar.com/iso-9001-certification-body.html
[^3]: https://www.9001simplified.com/learn/iso-9001-certification-steps.php
[^4]: https://www.iso.org/certification.html
[^5]: https://certiget.eu/en/guides/guide-iso-17021-accreditation-bodies
[^6]: https://info.degrandson.com/blog/accreditation-certification
[^7]: https://iso-specialist.com/iso-certification-explained/
[^8]: https://bizmasterz.com/what-role-of-certification-body/
[^9]: https://www.dnv.com/assurance/articles/iso-accreditation-vs-iso-certification/
[^10]: https://business.gov.nl/products-services-and-innovation/orders-and-tenders/iso-and-nen-certification-for-your-business/
[^11]: https://www.kiwa.com/en/service2/certification/iso-9001-quality-management-systems-certification/
[^12]: https://www.qmsuk.com/iso-by-industry/construction
[^13]: https://www.siscertifications.com/construction/
[^14]: https://www.linkedin.com/pulse/how-iso-certification-work-atul-kumar-jvg9c
[^15]: https://www.bdc.ca/en/articles-tools/operations/iso-other-certifications/iso-certificate-process
[^16]: https://www.iso-9001-checklist.co.uk/what-are-the-steps-for-iso-certification.htm
[^17]: http://www.b-advancy.com/blog/how-to-achieve-iso-certification-in-the-construction-industry
[^18]: https://secureframe.com/hub/iso-27001/certification-process
[^19]: https://www.irqs.co.in/iso-certification-for-construction-key-standards-and-compliance-requirements/

BIN
Corpus/Standards/ISO27x/ISO IEC 27003-2017 ISMS Guidance.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/ISO IEC 27004-2016 Monitoring and measuring.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/ISO IEC 27005-2022 Guidance on managing risks.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/ISO-27002-2022-Controls-categorized.pdf Normal file
View file

Binary file not shown.

28
Corpus/Standards/ISO27x/ISO31000-5.4.1-Understanding-the-organization-and-its-context.md Normal file
View file

@ -0,0 +1,28 @@
#iso31000/2018
### 5.4.1   Understanding the organization and its context
From ISO 31000:2018
When designing the framework for managing risk, the organization should examine and understand its external and internal context.
Examining the organizations **external context** may include, but is not limited to:
- the social, cultural, political, legal, regulatory, financial, technological, economic and environmental factors, whether international, national, regional or local;
- key drivers and trends affecting the objectives of the organization;
- external stakeholders relationships, perceptions, values, needs and expectations;
- contractual relationships and commitments;
- the complexity of networks and dependencies.
Examining the organizations **internal context** may include, but is not limited to:
- vision, mission and values;
- governance, organizational structure, roles and accountabilities;
- strategy, objectives and policies;
- the organizations culture;
- standards, guidelines and models adopted by the organization;
- capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, intellectual property, processes, systems and technologies);
- data, information systems and information flows;
- relationships with internal stakeholders, taking into account their perceptions and values;
- contractual relationships and commitments;
- interdependencies and interconnections.

29070
Corpus/Standards/ISO27x/ISO_22317_Guidelines for business impact analysis.pdf Normal file
View file

File diff suppressed because one or more lines are too long

44
Corpus/Standards/ISO27x/ISO_27002_2022_What's_New.md Normal file
View file

@ -0,0 +1,44 @@
#iso27002/2022/EN
Source:[ Wentz Wu](https://wentzwu.com/2022/02/16/iso-iec-270022022-controls/)
Publishing date February 16, 2022
Retrieved February 17, 2022
ISO 27001:2013 had 114 controls in Annex A, ISO/IEC 27002:2022 introduces 93 controls.
https://ictinstitute.nl/iso270022022-what-is-new/
See also [[ICT Institute's ISO 27002 2022 in plain English]]
Wentz Wu has created a 'control taxonomy' in [](ISO-27002-2022-Controls-categorized.pdf):
- Control type: Preventive, Detective, and Corrective.
- Information security properties: Confidentiality, Integrity and Availability.
- Cybersecurity concepts: Identify, Protect, Detect, Respond and Recover.
- Security domains: Governance_and_Ecosystem, Protection, Defence and Resilience
- Operational capabilities: see below.
Operational capabilities:
1. Governance
2. Asset_management
3. Information_protection
4. Human_resource_security
5. Physical_security
6. System_and_network_security
7. Application_security
8. Secure_configuration
9. Identity_and_access_management
10. Threat_and_vulnerability_management
11. Continuity
12. Supplier_relationships_security
13. Legal_and_compliance
14. Information_security_event_management
15. **Information_security_assurance**
The norm categorizes the controls in 4 sections:
- people controls (i.e. individuals)
- physical controls
- technological controls
- organizational controls
![](ISO_IEC-27002_2022-Controls_I.jpg)
![](ISO_IEC-27002_2022-Controls_II.jpg)

BIN
Corpus/Standards/ISO27x/ISO_IEC-27002_2022-Controls_I.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 307 KiB

BIN
Corpus/Standards/ISO27x/ISO_IEC-27002_2022-Controls_II.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 309 KiB

BIN
Corpus/Standards/ISO27x/ISO_IEC_27000_2018_EN_Vocabulary.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/ISO_IEC_27701_2019_EN.pdf Normal file
View file

Binary file not shown.

19
Corpus/Standards/ISO27x/MoC Roles and responsibilities in ISO 27001.md Normal file
View file

@ -0,0 +1,19 @@
# MoC Roles and responsibilities in ISO 27001
**See**:
Recent:
- [Explicitly mentioned roles in ISO 27001](Explicitly%20mentioned%20roles%20in%20ISO%2027001.md)
- [ISO 27001 Leadership Responsibilities](ISO%2027001%20Leadership%20Responsibilities.md)
- [ISO 27001 Top Management responsibilities](ISO%2027001%20Top%20Management%20responsibilities.md)
- [Governance model for Policies and Controls](Governance%20model%20for%20Policies%20and%20Controls.md)
- [Basic ISMS governance model](../../💡Drafts%20and%20Ideas/ISMS/Basic%20ISMS%20governance%20model.md)
- [m400-more-governance](../../../../iso27DIY-gis/guide/m400/m400-more-governance.md)
Older:
- [Roles and Responsibilities](../../🎇%20Sparks/Roles%20and%20Responsibilities.md)
- [Risk ownership](../../🎇%20Sparks/Risk%20ownership.md)
- [Ideas on Risk Ownership](../../🎇%20Sparks/Ideas%20on%20Risk%20Ownership.md)
- [Asset ownership](../../🎇%20Sparks/Asset%20ownership.md)
- [Procuratieregeling](../../Various/Procuratieregeling.md)
- [Control ownership](../../🎇%20Sparks/Control%20ownership.md)

BIN
Corpus/Standards/ISO27x/NEN-EN-ISO_IEC 27018_2020 en.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/NEN-ISO-IEC 27017-2015 en.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/NEN-ISO-IEC 27034-5-2017 en.pdf Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/Normity Template Intern auditrapport.docx Normal file
View file

Binary file not shown.

BIN
Corpus/Standards/ISO27x/OST/27001/EN/ISO_27001_2022_EN.pdf Normal file
View file

Binary file not shown.

22
Corpus/Standards/ISO27x/OST/27001/EN/ISO_27001_OT F Foreword.md Normal file
View file

@ -0,0 +1,22 @@
#iso27001/2022/EN
# Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see [www.iso.org/directives] or [www.iec.ch/members_experts/refdocs]).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see [www.iso.org/patents]) or the IEC list of patent declarations received (see [https://patents.iec.ch]).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see [[www.iso.org/iso/foreword.html]](https://www.iso.org/iso/foreword.html). In the IEC, see [www.iec.ch/understanding-standards].
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, *Information Technology*, Subcommittee SC 27, *Information security, cybersecurity and privacy protection*.
This third edition cancels and replaces the second edition (ISO/IEC 27001:2013), which has been technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27001:2013/Cor 1:2014 and ISO/IEC 27001:2013/Cor 2:2015.
The main changes are as follows:
- the text has been aligned with the harmonized structure for management system standards and ISO/IEC 27002:2022.
Any feedback or questions on this document should be directed to the user's national standards body. A complete listing of these bodies can be found at [www.iso.org/members.html] and [[www.iec.ch/national-committees]](https://www.iec.ch/national-committees).

23
Corpus/Standards/ISO27x/OST/27001/EN/c-0-Introduction.md Normal file
View file

@ -0,0 +1,23 @@
#iso27001/2022/EN
# Introduction
## 0.1 General
This document has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is a strategic decision for an organization. The establishment and implementation of an organization's information security management system is influenced by the organization's needs and objectives, security requirements, the organizational processes used and the size and structure of the organization. All of these influencing factors are expected to change over time.
The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed.
It is important that the information security management system is part of and integrated with the organization's processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization.
This document can be used by internal and external parties to assess the organization\'s ability to meet the organization's own information security requirements.
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are to be implemented. The list items are enumerated for reference purpose only.
ISO/IEC 27000 describes the overview and the vocabulary of information security management systems, referencing the information security management system family of standards (including ISO/IEC 27003, ISO/IEC 27004 and ISO/IEC 27005), with related terms and definitions.
## 0.2 Compatibility with other management system standards
This document applies the high-level structure, identical sub-clause titles, identical text, common terms, and core definitions defined in Annex SL of ISO/IEC Directives, Part 1, Consolidated ISO Supplement, and therefore maintains compatibility with other management system standards that have adopted the Annex SL.
This common approach defined in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards.

7
Corpus/Standards/ISO27x/OST/27001/EN/c-1-Scope.md Normal file
View file

@ -0,0 +1,7 @@
#iso27001/2022/EN
# 1 Scope
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information
security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-10.1-Continual-improvement.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 10.1 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

29
Corpus/Standards/ISO27x/OST/27001/EN/c-10.2-Nonconformity-and-corrective-action.md Normal file
View file

@ -0,0 +1,29 @@
#iso27001/2022/EN
## 10.2 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
a\) react to the nonconformity, and as applicable:
1\) take action to control and correct it;
2\) deal with the consequences;
b\) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
1\) reviewing the nonconformity;
2\) determining the causes of the nonconformity; and
3\) determining if similar nonconformities exist, or could potentially occur;
c\) implement any action needed;
d\) review the effectiveness of any corrective action taken; and
e\) make changes to the information security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
Documented information shall be available as evidence of:
f\) the nature of the nonconformities and any subsequent actions taken,
g\) the results of any corrective action.

