richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Vault restructure

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-23 11:51:51 +02:00
parent d45797d121
commit ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
Download patch file Download diff file Expand all files Collapse all files

BIN
Corpus/Standards/ISO27x/OST/27001/EN/ISO_27001_2022_EN.pdf Normal file
View file

Binary file not shown.

22
Corpus/Standards/ISO27x/OST/27001/EN/ISO_27001_OT F Foreword.md Normal file
View file

@ -0,0 +1,22 @@
#iso27001/2022/EN
# Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see [www.iso.org/directives] or [www.iec.ch/members_experts/refdocs]).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see [www.iso.org/patents]) or the IEC list of patent declarations received (see [https://patents.iec.ch]).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see [[www.iso.org/iso/foreword.html]](https://www.iso.org/iso/foreword.html). In the IEC, see [www.iec.ch/understanding-standards].
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, *Information Technology*, Subcommittee SC 27, *Information security, cybersecurity and privacy protection*.
This third edition cancels and replaces the second edition (ISO/IEC 27001:2013), which has been technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27001:2013/Cor 1:2014 and ISO/IEC 27001:2013/Cor 2:2015.
The main changes are as follows:
- the text has been aligned with the harmonized structure for management system standards and ISO/IEC 27002:2022.
Any feedback or questions on this document should be directed to the user's national standards body. A complete listing of these bodies can be found at [www.iso.org/members.html] and [[www.iec.ch/national-committees]](https://www.iec.ch/national-committees).

23
Corpus/Standards/ISO27x/OST/27001/EN/c-0-Introduction.md Normal file
View file

@ -0,0 +1,23 @@
#iso27001/2022/EN
# Introduction
## 0.1 General
This document has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is a strategic decision for an organization. The establishment and implementation of an organization's information security management system is influenced by the organization's needs and objectives, security requirements, the organizational processes used and the size and structure of the organization. All of these influencing factors are expected to change over time.
The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed.
It is important that the information security management system is part of and integrated with the organization's processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization.
This document can be used by internal and external parties to assess the organization\'s ability to meet the organization's own information security requirements.
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are to be implemented. The list items are enumerated for reference purpose only.
ISO/IEC 27000 describes the overview and the vocabulary of information security management systems, referencing the information security management system family of standards (including ISO/IEC 27003, ISO/IEC 27004 and ISO/IEC 27005), with related terms and definitions.
## 0.2 Compatibility with other management system standards
This document applies the high-level structure, identical sub-clause titles, identical text, common terms, and core definitions defined in Annex SL of ISO/IEC Directives, Part 1, Consolidated ISO Supplement, and therefore maintains compatibility with other management system standards that have adopted the Annex SL.
This common approach defined in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards.

7
Corpus/Standards/ISO27x/OST/27001/EN/c-1-Scope.md Normal file
View file

@ -0,0 +1,7 @@
#iso27001/2022/EN
# 1 Scope
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information
security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-10.1-Continual-improvement.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 10.1 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

29
Corpus/Standards/ISO27x/OST/27001/EN/c-10.2-Nonconformity-and-corrective-action.md Normal file
View file

@ -0,0 +1,29 @@
#iso27001/2022/EN
## 10.2 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
a\) react to the nonconformity, and as applicable:
1\) take action to control and correct it;
2\) deal with the consequences;
b\) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
1\) reviewing the nonconformity;
2\) determining the causes of the nonconformity; and
3\) determining if similar nonconformities exist, or could potentially occur;
c\) implement any action needed;
d\) review the effectiveness of any corrective action taken; and
e\) make changes to the information security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
Documented information shall be available as evidence of:
f\) the nature of the nonconformities and any subsequent actions taken,
g\) the results of any corrective action.

5
Corpus/Standards/ISO27x/OST/27001/EN/c-2-Normative-references.md Normal file
View file

@ -0,0 +1,5 @@
#iso27001/2022/EN
# 2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

8
Corpus/Standards/ISO27x/OST/27001/EN/c-3-Terms-and-definitions.md Normal file
View file

@ -0,0 +1,8 @@
#iso27001/2022/EN
# 3 Terms and definitions
For the purposes of this document, the terms and definitions given in
ISO/IEC 27000 apply.
[ISO 27000 MoC](../../../ISO%2027000%20MoC.md)

6
Corpus/Standards/ISO27x/OST/27001/EN/c-4.1-Understanding-the-organization-and-its-context.md Normal file
View file

@ -0,0 +1,6 @@
# Clause 4.1: Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in [Clause 5.4.1](../../../ISO31000-5.4.1-Understanding-the-organization-and-its-context.md) of ISO 31000:2018.

