Vault restructure
This commit is contained in:
parent
d45797d121
commit
ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
|
|
@ -0,0 +1,29 @@
|
|||
De ISO 27001 en 27002 normen beschouwen documentatie, beleidsstukken, procedures en registraties als "gedocumenteerde informatie" en vallen onder de bredere definitie van **bedrijfsmiddelen (assets)**. [^1][^2]De norm eist geen centrale "documentatie-eigenaar" voor de hele organisatie, maar hanteert een gedecentraliseerde aanpak waarbij het eigenaarschap afhankelijk is van het soort document.
|
||||
|
||||
Volgens beheersmaatregel [A.5.9](../../MoCs/ISO_27002_2022_5.9_MoC%20Inventory%20of%20information%20and%20other%20associated%20assets.md) (Inventarisatie van bedrijfsmiddelen) moet álle informatie en gerelateerde bedrijfsmiddelen een specifieke **eigenaar** toegewezen krijgen. Deze eigenaar is verantwoordelijk voor het juiste beheer van de documentatie gedurende de hele levenscyclus, waaronder de classificatie, toegangsbeperkingen en de periodieke beoordeling ervan.
|
||||
|
||||
De norm geeft specifieke richtlijnen over waar de verantwoordelijkheid voor de verschillende soorten documentatie zou moeten liggen:
|
||||
|
||||
**1. Het overkoepelende Informatiebeveiligingsbeleid** Dit is het document op het hoogste niveau. De norm eist expliciet dat de verantwoordelijkheid voor het vaststellen en goedkeuren van dit beleid uitsluitend bij het **topmanagement (de directie)** ligt.
|
||||
|
||||
**2. Onderwerpspecifieke beleidsregels** Voor meer gedetailleerde of specifieke beleidsregels (zoals beleid voor toegangsbeveiliging, cryptografie of werken op afstand) ligt de verantwoordelijkheid voor het ontwikkelen, beoordelen en goedkeuren bij **relevant personeel op basis van een passend bevoegdheidsniveau en technische bekwaamheid**. Dit betekent dat het eigenaarschap hier doorgaans bij de systeemeigenaren, security officers of afdelingsmanagers ligt (het "passende managementniveau", zie [A.5.1](archive/iso27DIY%20mk%20I/ISO_27002_2022_5.1_MoC%20Policies%20for%20information%20security.md)).
|
||||
|
||||
**3. Gedocumenteerde bedieningsprocedures** Voor werkinstructies en bedieningsprocedures (zoals omschreven in [A.5.37](../../MoCs/ISO_27002_2022_5.37_MoC%20Documented%20operating%20procedures.md)) eist de norm dat in de documentatie zélf expliciet wordt gespecificeerd **welke personen verantwoordelijk zijn** voor de in de procedure beschreven activiteiten.
|
||||
|
||||
**4. Registraties en bewijsmateriaal (Artifacts)** Registraties zijn informatie (zoals logbestanden, auditrapporten, of goedkeuringsformulieren) die als bewijs worden bewaard om aan te tonen dat processen volgens planning zijn uitgevoerd[^3] (zie [C.8.1](../../MoCs/ISO_27001_2022_8.1_MoC%20Operational%20planning%20and%20control.md)). Zoals het TypeDB-dataschema uit de bronnen illustreert, kunnen deze documenten als _artifacts_ worden gezien, waaraan specifieke actoren (zoals een persoon of organisatie) gekoppeld moeten zijn via een verantwoordelijkheidsrelatie (bijv. in de rol van eigenaar of beheerder).
|
||||
|
||||
**Algemene eisen aan documentatie-eigenaarschap (ISO 27001, Hoofdstuk 7.5)** Bij het creëren en actualiseren van élk stuk gedocumenteerde informatie eist de norm dat de organisatie zorgt voor:
|
||||
|
||||
- Passende identificatie en beschrijving, waarbij de norm expliciet de **auteur** als voorbeeld van een vereist kenmerk noemt.
|
||||
- Een proces voor formele **beoordeling en goedkeuring** van de geschiktheid en toereikendheid van het document. Dit impliceert dat er altijd iemand met de juiste autoriteit is aangewezen om de inhoud te valideren.
|
||||
|
||||
Zie [C.7.5.2](../../MoCs/ISO_27001_2022_7.5.2_MoC%20Creating%20and%20updating.md).
|
||||
|
||||
---
|
||||
|
||||
|
||||
[^1]: 3.1 Termen en definities > Bedrijfsmiddel
|
||||
|
||||
[^2]: 7.5 Gedocumenteerde informatie > 7.5.1 Algemeen
|
||||
|
||||
[^3]: 3.1 Termen en definities > Term 3.1.28 registratie
|
||||
Loading…
Add table
Add a link
Reference in a new issue