5
Corpus/Standards/ISO27x/OST/27001/EN/c-2-Normative-references.md Normal file
View file

@ -0,0 +1,5 @@
#iso27001/2022/EN
# 2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

8
Corpus/Standards/ISO27x/OST/27001/EN/c-3-Terms-and-definitions.md Normal file
View file

@ -0,0 +1,8 @@
#iso27001/2022/EN
# 3 Terms and definitions
For the purposes of this document, the terms and definitions given in
ISO/IEC 27000 apply.
[ISO 27000 MoC](../../../ISO%2027000%20MoC.md)

6
Corpus/Standards/ISO27x/OST/27001/EN/c-4.1-Understanding-the-organization-and-its-context.md Normal file
View file

@ -0,0 +1,6 @@
# Clause 4.1: Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in [Clause 5.4.1](../../../ISO31000-5.4.1-Understanding-the-organization-and-its-context.md) of ISO 31000:2018.

12
Corpus/Standards/ISO27x/OST/27001/EN/c-4.2-Understanding-the-needs-and-expectations-of-interested-parties.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
# 4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
a\) interested parties that are relevant to the information security management system;
b\) the relevant requirements of these interested parties;
c\) which of these requirements will be addressed through the information security management system.
NOTE The requirements of interested parties can include legal and regulatory requirements and contractual obligations.

14
Corpus/Standards/ISO27x/OST/27001/EN/c-4.3-Determining-the-scope-of-the-information-security-management-system.md Normal file
View file

@ -0,0 +1,14 @@
#iso27001/2022/EN
# 4.3 Determining the scope of the information security management system
The organization shall determine the boundaries and applicability of the information security management system to establish its scope.
When determining this scope, the organization shall consider:
a\) the external and internal issues referred to in [4.1](c-4.1-Understanding-the-organization-and-its-context.md);
b\) the requirements referred to in [4.2](../../MoCs/ISO_27001_2022_4.2_MoC%20Understanding%20the%20needs%20and%20expectations%20of%20interested%20parties.md);
c\) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.
The scope shall be available as documented information.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-4.4-Information-security-management-system.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
# 4.4 Information security management system
The organization shall establish, implement, maintain and continually improve an information security management system, including the processes needed and their interactions, in accordance with the requirements of this document.

22
Corpus/Standards/ISO27x/OST/27001/EN/c-5.1-Leadership-and-commitment.md Normal file
View file

@ -0,0 +1,22 @@
#iso27001/2022/EN
## 5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a\) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b\) ensuring the integration of the information security management system requirements into the organization's processes;
c\) ensuring that the resources needed for the information security management system are available;
d\) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e\) ensuring that the information security management system achieves its intended outcome(s);
f\) directing and supporting persons to contribute to the effectiveness of the information security management system;
g\) promoting continual improvement; and
h\) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
NOTE Reference to "business" in this document can be interpreted broadly to mean those activities that are core to the purposes of the organization's existence.

18
Corpus/Standards/ISO27x/OST/27001/EN/c-5.2-Policy.md Normal file
View file

@ -0,0 +1,18 @@
#iso27001/2022/EN
## 5.2 Policy
Top management shall establish an information security policy that:
a\) is appropriate to the purpose of the organization;
b\) includes information security objectives (see [6.2](ISO_27001_OT%206.2%20Information%20security%20objectives%20and%20planning%20to%20achieve%20them.md)) or provides the framework for setting information security objectives;
c\) includes a commitment to satisfy applicable requirements related to information security;
d\) includes a commitment to continual improvement of the information security management system. The information security policy shall:
e\) be available as documented information;
f\) be communicated within the organization;
g\) be available to interested parties, as appropriate.

12
Corpus/Standards/ISO27x/OST/27001/EN/c-5.3-Organizational-roles-responsibilities-and-authorities.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
## 5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
a\) ensuring that the information security management system conforms to the requirements of this document;
b\) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

18
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1.1-General.md Normal file
View file

@ -0,0 +1,18 @@
### 6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in [4.1](c-4.1-Understanding-the-organization-and-its-context.md) and the requirements referred to in [4.2](ISO_27001_2022_OT%204.2%20Understanding%20the%20needs%20and%20expectations%20of%20interested%20parties.md) and determine the risks and opportunities that need to be addressed to:
a\) ensure the information security management system can achieve its intended outcome(s);
b\) prevent, or reduce, undesired effects;
c\) achieve continual improvement.
The organization shall plan:
d\) actions to address these risks and opportunities; and
e\) how to
1\) integrate and implement the actions into its information security management system processes; and
2\) evaluate the effectiveness of these actions.

24
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1.2-Information-security-risk-assessment.md Normal file
View file

@ -0,0 +1,24 @@
### 6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
a\) establishes and maintains information security risk criteria that include:
1\) the risk acceptance criteria; and
2\) criteria for performing information security risk assessments;
b\) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c\) identifies the information security risks:
1\) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2\) identify the risk owners;
d\) analyses the information security risks:
1\) assess the potential consequences that would result if the risks identified in 6.1.2 c)1) were to materialize;
2\) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c)1) ; and
3\) determine the levels of risk;
e\) evaluates the information security risks:
1\) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2\) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.

29
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1.3-Information-security-risk-treatment.md Normal file
View file

@ -0,0 +1,29 @@
### 6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
a\) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
c\) compare the controls determined in 6.1.3b above with those in [Annex A] and verify that no necessary controls have been omitted;
NOTE 1 Organizations can design controls as required, or identify them from any source.
NOTE 2 [Annex A] contains a list of possible information security controls. Users of this document are directed to [Annex A] to ensure that no necessary information security controls are overlooked.
NOTE 3 The information security controls listed in [Annex A] are not exhaustive and additional information security controls can be included if needed.
d\) produce a Statement of Applicability that contains:
- the necessary controls (see 6.1.3 b) and c);
- justification for their inclusion;
- whether the necessary controls are implemented or not; and
- the justification for excluding any of the [Annex A] controls.
e\) formulate an information security risk treatment plan; and
f\) obtain risk owners' approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.

34
Corpus/Standards/ISO27x/OST/27001/EN/c-6.2-Information-security-objectives-and-planning-to-achieve-them.md Normal file
View file

@ -0,0 +1,34 @@
#iso27001/2022/EN
## 6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels.
The information security objectives shall:
a\) be consistent with the information security policy;
b\) be measurable (if practicable);
c\) take into account applicable information security requirements, and results from risk assessment and risk treatment;
d\) be monitored;
e\) be communicated;
f\) be updated as appropriate;
g\) be available as documented information.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
h\) what will be done;
i\) what resources will be required;
j\) who will be responsible;
k\) when it will be completed; and
l\) how the results will be evaluated.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-6.3-Planning-of-changes.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 6.3 Planning of changes
When the organization determines the need for changes to the information security management system, the changes shall be carried out in a planned manner.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-7.1-Resources.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.

15
Corpus/Standards/ISO27x/OST/27001/EN/c-7.2-Competence.md Normal file
View file

@ -0,0 +1,15 @@
#iso27001/2022/EN
## 7.2 Competence
The organization shall:
a\) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
b\) ensure that these persons are competent on the basis of appropriate education, training, or experience;
c\) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
d\) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the re-assignment of current employees; or the hiring or contracting of competent persons.

11
Corpus/Standards/ISO27x/OST/27001/EN/c-7.3-Awareness.md Normal file
View file

@ -0,0 +1,11 @@
#iso27001/2022/EN
## 7.3 Awareness
Persons doing work under the organization's control shall be aware of:
a\) the information security policy;
b\) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c\) the implications of not conforming with the information security management system requirements.

13
Corpus/Standards/ISO27x/OST/27001/EN/c-7.4-Communication.md Normal file
View file

@ -0,0 +1,13 @@
#iso27001/2022/EN
## 7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
a\) on what to communicate;
b\) when to communicate;
c\) with whom to communicate;
d\) how to communicate.

47
Corpus/Standards/ISO27x/OST/27001/EN/c-7.5-Documented-information.md Normal file
View file

@ -0,0 +1,47 @@
#iso27001/2022/EN
## 7.5 Documented information
### 7.5.1 General
The organization's information security management system shall include:
a\) documented information required by this document; and
b\) documented information determined by the organization as being necessary for the effectiveness of the information security management system.
NOTE The extent of documented information for an information security management system can differ from one organization to another due to:
1\) the size of organization and its type of activities, processes, products and services;
2\) the complexity of processes and their interactions; and
3\) the competence of persons.
### 7.5.2 Creating and updating
When creating and updating documented information the organization shall ensure appropriate:
a\) identification and description (e.g. a title, date, author, or reference number);
b\) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c\) review and approval for suitability and adequacy.
### 7.5.3 Control of documented information
Documented information required by the information security management system and by this document shall be controlled to ensure:
a\) it is available and suitable for use, where and when it is needed; and
b\) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as applicable:
c\) distribution, access, retrieval and use;
d\) storage and preservation, including the preservation of legibility;
e\) control of changes (e.g. version control); and
f\) retention and disposition.
Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.
NOTE Access can imply a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.

12
Corpus/Standards/ISO27x/OST/27001/EN/c-8.1-Operational-planning-and-control.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
## 8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet requirements, and to implement the actions determined in Clause 6, by:
- establishing criteria for the processes;
- implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.

6
Corpus/Standards/ISO27x/OST/27001/EN/c-8.2-Information-security-risk-assessment.md Normal file
View file

@ -0,0 +1,6 @@
#iso27001/2022/EN
# Clause 8.2: Information security risk assessment
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in [6.1.2a](ISO_27001_OT%206.1.2%20Information%20security%20risk%20assessment.md).
The organization shall retain documented information of the results of the information security risk assessments.

9
Corpus/Standards/ISO27x/OST/27001/EN/c-8.3-Information-security-risk-treatment.md Normal file
View file

@ -0,0 +1,9 @@
---
tags:
- iso27001/2022/EN
---
# Clause 8.3 Information security risk treatment
The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

20
Corpus/Standards/ISO27x/OST/27001/EN/c-9.1-Monitoring-measurement-analysis-and-evaluation.md Normal file
View file

@ -0,0 +1,20 @@
#iso27001/2022/EN
## 9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
a\) what needs to be monitored and measured, including information security processes and controls;
b\) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
c\) when the monitoring and measuring shall be performed;
d\) who shall monitor and measure;
e\) when the results from monitoring and measurement shall be analysed and evaluated;
f\) who shall analyse and evaluate these results.
Documented information shall be available as evidence of the results.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.