12
Corpus/Standards/ISO27x/OST/27001/EN/c-4.2-Understanding-the-needs-and-expectations-of-interested-parties.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
# 4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
a\) interested parties that are relevant to the information security management system;
b\) the relevant requirements of these interested parties;
c\) which of these requirements will be addressed through the information security management system.
NOTE The requirements of interested parties can include legal and regulatory requirements and contractual obligations.

14
Corpus/Standards/ISO27x/OST/27001/EN/c-4.3-Determining-the-scope-of-the-information-security-management-system.md Normal file
View file

@ -0,0 +1,14 @@
#iso27001/2022/EN
# 4.3 Determining the scope of the information security management system
The organization shall determine the boundaries and applicability of the information security management system to establish its scope.
When determining this scope, the organization shall consider:
a\) the external and internal issues referred to in [4.1](c-4.1-Understanding-the-organization-and-its-context.md);
b\) the requirements referred to in [4.2](../../MoCs/ISO_27001_2022_4.2_MoC%20Understanding%20the%20needs%20and%20expectations%20of%20interested%20parties.md);
c\) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.
The scope shall be available as documented information.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-4.4-Information-security-management-system.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
# 4.4 Information security management system
The organization shall establish, implement, maintain and continually improve an information security management system, including the processes needed and their interactions, in accordance with the requirements of this document.

22
Corpus/Standards/ISO27x/OST/27001/EN/c-5.1-Leadership-and-commitment.md Normal file
View file

@ -0,0 +1,22 @@
#iso27001/2022/EN
## 5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a\) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b\) ensuring the integration of the information security management system requirements into the organization's processes;
c\) ensuring that the resources needed for the information security management system are available;
d\) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e\) ensuring that the information security management system achieves its intended outcome(s);
f\) directing and supporting persons to contribute to the effectiveness of the information security management system;
g\) promoting continual improvement; and
h\) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
NOTE Reference to "business" in this document can be interpreted broadly to mean those activities that are core to the purposes of the organization's existence.

18
Corpus/Standards/ISO27x/OST/27001/EN/c-5.2-Policy.md Normal file
View file

@ -0,0 +1,18 @@
#iso27001/2022/EN
## 5.2 Policy
Top management shall establish an information security policy that:
a\) is appropriate to the purpose of the organization;
b\) includes information security objectives (see [6.2](ISO_27001_OT%206.2%20Information%20security%20objectives%20and%20planning%20to%20achieve%20them.md)) or provides the framework for setting information security objectives;
c\) includes a commitment to satisfy applicable requirements related to information security;
d\) includes a commitment to continual improvement of the information security management system. The information security policy shall:
e\) be available as documented information;
f\) be communicated within the organization;
g\) be available to interested parties, as appropriate.

12
Corpus/Standards/ISO27x/OST/27001/EN/c-5.3-Organizational-roles-responsibilities-and-authorities.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
## 5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
a\) ensuring that the information security management system conforms to the requirements of this document;
b\) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

18
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1.1-General.md Normal file
View file

@ -0,0 +1,18 @@
### 6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in [4.1](c-4.1-Understanding-the-organization-and-its-context.md) and the requirements referred to in [4.2](ISO_27001_2022_OT%204.2%20Understanding%20the%20needs%20and%20expectations%20of%20interested%20parties.md) and determine the risks and opportunities that need to be addressed to:
a\) ensure the information security management system can achieve its intended outcome(s);
b\) prevent, or reduce, undesired effects;
c\) achieve continual improvement.
The organization shall plan:
d\) actions to address these risks and opportunities; and
e\) how to
1\) integrate and implement the actions into its information security management system processes; and
2\) evaluate the effectiveness of these actions.