28
Corpus/Standards/ISO27x/OST/27001/EN/c-9.2-Internal-audit.md Normal file
View file

@ -0,0 +1,28 @@
#iso27001/2022/EN
## 9.2 Internal audit
### 9.2.1 General
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a\) conforms to
1\) the organization's own requirements for its information security management system;
2\) the requirements of this document;
b\) is effectively implemented and maintained.
### 9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
a\) define the audit criteria and scope for each audit;
b\) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
c\) ensure that the results of the audits are reported to relevant management;
Documented information shall be available as evidence of the implementation of the audit programme(s) and the audit results.

34
Corpus/Standards/ISO27x/OST/27001/EN/c-9.3-Management-review.md Normal file
View file

@ -0,0 +1,34 @@
#iso27001/2022/EN
## 9.3 Management review
### 9.3.1 General
Top management shall review the organization\'s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
### 9.3.2 Management review inputs
The management review shall include consideration of:
a\) the status of actions from previous management reviews;
b\) changes in external and internal issues that are relevant to the information security management system;
c\) changes in needs and expectations of interested parties that are relevant to the information security management system;
d\) feedback on the information security performance, including trends in:
1\) nonconformities and corrective actions;
2\) monitoring and measurement results;
3\) audit results;
4\) fulfilment of information security objectives;
e\) feedback from interested parties;
f\) results of risk assessment and status of risk treatment plan;
g\) opportunities for continual improvement.
### 9.3.3 Management review results
The results of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
Documented information shall be available as evidence of the results of management reviews.

90
Corpus/Standards/ISO27x/OST/27001/EN/rename-iso-title.zsh Executable file
View file

@ -0,0 +1,90 @@
#!/usr/bin/env zsh
set -euo pipefail
execute=false
if [[ ${1:-} == '--execute' ]]; then
execute=true
shift
fi
if [[ $# -gt 0 ]]; then
print -u2 'Usage: rename-iso-title.zsh [--execute]'
exit 2
fi
# Requires Obsidian app running and CLI enabled.
: ${OBSIDIAN_CLI:=obsidian}
files=(c-[0-9]*\.md(N))
if (( ${#files} == 0 )); then
print 'No matching files found.'
exit 0
fi
for src in "$files[@]"; do
base=${src:t}
# Read the level 1 header from the file
# Format: # <number> <title>
# Extract everything after the first number and space
header=$(head -n 1 "$src" | sed 's/^# [0-9.]* //')
if [[ -z "$header" ]]; then
print -u2 "WARN skipped (no header found): $src"
continue
fi
# Clean up the title
title=$header
# Replace spaces with dashes
title=${title// /-}
# Remove commas, slashes, parentheses, quotes
title=${title//,/}
title=${title//\//}
title=${title//\\/}
title=${title//\(}
title=${title//\)}
title=${title//\'}
title=${title//\'}
# Replace diacritics with base characters
title=${title//ï/i}
title=${title//é/e}
title=${title//è/e}
title=${title//ê/e}
title=${title//ë/e}
title=${title//ö/o}
title=${title//ü/u}
title=${title//ó/o}
title=${title//ô/o}
title=${title//á/a}
title=${title//à/a}
title=${title//ã/a}
title=${title//ä/a}
title=${title//í/i}
title=${title//ì/i}
title=${title//ñ/n}
title=${title//ú/u}
title=${title//ù/u}
# Remove multiple dashes
title=${title//---/-}
title=${title//--/-}
# Remove leading/trailing dashes
title=${title#-}
title=${title%-}
# Build new filename: c-n.n-TITLE.md
ext="${src:r}.md" # extension without the extra .md issue
filename="${src%.*}"
target="${filename}-${title}.md"
if [[ $src == $target ]]; then
print "SKIP $src"
continue
fi
print "SRC $src"
print "DEST $target"
if $execute; then
"$OBSIDIAN_CLI" rename file="$src" name="$target"
fi
done

50
Corpus/Standards/ISO27x/OST/27001/EN/rename-iso.zsh Executable file
View file

@ -0,0 +1,50 @@
#!/usr/bin/env zsh
set -euo pipefail
execute=false
if [[ ${1:-} == '--execute' ]]; then
execute=true
shift
fi
if [[ $# -gt 0 ]]; then
print -u2 'Usage: rename-iso.zsh [--execute]'
exit 2
fi
# Requires Obsidian app running and CLI enabled.
# Adjust OBSIDIAN_CLI to the command you actually use (e.g. `obsidian`).
: ${OBSIDIAN_CLI:=obsidian}
files=(ISO_27001*.md(N))
if (( ${#files} == 0 )); then
print 'No matching files found.'
exit 0
fi
for src in "$files[@]"; do
base=${src:t}
# Match both ISO_27001_OT and ISO_27001_2022_OT patterns
if [[ $base =~ '^ISO_27001(_2022)?_OT ([0-9.]+) (.+)\.md$' ]]; then
version=${match[2]#_}
title=${match[3]}
target="c-${version}-${title}.md"
# Replace spaces with dashes
target=${target// /-}
# Remove commas
target=${target//,}
# Prevent double dashes
target=${target//--/-}
if [[ $src == $target ]]; then
print "SKIP $src"
continue
fi
print "SRC $src"
print "DEST $target"
if $execute; then
"$OBSIDIAN_CLI" rename file="$src" name="$target"
fi
else
print -u2 "WARN skipped (pattern mismatch): $src"
fi
done

223
Corpus/Standards/ISO27x/OST/27001/NL/IBB op hoofdlijnen.md Normal file
View file

@ -0,0 +1,223 @@
#iso27001/2023/NL
# Informatiebeveiligingsbeleid op hoofdlijnen
Een informatiebeveiligingsbeleid moet de hieronder genoemde punten adresseren.
_De nummering verwijst naar de hoofdstukken/paragrafen uit ISO 27001:2023_
**H4              Context van de organisatie**
H4.1         Relevante punten (intern en extern) die invloed kunnen hebben op het kunnen behalen van de doelstellingen m.b.t. informatiebeveiliging
Voorwaarde: formuleren doelstellingen m.b.t. informatiebeveiliging
H4.2         Relevante stakeholders en hun eisen, en welke hiervan geadresseerd zullen worden (binnen het domein informatiebeveiliging)
H4.3         Begrenzing en toepasselijkheid van het managementsysteem voor informatiebeveiliging, rekening houdend met H4.1, H4.2 en de raakvlakken met en afhankelijkheden van andere organisaties.
H4.4         Er moet een managementsysteem voor informatiebeveiliging worden ingericht, geïmplementeerd, onderhouden en verbeterd worden incl. benodigde processen.
**H5              Leiderschap**
H5.1         Het topmanagement moet leiderschap en betrokkenheid tonen door:
a)         doelen en beleid voor informatiebeveiliging vast te stellen, dat compatibel is met de strategische richting van de organisatie
Voorwaarde: strategie moet bekend zijn
b)        integratie van het informatiebeveiligingsmanagement in de processen van de organisatie
c)         beschikbaar stellen benodigde middelen
d)        communiceren van het belang en noodzaak van informatiebeveiligingsmanagement en de daaruit volgende eisen
e)         zorgen dat de doelstellingen/resultaten behaald worden
f)           mensen aansturen en ondersteunen om hun bijdrage te leveren
g)         bevorderen van continue verbetering
h)        ondersteunen van anderen bij de invulling van hun leiderschap
H.5.2        Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a)         passend is voor het doel van de organisatie
b)        doelstellingen bevat, of een kader om die vast te stellen (zie 6.2)
c)         zich committeren aan het voldoen aan de gedefinieerde eisen
d)        zich committeren aan continue verbetering
e)         het beleid moet beschikbaar zijn
f)          het beleid moet gecommuniceerd worden
g)         het beleid moet beschikbaar zijn voor belanghebbenden
H5.3         Het topmanagement moet rollen, verantwoordelijkheden en bevoegdheden toekennen en communiceren, om:
a)         het managementsysteem voor informatiebeveiliging te laten voldoen aan de vastgestelde eisen (i.e. ISO 27001)
b)        te rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement
**H6                  Planning**
_H6.1             Risicos en kansen_
H6.1.1        Risicos en kansen moeten vastgesteld en geadresseerd worden (met overweging van de issues en eisen uit 4.1 en 4.2), om:
a)           te zorgen dat de beoogde resultaten behaald worden (zie H51a en H5.2b)
b)           ongewenste effecten te voorkomen of te verminderen;
c)            continue verbetering te bereiken.
Acties om die risicos en kansen op te pakken moeten:
d)           gepland worden
e)            volgens een beschreven proces worden geïntegreerd, geïmplementeerd, en geëvalueerd (op doeltreffendheid)
H6.1.2        Er moet een procedure voor risicobeoordeling zijn die:
a)        criteria voor risicoacceptatie en het uitvoeren van risicobeoordelingen bevat
b)        herhaalbaar is (consistent)
c)         risicos voor vertrouwelijkheid, integriteit en beschikbaarheid identificeert en risico-eigenaren aanwijst
d)        van risicos de impact, waarschijnlijkheid en risicoscore (R = P x I) beoordeelt
e)         de risicos evalueert t.o.v. de criteria (a) en een prioriteit toekent.
H6.1.3        Er moet een procedure zijn voor risicobehandeling om:
a)        passende opties voor behandeling te benoemen, o.b.v. de risicobeoordeling
b)        de nodige maatregelen vast te stellen
c)         de vastgestelde maatregelen te vergelijken met de maatregelen in ISO 27001 Annex A.
d)        een _verklaring van toepasselijkheid_ op te stellen met de maatregelen uit b), de rechtvaardiging daarvan, en of deze maatregelen geïmplementeerd zijn, en een rechtvaardigen voor het niet toepassen van specifieke maatregelen uit Annex A.
e)         een plan op te stellen voor de behandeling van risicos
f)           de goedkeuring te krijgen van de risico-eigenaren voor die behandeling en de acceptatie van de restrisicos.
_H6.2             Doelstellingen en planning (aanpak)_
Per functie en niveau moeten doelstellingen vastgesteld worden, die consistent en meetbaar zijn, en rekening houden met gestelde eisen en de resultaten van de risicobeoordeling en -behandeling.
De doelstellingen moeten worden gemonitord, gecommuniceerd, geactualiseerd, en gedocumenteerd.
De planningen moeten beschrijven wat er zal worden gedaan, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het voltooid zal zijn, en hoe de resultaten worden geëvalueerd.
H8 behandelt de uitvoering van deze planningen.
_H6.3             Wijzigingen_
Wijzigingen in het managementsysteem moeten volgens een beschreven werkwijze worden doorgevoerd.
**H7                  Ondersteuning**
Vaststellen welke middelen nodig zijn voor het managementsysteem voor informatiebeveiliging, en deze beschikbaar stellen. Dit betreft de volledige cyclus van inrichten, implementeren, onderhouden en continu verbeteren.
_H7.2             Competenties_
-          Vaststellen van de benodigde competenties van relevante personen
-          Zorgen dat deze personen competent zijn of worden
-          De doeltreffendheid van ondernomen acties hiervoor evalueren
-          Bewijzen van competenties bewaren.
_H7.3             Bewustzijn_
Medewerkers (en ingehuurd personeel) moeten zich bewust zijn van het informatiebeveiligingsbeleid, hun bijdrage aan de doeltreffendheid daarvan en de voordelen die dat oplevert, en de gevolgen van het niet voldoen aan de gestelde eisen.
_H7.4             Communicatie_
Vaststellen van de relevante interne en externe communicatie, met onderwerpen, momenten, doelgroepen en medium.
_H7.5             Documentatie_
Het managementsysteem moet alle documentatie bevatten die vereist is vanuit normen, wet- en regelgeving, plus wat de organisatie zelf nodig vindt voor de doeltreffendheid van het managementsysteem (H7.5.1).
Dit mag in verhouding zijn tot de omvang van de organisatie, de complexiteit van de processen, en de competentie van de mensen.
Voor het creëren en actualiseren moet gezorgd worden voor (H7.5.2):
a)        identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b)        format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c)         beoordeling en goedkeuring van geschiktheid en toereikendheid.
De documentatie moet beheerd worden zodat (H7.5.3) ze beschikbaar is waar en wanneer dat nodig is, en afdoende beveiligd is.
Dit moet ingevuld worden met activiteiten voor:
-          distributie, vindbaarheid en toegangsverlening
-          opslag en behoud van leesbaarheid
-          wijzigings- en versiebeheer
-          bewaring en vernietiging
**H8                  Uitvoering**
_H8.1             Operationele planning en beheersing_
Er moeten processen geïmplementeerd worden om te voldoen aan vastgestelde eisen, en de in H6 vastgestelde acties uit te voeren.
Er moet voldoende documentatie zijn om vast te stellen dat die processen volgens plan zijn uitgevoerd.
Wijzigingen in die processen moeten planmatig worden uitgevoerd, en de consequenties van onbedoelde wijzigingen (uitzonderingen) moeten beoordeeld worden. Als het nodig is, moeten er maatregelen komen om nadelige effecten tegen te gaan.
Er moeten ook processen zijn voor de beheersing van informatiebeveiliging van extern geleverde processen, producten of diensten.
_H8.2             Risicobeoordelingen_ moeten regelmatig worden uitgevoerd, èn bij belangrijke (interne of externe) veranderingen (volgens de criteria uit H6.1.2a). De resultaten moeten gedocumenteerd worden.
_H8.3_             Vervolgens moet het _Risicobehandelingsplan_ (uit H6.1.3e) geimplementeerd worden. De resultaten moeten gedocumenteerd worden.
**H9                  Evaluatie**
_H9.1             Monitoren, meten, analyseren en evalueren_
De organisatie moet vaststellen wat er gemonitord en gemeten moet worden, hoe dat moet gebeuren (reproduceerbaar en vergelijkbaar), wanneer en door wie dat moet gebeuren, en wanneer en door wie de resultaten worden geanalyseerd en geëvalueerd.
Dit geldt voor de informatiebeveiligingsmaatregelen, en het managementsysteem zelf.
_H9.2             Interne audit_
De organisatie moet met geplande tussenpozen interne audits uitvoeren op het managementsysteem voor informatiebeveiliging:
-          voldoet het aan de eigen eisen?
-          voldoet het aan de norm?
-          is het doeltreffend geïmplementeerd en onderhouden?
Hiervoor moet een auditprogramma worden vastgesteld, inclusief frequentie, methoden, verantwoordelijkheden en rapportage. Resultaten van eerdere audits moeten worden meegenomen.
Audits moeten voldoen aan gestelde criteria en hebben een bepaalde rijkwijdte. Ze moeten objectief worden uitgevoerd. De resultaten moeten aan het relevante management gerapporteerd worden.
_H9.3             Management review_
Het managementsysteem moet met geplande tussenpozen door het topmanagement beoordeeld worden op geschiktheid, toereikendheid en doeltreffendheid.
Als input dienen:
a)        status van acties uit eerdere reviews
b)        wijzigingen in relevante issues (H4.1)
c)         wijzigingen in de behoeften en verwachtingen van de belanghebbenden (H4.2)
d)        feedback over de prestaties van de informatiebeveiliging, incl. _trends_ in afwijkingen en corrigerende maatregelen, resultaten van monitoren en meten, auditresultaten, het voldoen aan doelstellingen;
e)         feedback van belanghebbenden
f)           resultaten van risicobeoordeling en de status van het risicobehandelingsplan
g)         kansen voor continue verbetering.
Resultaten van de review zijn o.a. beslissingen voor continue verbetering en noodzakelijke wijzigingen in het managementsysteem.
**H10              Verbetering**
Er moet een procedure zijn voor de omgang met afwijkingen in (de uitvoering van) het managementsysteem.
De organisatie moet:
a)        reageren op de afwijking: maatregelen treffen om de afwijking  te beheersen, corrigeren, en gevolgen aan te pakken;
b)        bepalen of maatregelen nodig zijn om herhaling te voorkomen (door oorzaken vast te stellen en weg te nemen)
c)         de maatregelen implementeren
d)        de doeltreffendheid daarvan te beoordelen
e)         wijzigingen in het managementsysteem aan te brengen, indien nodig
f)           de aard van de afwijkingen en maatregelen documenteren
g)         de resultaten van de maatregelen documenteren.
VOORBLAD
Document
Doelgroep
Classificatie
Versie
Eigenaar
INLEIDING
Over dit document:
-              Doelgroep
-              Doel
-              Gebaseerd op ISO 27001, organisatie-eigen stukken

51
Corpus/Standards/ISO27x/OST/27001/NL/ISO 27001 2023 Processen en Artefacten.md Normal file
View file

@ -0,0 +1,51 @@
#iso27001/2023/NL
## Processen
- Processen om het ISMS zelf te onderhouden
- contextanalyse (H4)
- Risicoanalyse (H6.1), incl. Dreigingsanalyse (A5.7)
- wijzigingen aan het ISMS (H6.3)
- risicobeoordeling en -acceptatie (H6.1.2, H8.2, H8.3)
- documentatie (H7.5)
- evaluatie van het ISMS (H9)
- afwijkingen en verbeteringen (H10)
- rollen en verantwoordelijkheden m.b.t. het ISMS (H5.3)
- Processen om de gekozen maatregelen te onderhouden
- Leveranciersmanagement (H8.1)
- Informatiebeveiliging in projecten (H5.8)
- evaluatie van maatregelen (H9)
- rollen en verantwoordelijkheden m.b.t. de maatregelen (H5.3)
## Te produceren stukken
- Beschrijving relevante issues (intern en extern) (H4.1)
- SWOT-analyse (H6.1)
- Risicoanalyse (H6.1), incl. Dreigingsanalyse (A5.7)
- Stakeholder analyse (H4.2)
- Overzicht wet- en regelgeving (H4.1, H4.2)
- Vaststellen doelen informatiebeveiliging (H5.1a)
- Informatiebeveiligingsbeleid (H5.2)
- Risicoanalyse (H6.1.2)
- Lijst maatregelen (H6.1.3)
- Toegangsbeveiliging informatiesystemen (A5.15)
- Identiteitsbeheer (A5.16)
- Toegangsrechten (A5.18)
- Maatregelen m.b.t. leveranciers (A5.19-A5.23)
- Fysieke toegangsbeveiliging (A7)
- EDM (8.1)
- Backups en redundantie (A8.13, A8.14)
- Logging en Monitoring (A8.15, A8.16)
- Update procedures (A8.19)
- Netwerkbeveiliging (A8.20-A8.23)
- Systeemarchitectuur (A8.27)
- Softwareontwikkeling (A8.25, A8.28-A8.33)
- Incidentenprocedure (A5.24-A5.29)
- Bedrijfscontinuïteitsplan (A5.30)
- Licentiebeheer (A5.32)
- Privacybeleid (A5.34)
- Voorschriften gebruik apparatuur en software (5.37)
- Planning implementatie maatregelen (H8.1)
- Communicatieplan (H7.4)
- Planning van terugkerende taken (evalueren, herzien, bijwerken)
- Asset-inventarisatie (A5.9)
- Classificatie van informatie en assets (A5.12)

54
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_Aanpassingen.md Normal file
View file

@ -0,0 +1,54 @@
#iso27001/2023/NL
# Aanpassingen in ISO 27001:2023
De ISO 27001:2022 is aangepast op de nieuwe HS (Harmonized Structure). Deze wijzigingen zorgen voor een betere aansluiting bij Annex SL.
Diverse punten in de hoofdstukken 4 t/m 10 zijn aangescherpt, toegevoegd, herschreven of gesplitst. Dit zijn de wijzigingen:
## Aanpassingen in het ISMS
- 4.1 Context is aangescherpt
- 4.2 Belanghebbenden is aangescherpt
- 4.4 ISMS is aangescherpt
- 6.1.3 Risicobehandeling is aangescherpt
- 6.2 Doelstellingen is aangescherpt
- 6.3 Verandermanagement is toegevoegd
- 8.1 Operationele planning is herschreven
- 9.1 Monitoring is aangescherpt
- 9.2 Algemeen en Auditprogramma is gesplitst
- 9.3 Algemeen, input en output is gesplitst
- 10.1 Verbeteren en Afwijkingen & Corrigerende maatregelen is aangepast
### Aanpassing aan nieuwe Harmonized Structure
De ISO 27001:2022 is aangepast op de nieuwe Harmonized Structure(HS). Deze HS is in 2021 gepubliceerd en is een update van de High Level Structure(HLS). HS is de basisstructuur van alle ISO managementsysteemnormen. In [dit artikel](https://www.cuccibu.eu/nieuws/de-nieuwe-high-level-structure/) lees je meer over de inhoudelijke veranderingen van HLS naar HS. De HS heeft de volgende impact op ISO 27001:  
- **Wijzigingen in gedocumenteerde informatie**. In de HLS werd verwezen naar verschillende werkwoorden, zoals onderhouden voor documenten en bijhouden voor registraties. Dit zorgde vaak voor verwarring. In de HS is gekozen voor een eenduidige terminologie. Er wordt gesproken over beschikbaar zijn van gedocumenteerde informatie.  
- **Behoeftes en verwachtingen stakeholders belangrijker.** In paragraaf 4.2 van de HLS staat dat een organisatie de relevante eisen van relevante belanghebbende moet identificeren. Hoe een organisatie omgaat met behoeftes en verwachtingen van stakeholders blijft echter onduidelijk. In de HS worden de behoeftes en verwachtingen wel opgenomen. De organisatie moet vaststellen welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging, welke eisen deze belanghebbenden stellen én welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging. De eisen van belanghebbende kunnen wettelijke en regelgevende eisen, maar ook contractuele verplichtingen omvatten. 
- **Eisen aan de processen van het ISMS.** In de voorgaande versie van ISO 27001 is in paragraaf 4.4 afgeweken van de HLS. Er werden eisen gesteld voor het vaststellen, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsmanagementsysteem (ISMS). Echter ontbraken de eisen voor en de samenhang met de onderliggende processen. In de herziene versie is deze tekortkoming hersteld en wordt er weer aangesloten bij de HS. Dit bekent meer focus op processen in de ISO 27001:2022. 
- **Plannen van wijzigingen.** In hoofdstuk 6 van de HS is een nieuwe paragraaf opgenomen, namelijk 6.3. Deze paragraaf stelt dat wijzigingen aan het managementsysteem op een geplande manier moeten worden uitgevoerd. Management of change wordt hiermee expliciet onderdeel van de HS. In ISO 27001:2022 is paragraaf 6.3 ook opgenomen.
- **Van uitbesteden naar extern geleverde processen, producten en diensten.** De begrippen uitbesteden en beheersing van uitbestede processen worden niet meer toegepast in de HS. Voortaan worden er eisen gesteld aan de extern geleverde processen, producten en diensten die relevant zijn voor het managementsysteem. Ook de herziene ISO 27001 norm volgt deze benadering
## Nieuwe beheersmaatregelen in Annex A
In de oude norm ISO 27001:2013 waren 114 beheersmaatregelen opgenomen. Een flinke lijst, die in ISO 27001:2022 is ingekort. Er zijn nu 93 beheersmaatregelen. ISO besloot om veel maatregelen samen te voegen waardoor de norm past bij deze tijd. Wel voegde ISO 11 nieuwe beheersmaatregelen toe.
- 5.7 Informatie en analyses over dreigingen:
Informatie met betrekking tot informatiebeveiliging dreigingen moet worden verzameld en geanalyseerd om informatie over dreigingen te produceren.
- 5.23 Informatiebeveiliging voor het gebruik van clouddiensten:
Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
- 5.30 ICT-gereedheid voor bedrijfscontinuïteit:
De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
- 7.4 Monitoren van de fysieke beveiliging:
Het gebouw en terrein behoren voortdurend te worden gemonitord op onbevoegde fysieke toegang.
- 8.9 Configuratiebeheer:
Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
- 8.10 Wissen van informatie:
In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer vereist is.
- 8.11 Maskeren van gegevens:
Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerp specifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerp specifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
- 8.12 Voorkomen van gegevenslekken:
Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
- 8.16 Monitoren van activiteiten:
Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren.
- 8.23 Toepassen van webfilters:
De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
- 8.28 Veilig coderen:
Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.

40
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_Index.md Normal file
View file

@ -0,0 +1,40 @@
#iso27001/2023/NL
Publicatiedatum: augustus 2023
| 2023 ID | Onderwerp | Brontekst |
| :------ | :------------------------------------------------------------------------- | :----------------------------- |
| **0** | **Inleiding** | [BT](c-0-Inleiding.md) |
| **1** | **Onderwerp en toepassingsgebied** | [BT](c-1-Onderwerp-en-toepassingsgebied.md) |
| **2** | **Normatieve verwijzingen** | [BT](c-2-Normatieve-verwijzingen.md) |
| **3** | **Termen en definities** | [BT](c-3-Termen-en-definities.md) |
| **4** | **Context van de organisatie** | |
| 4.1 | Inzicht in de organisatie en haar context | [BT](c-4.1-Inzicht-in-de-organisatie-en-haar-context.md) |
| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [BT](c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden.md) |
| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [BT](c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen.md) |
| 4.4 | Managementsysteem voor informatiebeveiliging | [BT](c-4.4-Managementsysteem-voor-informatiebeveiliging.md) |
| **5** | **Leiderschap** | |
| 5.1 | Leiderschap en betrokkenheid | [BT](c-5.1-Leiderschap-en-betrokkenheid.md) |
| 5.2 | Beleid | [BT](c-5.2-Beleid.md) |
| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [BT](c-5.3-Rollen-verantwoordelijkheden-en-bevoegdheden-binnen-de-organisatie.md) |
| **6** | **Planning** | |
| 6.1 | Acties om risico's en kansen op te pakken | [BT](c-6.1-Acties-om-risicos-en-kansen-op-te-pakken.md) |
| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [BT](c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken.md) |
| 6.3 | Planning van wijzigingen | [BT](c-6.3-Planning-van-wijzigingen.md) |
| **7** | **Ondersteuning** | |
| 7.1 | Middelen | [BT](c-7.1-Middelen.md) |
| 7.2 | Competentie | [BT](c-7.2-Competentie.md) |
| 7.3 | Bewustzijn | [BT](c-7.3-Bewustzijn.md) |
| 7.4 | Communicatie | [BT](c-7.4-Communicatie.md) |
| 7.5 | Gedocumenteerde informatie | [BT](c-7.5-Gedocumenteerde-informatie.md) |
| **8** | **Uitvoering** | |
| 8.1 | Operationele planning en beheersing | [BT](c-8.1-Operationele-planning-en-beheersing.md) |
| 8.2 | Risicobeoordeling van informatiebeveiliging | [BT](c-8.2-Risicobeoordeling-van-informatiebeveiliging.md) |
| 8.3 | Informatiebeveiligingsrisico's behandelen | [BT](c-8.3-Informatiebeveiligingsrisicos-behandelen.md) |
| **9** | **Evaluatie van de prestaties** | |
| 9.1 | Monitoren, meten, analyseren en evalueren | [BT](c-9.1-Monitoren-meten-analyseren-en-evalueren.md) |
| 9.2 | Interne audit | [BT](c-9.2-Interne-audit.md) |
| 9.3 | Management review | [BT](../EN/c-9.3-Management-review.md) |
| **10** | **Verbetering** | |
| 10.1 | Continue verbetering | [BT](c-10.1-Continue-verbetering.md) |
| 10.2 | Afwijkingen en corrigerende maatregelen | [BT](c-10.2-Afwijkingen-en-corrigerende-maatregelen.md) |

6
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_PDF.md Normal file
View file

@ -0,0 +1,6 @@
#iso27001/2023/NL
# ISO 27001 2023 NL
![](ISO_IEC_27001_2023_NL.pdf)

BIN
Corpus/Standards/ISO27x/OST/27001/NL/ISO_IEC_27001_2023_NL.pdf Normal file
View file

Binary file not shown.

496
Corpus/Standards/ISO27x/OST/27001/NL/ISO_IEC_27001_2023_NL_ bijlage-A.md Normal file
View file

@ -0,0 +1,496 @@
> []{#_bookmark38 .anchor}**Bijlage A**
(normatief)
# Referentie voor beheersmaatregelen voor informatiebeveiliging {#referentie-voor-beheersmaatregelen-voor-informatiebeveiliging .unnumbered}
> De in tabel A.1 opgenomen beheersmaatregelen voor informatiebeveiliging zijn rechtstreeks afgeleid van en afgestemd met de in ISO/IEC 27002:2022 \[1\], hoofdstuk 5 t/m 8 opgenomen beheersmaatregelen en moeten in context met 6.1.3 worden gebruikt.
**Tabel A.1 --- Beheersmaatregelen voor informatiebeveiliging**
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **5** | **Organisatorische beheersmaatregelen** | |
+=======+===========================================================+==============================================================================================================================================================================================================================================================================================================================+
| 5.1 | Beleidsregels voor informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels moeten worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, worden beoordeeld. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | Rollen en verantwoordelijkheden bij informatiebeveiliging moeten worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.3 | Functiescheiding | **Beheersmaatregel** |
| | | |
| | | Conflicterende taken en conflicterende verantwoordelijkheden moeten worden gescheiden. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.4 | Managementverantwoordelijkheden | **Beheersmaatregel** |
| | | |
| | | Het management moet van al het personeel eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.5 | Contact met overheidsinstanties | **Beheersmaatregel** |
| | | |
| | | De organisatie moet contact met de relevante instanties leggen en onderhouden. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.6 | Contact met speciale belangengroepen | **Beheersmaatregel** |
| | | |
| | | De organisatie moet contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen leggen en onderhouden. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.7 | Informatie en analyses over dreigingen | **Beheersmaatregel** |
| | | |
| | | Informatie met betrekking tot informatiebeveiligingsdreigingen moet worden verzameld en geanalyseerd om informatie over dreigingen te produceren. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**21**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-9 .unnumbered}
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.8 | Informatiebeveiliging in projectmanagement | **Beheersmaatregel** |
| | | |
| | | Informatiebeveiliging moet worden geïntegreerd in projectmanagement. |
+======+=============================================================================+==========================================================================================================================================================================================================================+
| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | **Beheersmaatregel** |
| | | |
| | | Er moet een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, worden opgesteld en onderhouden. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | **Beheersmaatregel** |
| | | |
| | | Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen moeten worden geïdentificeerd, gedocumenteerd en geïmplementeerd. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.11 | Retourneren van bedrijfsmiddelen | **Beheersmaatregel** |
| | | |
| | | Personeel en andere belanghebbenden, al naargelang de situatie, moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst retourneren. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.12 | Classificeren van informatie | **Beheersmaatregel** |
| | | |
| | | Informatie moet worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.13 | Labelen van informatie | **Beheersmaatregel** |
| | | |
| | | Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.14 | Overdragen van informatie | **Beheersmaatregel** |
| | | |
| | | Er moeten regels, procedures of overeenkomsten voor informatieoverdracht zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.15 | Toegangsbeveiliging | **Beheersmaatregel** |
| | | |
| | | Er moeten regels op basis van bedrijfs- en informatiebeveiligingseisen worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.16 | Identiteitsbeheer | **Beheersmaatregel** |
| | | |
| | | De volledige levenscyclus van identiteiten moet worden beheerd. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **22**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-10 .unnumbered}
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.17 | Authenticatie-informatie | **Beheersmaatregel** |
| | | |
| | | De toewijzing en het beheer van authenticatie-informatie moet worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt. |
+======+===============================================================================+=================================================================================================================================================================================================================================================================================+
| 5.18 | Toegangsrechten | **Beheersmaatregel** |
| | | |
| | | Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen moeten worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.19 | Informatiebeveiliging in leveranciersrelaties | **Beheersmaatregel** |
| | | |
| | | Er moeten processen en procedures worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheersen. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | **Beheersmaatregel** |
| | | |
| | | Relevante informatiebeveiligingseisen moeten worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie worden overeengekomen. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.21 | Beheren van informatiebeveiliging in de ICT-toeleveringsketen | **Beheersmaatregel** |
| | | |
| | | Er moeten processen en procedures worden bepaald en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten |
| | | |
| | | en -diensten te beheersen. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | **Beheersmaatregel** |
| | | |
| | | De organisatie moet de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig monitoren, beoordelen, evalueren en veranderingen daaraan beheren. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | **Beheersmaatregel** |
| | | |
| | | Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten moeten overeenkomstig de informatiebeveiligingseisen van de organisatie worden opgesteld. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligings- incidenten | **Beheersmaatregel** |
| | | |
| | | De organisatie moet plannen opstellen voor, en zich voorbereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatie- beveiligingsincidenten te definiëren, vast te stellen en te communiceren. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | **Beheersmaatregel** |
| | | |
| | | De organisatie moet informatiebeveiligingsgebeurtenissen beoordelen en beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**23**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-11 .unnumbered}
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.26 | Reageren op informatiebeveiligingsincidenten | **Beheersmaatregel** |
| | | |
| | | Op informatiebeveiligingsincidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures. |
+======+============================================================+=========================================================================================================================================================================================================================================================================================+
| 5.27 | Leren van informatiebeveiligingsincidenten | **Beheersmaatregel** |
| | | |
| | | Kennis die is opgedaan met informatiebeveiligingsincidenten moet worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.28 | Verzamelen van bewijsmateriaal | **Beheersmaatregel** |
| | | |
| | | De organisatie moet procedures vaststellen en implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.29 | Informatiebeveiliging tijdens een verstoring | **Beheersmaatregel** |
| | | |
| | | De organisatie moet plannen maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | **Beheersmaatregel** |
| | | |
| | | De ICT-gereedheid moet worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoel- stellingen en ICT-continuïteitseisen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | **Beheersmaatregel** |
| | | |
| | | Wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, moeten worden geïdentificeerd, gedocumenteerd en actueel gehouden. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.32 | Intellectuele-eigendomsrechten | **Beheersmaatregel** |
| | | |
| | | De organisatie moet passende procedures implementeren om intellectuele-eigendomsrechten te beschermen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.33 | Beschermen van registraties | **Beheersmaatregel** |
| | | |
| | | Registraties moeten worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.34 | Privacy en bescherming van persoonsgegevens | **Beheersmaatregel** |
| | | |
| | | De organisatie moet de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen identificeren en eraan voldoen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, worden beoordeeld. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **24**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-12 .unnumbered}
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie moet regelmatig worden beoordeeld. |
+=======+=========================================================================+=========================================================================================================================================================================================================================================================================================================================================================================================================================================================+
| 5.37 | Gedocumenteerde bedieningsprocedures | **Beheersmaatregel** |
| | | |
| | | Bedieningsprocedures voor informatieverwerkende faciliteiten moeten worden gedocumenteerd en beschikbaar worden gesteld aan het personeel dat ze nodig heeft. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **6** | **Mensgerichte beheersmaatregelen** | |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.1 | Screening | **Beheersmaatregel** |
| | | |
| | | De achtergrond van alle kandidaten voor een dienstverband moet worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden worden herhaald. Hierbij moet rekening worden gehouden met de toepasselijke wet- en regelgeving en ethische overwegingen, en deze controle moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.2 | Arbeidsovereenkomst | **Beheersmaatregel** |
| | | |
| | | In arbeidsovereenkomsten moet worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | Personeel van de organisatie en relevante belanghebbenden moeten een passende bewustwording van, opleiding en training in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, krijgen. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.4 | Disciplinaire procedure | **Beheersmaatregel** |
| | | |
| | | Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | **Beheersmaatregel** |
| | | |
| | | Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband, moeten worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | **Beheersmaatregel** |
| | | |
| | | Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, moeten worden geïdentificeerd, gedocumenteerd, regelmatig worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**25**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-13 .unnumbered}
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.7 | Werken op afstand | **Beheersmaatregel** |
| | | |
| | | Wanneer personeel op afstand werkt, moeten er beveiligingsmaatregelen worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen. |
+=======+====================================================+=========================================================================================================================================================================================================================+
| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | **Beheersmaatregel** |
| | | |
| | | De organisatie moet voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligings- gebeurtenissen tijdig via passende kanalen kan melden. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **7** | **Fysieke beheersmaatregelen** | |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.1 | Fysieke beveiligingszones | **Beheersmaatregel** |
| | | |
| | | Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, moeten worden beschermd door beveiligingszones te definiëren en te gebruiken. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.2 | Fysieke toegangsbeveiliging | **Beheersmaatregel** |
| | | |
| | | Beveiligde zones moeten worden beschermd door passende toegangsbeveiligingsmaatregelen en toegangspunten. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | **Beheersmaatregel** |
| | | |
| | | Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en geïmplementeerd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.4 | Monitoren van de fysieke beveiliging | **Beheersmaatregel** |
| | | |
| | | Het gebouw en terrein moet voortdurend worden gemonitord op onbevoegde fysieke toegang. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | **Beheersmaatregel** |
| | | |
| | | Er moet bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen voor de infrastructuur, worden ontworpen en geïmplementeerd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.6 | Werken in beveiligde zones | **Beheersmaatregel** |
| | | |
| | | Voor het werken in beveiligde zones moeten beveiligingsmaatregelen worden ontwikkeld en geïmplementeerd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.7 | 'Clear desk' en 'clear screen' | **Beheersmaatregel** |
| | | |
| | | Er moeten 'clear desk'-regels voor papieren documenten en verwijderbare opslagmedia en 'clear screen'-regels voor informatieverwerkende faciliteiten worden gedefinieerd en op passende wijze worden afgedwongen. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.8 | Plaatsen en beschermen van apparatuur | **Beheersmaatregel** |
| | | |
| | | Apparatuur moet veilig worden geplaatst en beschermd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | **Beheersmaatregel** |
| | | |
| | | Bedrijfsmiddelen buiten het gebouw en/of terrein moeten worden beschermd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **26**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-14 .unnumbered}
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.10 | Opslagmedia | **Beheersmaatregel** |
| | | |
| | | Opslagmedia moeten worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie. |
+=======+===================================================+================================================================================================================================================================================================================================================+
| 7.11 | Nutsvoorzieningen | **Beheersmaatregel** |
| | | |
| | | Informatieverwerkende faciliteiten moeten worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.12 | Beveiligen van bekabeling | **Beheersmaatregel** |
| | | |
| | | Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen onderschepping, interferentie of beschadiging. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.13 | Onderhoud van apparatuur | **Beheersmaatregel** |
| | | |
| | | Apparatuur moet op de juiste wijze worden onderhouden om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te garanderen. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | **Beheersmaatregel** |
| | | |
| | | Onderdelen van de apparatuur die opslagmedia bevatten, moeten worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **8** | **Technologische beheersmaatregelen** | |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.1 | \'User endpoint devices\' | **Beheersmaatregel** |
| | | |
| | | Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via \'user endpoint devices\' moet worden beschermd. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.2 | Speciale toegangsrechten | **Beheersmaatregel** |
| | | |
| | | Het toewijzen en het gebruik van speciale toegangsrechten moet worden beperkt en beheerd. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.3 | Beperking toegang tot informatie | **Beheersmaatregel** |
| | | |
| | | De toegang tot informatie en andere gerelateerde bedrijfsmiddelen moet worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.4 | Toegangsbeveiliging op broncode | **Beheersmaatregel** |
| | | |
| | | Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken moet op passende wijze worden beheerd. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.5 | Beveiligde authenticatie | **Beheersmaatregel** |
| | | |
| | | Er moeten beveiligde authenticatietechnologieën |
| | | |
| | | en -procedures worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**27**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-15 .unnumbered}
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.6 | Capaciteitsbeheer | **Beheersmaatregel** |
| | | |
| | | Het gebruik van middelen moet worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen. |
+======+========================================================+============================================================================================================================================================================================================================================================+
| 8.7 | Bescherming tegen malware | **Beheersmaatregel** |
| | | |
| | | Bescherming tegen malware moet worden geïmplementeerd en ondersteund door een passend gebuikersbewustzijn. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.8 | Beheer van technische kwetsbaarheden | **Beheersmaatregel** |
| | | |
| | | Er moet informatie worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten passende maatregelen worden getroffen. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.9 | Configuratiebeheer | **Beheersmaatregel** |
| | | |
| | | Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken moeten worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.10 | Wissen van informatie | **Beheersmaatregel** |
| | | |
| | | In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie moet worden gewist als deze niet langer vereist is. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.11 | Maskeren van gegevens | **Beheersmaatregel** |
| | | |
| | | Gegevens moeten worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.12 | Voorkomen van gegevenslekken (data leakage prevention) | **Beheersmaatregel** |
| | | |
| | | Maatregelen om gegevenslekken te voorkomen moeten worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.13 | Back-up van informatie | **Beheersmaatregel** |
| | | |
| | | Back-ups van informatie, software en systemen moeten worden bewaard en regelmatig worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.14 | Redundantie van informatieverwerkende faciliteiten | **Beheersmaatregel** |
| | | |
| | | Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **28**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-16 .unnumbered}
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.15 | Logging | **Beheersmaatregel** |
| | | |
| | | Er moeten logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, worden geproduceerd, opgeslagen, beschermd en geanalyseerd. |
+======+===================================================+==================================================================================================================================================================================================+
| 8.16 | Monitoren van activiteiten | **Beheersmaatregel** |
| | | |
| | | Netwerken, systemen en toepassingen moeten worden gemonitord op afwijkend gedrag en er moeten passende maatregelen worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.17 | Kloksynchronisatie | **Beheersmaatregel** |
| | | |
| | | De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, moeten worden gesynchroniseerd met goedgekeurde tijdbronnen. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.18 | Gebruik van speciale systeemhulpmiddelen | **Beheersmaatregel** |
| | | |
| | | Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, moet worden beperkt en nauwkeurig worden gecontroleerd. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.19 | Installeren van software op operationele systemen | **Beheersmaatregel** |
| | | |
| | | Er moeten procedures en maatregelen worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.20 | Beveiliging netwerkcomponenten | **Beheersmaatregel** |
| | | |
| | | Netwerken en netwerkapparaten moeten worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.21 | Beveiliging van netwerkdiensten | **Beheersmaatregel** |
| | | |
| | | Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten moeten worden geïdentificeerd, geïmplementeerd en gemonitord. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.22 | Netwerksegmentatie | **Beheersmaatregel** |
| | | |
| | | Groepen informatiediensten, gebruikers en informatiesystemen moeten in de netwerken van de organisatie worden gesegmenteerd. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.23 | Toepassen van webfilters | **Beheersmaatregel** |
| | | |
| | | De toegang tot externe websites moet worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.24 | Gebruik van cryptografie | **Beheersmaatregel** |
| | | |
| | | Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, moeten worden gedefinieerd en geïmplementeerd. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**29**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-17 .unnumbered}
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.25 | Beveiligen tijdens de ontwikkelcyclus | **Beheersmaatregel** |
| | | |
| | | Voor het veilig ontwikkelen van software en systemen moeten regels worden vastgesteld en toegepast. |
+======+==============================================================+==========================================================================================================================================================================================================+
| 8.26 | Toepassingsbeveiligingseisen | **Beheersmaatregel** |
| | | |
| | | Er moeten eisen aan de informatiebeveiliging worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | **Beheersmaatregel** |
| | | |
| | | Uitgangspunten voor het ontwerpen van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.28 | Veilig coderen | **Beheersmaatregel** |
| | | |
| | | Er moeten principes voor veilig coderen worden toegepast op softwareontwikkeling. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | **Beheersmaatregel** |
| | | |
| | | Processen voor het testen van de beveiliging moeten worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.30 | Uitbestede systeemontwikkeling | **Beheersmaatregel** |
| | | |
| | | De organisatie moet de activiteiten in verband met uitbestede systeemontwikkeling sturen, bewaken en beoordelen. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | **Beheersmaatregel** |
| | | |
| | | Ontwikkel-, test- en productieomgevingen moeten worden gescheiden en beveiligd. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.32 | Wijzigingsbeheer | **Beheersmaatregel** |
| | | |
| | | Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen moeten onderworpen zijn aan procedures voor wijzigingsbeheer. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.33 | Testgegevens | **Beheersmaatregel** |
| | | |
| | | Testgegevens moeten op passende wijze worden geselecteerd, beschermd en beheerd. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.34 | Bescherming van informatiesystemen tijdens audits | **Beheersmaatregel** |
| | | |
| | | Audittests en andere auditactiviteiten waarbij operationele systemen worden beoordeeld, moeten worden gepland en overeengekomen tussen de tester en het verantwoordelijke management. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **30**
**NEN-EN-ISO/IEC 27001:2023**
# Bibliografie {#bibliografie .unnumbered}
1. ISO/IEC 27002:2022, *Information security, cybersecurity and privacy protection* -- *Information security controls*
2. ISO/IEC 27003, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Guidance*
3. ISO/IEC 27004, *Information technology* -- *Security techniques --- Information security management*
> -- *Monitoring, measurement, analysis and evaluation*
4. ISO/IEC/DIS 27005, *Information security, cybersecurity and privacy protection* -- *Guidance on managing information security risks*
5. ISO 31000:2018, *Risk management* -- *Guidelines*
6. ISO/IEC Directives, Part 1, Consolidated ISO Supplement -- Procedures specific to ISO, 2012
**31**
> **Waarom betaalt u voor een norm?**
>
> Normen zijn afspraken voor en door de markt. Het zijn afspraken over zaken waarmee iedereen te maken heeft. Bijvoorbeeld over gezondheidszorg, financiële dienstverlening, veiligheid en maatschappelijk verantwoord ondernemen. Zonder deze afspraken zou het leven een stuk complexer zijn. Normen zorgen voor verbetering van producten, diensten en processen. Op de werkvloer, in de omgang met elkaar en in de samenleving als geheel.
>
> De afspraken worden gemaakt door belanghebbende partijen. Een belanghebbende partij kan een producent, ondernemer, dienstverlener, gebruiker, maar ook de overheid of een consumenten- of onderzoeksorganisatie zijn. Een breed draagvlak is belangrijk. De afspraken komen onder begeleiding van NEN tot stand en mogen niet strijdig zijn met andere geldige NEN-normen.
>
> NEN is een stichting en heeft geen winstoogmerk. De diensten die NEN levert --̶̶̶ van het bijeenbrengen van partijen en het maken en vastleggen van de afspraken tot het bieden van hulp bij de toepassing van de normen --̶̶̶ moeten worden bekostigd. Daarom betalen alle deelnemende partijen voor het normalisatieproces en betaalt u als gebruiker voor normen, trainingen en andere producten.
>
> **Altijd de actuele norm?**
>
> Nooit meer zoeken in de systemen en zelf de vraag stellen: 'Heb ik de laatste versie van NEN-EN-ISO/IEC 27001:2023 nl?'
>
> Via het digitale platform NEN Connect heeft u altijd toegang tot de meest actuele versie van deze norm. Vervallen versies blijven ook beschikbaar. Met een licentie kan de norm via NEN Connect altijd en overal makkelijk geraadpleegd worden, zowel online als offline.
>
> Kies voor slimmer werken en bekijk onze mogelijkheden op [[www.nenconnect.nl]{.underline}](http://www.nenconnect.nl/).
>
> **Meer informatie over de mogelijkheden**
>
> Onze Klantenservice is bereikbaar maandag tot en met vrijdag, van 8.30 uur tot 17.00 uur.
>
> Telefoon: 015 2 690 391
>
> E-mail: [[klantenservice@nen.nl]{.underline}](mailto:klantenservice@nen.nl)

623
Corpus/Standards/ISO27x/OST/27001/NL/ISO_IEC_27001_2023_NL_compleet.md Normal file
View file

@ -0,0 +1,623 @@
# **NEN-EN-ISO/IEC 27001:2023**
# Europees voorwoord {#europees-voorwoord .unnumbered}
> De tekst van ISO/IEC 27001:2022) is opgesteld door Technische Commissie ISO/IEC JTC 1 'Information technology' van de Internationale Organisatie voor Standaardisatie (ISO) en is overgenomen als EN ISO/IEC 27001:2023 door Technische Commissie CEN-CENELEC JTC 13 'Cybersecurity and Data Protection', waarvan DIN het secretariaat voert.
>
> Aan deze Europese norm moet uiterlijk in januari 2024 de status van nationale norm worden gegeven, door publicatie van een identieke tekst of door bekrachtiging, en strijdige nationale normen moeten uiterlijk in januari 2024 worden ingetrokken.
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. CEN is niet verantwoordelijk voor identificatie van dergelijke patentrechten.
>
> Dit document vervangt NEN EN ISO 27001:2017.
>
> Eventuele feedback en vragen over dit document behoren te worden gericht aan de nationale normalisatie-instantie of de nationale commissie van de gebruiker. Een volledige lijst van deze instanties is te vinden op de CEN-website.
>
> Volgens het huishoudelijk reglement van CEN-CENELEC zijn de normalisatieorganisaties van de volgende landen verplicht deze Europese norm in te voeren: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Nederland, Noord-Macedonië, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Servië, Slovenië, Slowakije, Spanje, Tsjechië, Turkije, het Verenigd Koninkrijk, Zweden en Zwitserland.
## \[Verklaring van bekrachtiging {#verklaring-van-bekrachtiging .unnumbered}
> De tekst van ISO/IEC 27001:2022 is zonder wijzigingen door CEN als EN ISO/IEC 27001:2023 aanvaard.
# ISO/IEC-voorwoord {#isoiec-voorwoord .unnumbered}
> ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van internationale normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo's, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden.
>
> De procedures die zijn gebruikt voor het ontwikkelen van dit document en de procedures die zijn bedoeld voor het verdere onderhoud ervan, worden beschreven in de ISO/IEC-richtlijnen, deel 1. Hierbij wordt met name gewezen op de verschillende goedkeuringscriteria die nodig zijn voor de verschillende soorten documenten. Dit document is opgesteld volgens de redactionele regels die in de ISO/IEC-richtlijnen, deel 2 zijn opgenomen (zie [www.iso.org/directives](https://www.iso.org/directives-and-policies.html) of [www.iec.ch/members_experts/refdocs](https://www.iec.ch/members_experts/refdocs)).
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. ISO en IEC zijn niet verantwoordelijk voor identificatie van dergelijke patentrechten. Nadere informatie over eventuele patentrechten die zijn geïdentificeerd tijdens het ontwikkelen van
>
> **6**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-1 .unnumbered}
> het document, is te vinden in de inleiding en/of de ISO-lijst met ontvangen patentverklaringen (zie [www.iso.org/patents](https://www.iso.org/iso-standards-and-patents.html)) of de IEC-lijst met ontvangen patentverklaringen (zie [http://patents.iec.ch](https://patents.iec.ch/)).
>
> Eventuele handelsnamen die in dit document worden gebruikt, zijn verstrekt ter informatie voor het gemak van de gebruiker en houden geen aanbeveling in.
>
> Uitleg over de vrijwillige aard van normen, de betekenis van ISO-specifieke termen en uitdrukkingen met betrekking tot conformiteitsbeoordeling, alsmede informatie over hoe ISO voldoet aan de beginselen van de Wereldhandelsorganisatie (WTO) in de Technical Barriers to Trade (TBT), wordt gegeven op: [www.iso.org/iso/foreword.html.](http://www.iso.org/iso/foreword.html) Voor IEC, zie [www.iec.ch/understanding-standards.](http://www.iec.ch/understanding-standards)
>
> Dit document is opgesteld door ISO/IEC JTC 1, *Information Technology*, SC 27, *Information security, cybersecurity and privacy protection*.
>
> Deze derde editie herroept en vervangt de tweede editie (ISO/IEC 27001:2013), die is herzien en is afgestemd op ISO/IEC 27002:2022. Ook de Technische Corrigenda ISO/IEC 27001:2013/COR 1:2014 en ISO/IEC 27001:2013/COR 2:2015 zijn hierin opgenomen.
>
> De belangrijkste wijzigingen zijn als volgt:
>
> --- de tekst is in overeenstemming gebracht met de geharmoniseerde structuur voor managementsysteemnormen.
>
> Eventuele feedback of vragen over dit document behoren te worden gericht aan het nationale normalisatie-instituut van de gebruiker. Een volledig overzicht van deze instituten is te vinden op [www.iso.org/members.html](https://www.iso.org/members.html) en [www.iec.ch/national-committees.](https://www.iec.ch/national-committees)
**7**
> **NEN-EN-ISO/IEC 27001:2023**
# Inleiding
1. **Algemeen**
> Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
>
> Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
>
> Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
>
> Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
>
> De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
>
> ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
> Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
>
> Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](ISO_IEC_27001_2023_NL_compleet.md#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](ISO_IEC_27001_2023_NL_compleet.md#_bookmark3)
>
> ]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
>
> **8**
**NEN-EN-ISO/IEC 27001:2023**
> Informatiebeveiliging, cybersecurity en bescherming van de privacy
>
> --- Managementsysteem voor informatiebeveiliging --- Eisen
# Onderwerp en toepassingsgebied
> Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.
# Normatieve verwijzingen
> Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
>
> of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
>
> ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*
# Termen en definities
> Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
>
> ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>
# Context van de organisatie
## Inzicht in de organisatie en haar context
> De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
>
> OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].
**9**
> **NEN-EN-ISO/IEC 27001:2023**
## Inzicht in de behoeften en verwachtingen van belanghebbenden
> De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
> OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.
## Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
> De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
>
> Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
> Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.
## Managementsysteem voor informatiebeveiliging
> De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.
# Leiderschap
## Leiderschap en betrokkenheid
> Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
> **10**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-2 .unnumbered}
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
> OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.
## Beleid
> Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
> Het informatiebeveiligingsbeleid moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie;
g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.
## Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
> Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.
>
> Het topmanagement moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van dit document;
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement.
**11**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-3 .unnumbered}
> OPMERKING Het topmanagement kan ook verantwoordelijkheden en bevoegdheden toewijzen voor het binnen de organisatie rapporteren van de prestaties van het managementsysteem voor informatiebeveiliging.
# Planning
## Acties om risico's en kansen op te pakken
1. **Algemeen**
> Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
> De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
> De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
> **12**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-4 .unnumbered}
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
> De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
1. **Behandeling van informatiebeveiligingsrisico's**
> De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
> OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
> OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
>
> OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
**13**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-5 .unnumbered}
> De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
>
> OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 \[5\].
## Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
> De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.
>
> De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd;
f) passend bij de situatie worden geactualiseerd;
g) beschikbaar zijn als gedocumenteerde informatie. \[Tekst verwijderd\][*](ISO_IEC_27001_2023_NL_compleet.md#_bookmark20)
> Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
h) wat er zal worden gedaan;
i) welke middelen er nodig zijn;
j) wie verantwoordelijk is;
k) wanneer het zal zijn voltooid; en
l) hoe de resultaten zullen worden geëvalueerd.
## Planning van wijzigingen
> Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
>
> []{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).
>
> **14**
**NEN-EN-ISO/IEC 27001:2023**
# Ondersteuning
## Middelen
> De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
## Competentie
> De organisatie moet:
a) de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die de prestaties van haar informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) indien van toepassing, acties ondernemen om de benodigde competentie te verwerven, en de doeltreffendheid van de ondernomen acties evalueren; en
d) geschikte gedocumenteerde informatie als bewijs van competentie bewaren.
> OPMERKING Toepasbare acties kunnen bijv. zijn: het voorzien in training van, het begeleiden van of het in een andere functie benoemen van huidige medewerkers; of het inhuren of contracteren van competente personen.
## Bewustzijn
> Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties; en
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.
## Communicatie
> De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) hoe te communiceren.
**15**
> **NEN-EN-ISO/IEC 27001:2023**
## Gedocumenteerde informatie
1. **Algemeen**
> Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) de gedocumenteerde informatie die dit document vereist; en
b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
> OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
1. **Creëren en actualiseren**
> Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
> Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en
b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
> Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, inclusief behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
> Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.
>
> **16**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-6 .unnumbered}
> OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.
# Uitvoering
## Operationele planning en beheersing
> Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:
- criteria vast te stellen voor de processen;
- procesbeheersing te implementeren in overeenstemming met de criteria.
> Gedocumenteerde informatie moet beschikbaar zijn in de omvang die nodig is om het vertrouwen te hebben dat de processen volgens planning zijn uitgevoerd.
>
> De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
>
> De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.
## Risicobeoordeling van informatiebeveiliging
> De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.
## Informatiebeveiligingsrisico's behandelen
> De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobehandeling voor informatiebeveiliging.
# Evaluatie van de prestaties
## Monitoren, meten, analyseren en evalueren
> De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van processen en beheersmaatregelen voor informatiebeveiliging;
b) de methoden voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen. Om als valide te worden te beschouwd behoren de resultaten van de geselecteerde methoden te kunnen worden vergeleken en gereproduceerd;
**17**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-7 .unnumbered}
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
f) wie deze resultaten moet analyseren en evalueren.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten.
>
> De organisatie moet de prestaties van de informatiebeveiliging en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.
## Interne audit
1. **Algemeen**
> De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
> De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
>
> Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
>
> De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.
>
> **18**
**NEN-EN-ISO/IEC 27001:2023**
## Management review
1. **Algemeen**
> Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.
2. **Input voor de management review**
> Bij de management review moet onder andere rekening worden gehouden met:
a) de status van acties die zijn voortgekomen uit voorgaande management reviews;
b) wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan;
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
> De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
>
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.
# Verbetering
## Continue verbetering
> De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.
**19**
> **NEN-EN-ISO/IEC 27001:2023**
## Afwijkingen en corrigerende maatregelen
> Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
> Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.
> **20**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-8 .unnumbered}

27
Corpus/Standards/ISO27x/OST/27001/NL/c-0-Inleiding.md Normal file
View file

@ -0,0 +1,27 @@
# 0 Inleiding
1. **Algemeen**
Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](c-0-Inleiding.md#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](c-0-Inleiding.md#_bookmark3)
]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
Informatiebeveiliging, cybersecurity en bescherming van de privacy
--- Managementsysteem voor informatiebeveiliging --- Eisen

3
Corpus/Standards/ISO27x/OST/27001/NL/c-1-Onderwerp-en-toepassingsgebied.md Normal file
View file

@ -0,0 +1,3 @@
# 1 Onderwerp en toepassingsgebied
Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-10-Verbetering.md Normal file
View file

@ -0,0 +1 @@
# 10 Verbetering

3
Corpus/Standards/ISO27x/OST/27001/NL/c-10.1-Continue-verbetering.md Normal file
View file

@ -0,0 +1,3 @@
# 10.1 Continue verbetering
De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.

29
Corpus/Standards/ISO27x/OST/27001/NL/c-10.2-Afwijkingen-en-corrigerende-maatregelen.md Normal file
View file

@ -0,0 +1,29 @@
# 10.2 Afwijkingen en corrigerende maatregelen
Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.

7
Corpus/Standards/ISO27x/OST/27001/NL/c-2-Normatieve-verwijzingen.md Normal file
View file

@ -0,0 +1,7 @@
# 2 Normatieve verwijzingen
Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*

9
Corpus/Standards/ISO27x/OST/27001/NL/c-3-Termen-en-definities.md Normal file
View file

@ -0,0 +1,9 @@
# 3 Termen en definities
Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>

1
Corpus/Standards/ISO27x/OST/27001/NL/c-4-Context-van-de-organisatie.md Normal file
View file

@ -0,0 +1 @@
# 4 Context van de organisatie

5
Corpus/Standards/ISO27x/OST/27001/NL/c-4.1-Inzicht-in-de-organisatie-en-haar-context.md Normal file
View file

@ -0,0 +1,5 @@
# 4.1 Inzicht in de organisatie en haar context
De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].

11
Corpus/Standards/ISO27x/OST/27001/NL/c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden.md Normal file
View file

@ -0,0 +1,11 @@
# 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden
De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.

13
Corpus/Standards/ISO27x/OST/27001/NL/c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen.md Normal file
View file

@ -0,0 +1,13 @@
# 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.

3
Corpus/Standards/ISO27x/OST/27001/NL/c-4.4-Managementsysteem-voor-informatiebeveiliging.md Normal file
View file

@ -0,0 +1,3 @@
# 4.4 Managementsysteem voor informatiebeveiliging
De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-5-Leiderschap.md Normal file
View file

@ -0,0 +1 @@
# 5 Leiderschap

21
Corpus/Standards/ISO27x/OST/27001/NL/c-5.1-Leiderschap-en-betrokkenheid.md Normal file
View file

@ -0,0 +1,21 @@
# 5.1 Leiderschap en betrokkenheid
Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.

Some files were not shown because too many files have changed in this diff Show more