24
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1.2-Information-security-risk-assessment.md Normal file
View file

@ -0,0 +1,24 @@
### 6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
a\) establishes and maintains information security risk criteria that include:
1\) the risk acceptance criteria; and
2\) criteria for performing information security risk assessments;
b\) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c\) identifies the information security risks:
1\) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2\) identify the risk owners;
d\) analyses the information security risks:
1\) assess the potential consequences that would result if the risks identified in 6.1.2 c)1) were to materialize;
2\) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c)1) ; and
3\) determine the levels of risk;
e\) evaluates the information security risks:
1\) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2\) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.

29
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1.3-Information-security-risk-treatment.md Normal file
View file

@ -0,0 +1,29 @@
### 6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
a\) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
c\) compare the controls determined in 6.1.3b above with those in [Annex A] and verify that no necessary controls have been omitted;
NOTE 1 Organizations can design controls as required, or identify them from any source.
NOTE 2 [Annex A] contains a list of possible information security controls. Users of this document are directed to [Annex A] to ensure that no necessary information security controls are overlooked.
NOTE 3 The information security controls listed in [Annex A] are not exhaustive and additional information security controls can be included if needed.
d\) produce a Statement of Applicability that contains:
- the necessary controls (see 6.1.3 b) and c);
- justification for their inclusion;
- whether the necessary controls are implemented or not; and
- the justification for excluding any of the [Annex A] controls.
e\) formulate an information security risk treatment plan; and
f\) obtain risk owners' approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.

34
Corpus/Standards/ISO27x/OST/27001/EN/c-6.2-Information-security-objectives-and-planning-to-achieve-them.md Normal file
View file

@ -0,0 +1,34 @@
#iso27001/2022/EN
## 6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels.
The information security objectives shall:
a\) be consistent with the information security policy;
b\) be measurable (if practicable);
c\) take into account applicable information security requirements, and results from risk assessment and risk treatment;
d\) be monitored;
e\) be communicated;
f\) be updated as appropriate;
g\) be available as documented information.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
h\) what will be done;
i\) what resources will be required;
j\) who will be responsible;
k\) when it will be completed; and
l\) how the results will be evaluated.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-6.3-Planning-of-changes.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 6.3 Planning of changes
When the organization determines the need for changes to the information security management system, the changes shall be carried out in a planned manner.

4
Corpus/Standards/ISO27x/OST/27001/EN/c-7.1-Resources.md Normal file
View file

@ -0,0 +1,4 @@
#iso27001/2022/EN
## 7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.

15
Corpus/Standards/ISO27x/OST/27001/EN/c-7.2-Competence.md Normal file
View file

@ -0,0 +1,15 @@
#iso27001/2022/EN
## 7.2 Competence
The organization shall:
a\) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
b\) ensure that these persons are competent on the basis of appropriate education, training, or experience;
c\) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
d\) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the re-assignment of current employees; or the hiring or contracting of competent persons.

11
Corpus/Standards/ISO27x/OST/27001/EN/c-7.3-Awareness.md Normal file
View file

@ -0,0 +1,11 @@
#iso27001/2022/EN
## 7.3 Awareness
Persons doing work under the organization's control shall be aware of:
a\) the information security policy;
b\) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c\) the implications of not conforming with the information security management system requirements.

13
Corpus/Standards/ISO27x/OST/27001/EN/c-7.4-Communication.md Normal file
View file

@ -0,0 +1,13 @@
#iso27001/2022/EN
## 7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
a\) on what to communicate;
b\) when to communicate;
c\) with whom to communicate;
d\) how to communicate.

47
Corpus/Standards/ISO27x/OST/27001/EN/c-7.5-Documented-information.md Normal file
View file

@ -0,0 +1,47 @@
#iso27001/2022/EN
## 7.5 Documented information
### 7.5.1 General
The organization's information security management system shall include:
a\) documented information required by this document; and
b\) documented information determined by the organization as being necessary for the effectiveness of the information security management system.
NOTE The extent of documented information for an information security management system can differ from one organization to another due to:
1\) the size of organization and its type of activities, processes, products and services;
2\) the complexity of processes and their interactions; and
3\) the competence of persons.
### 7.5.2 Creating and updating
When creating and updating documented information the organization shall ensure appropriate:
a\) identification and description (e.g. a title, date, author, or reference number);
b\) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c\) review and approval for suitability and adequacy.
### 7.5.3 Control of documented information
Documented information required by the information security management system and by this document shall be controlled to ensure:
a\) it is available and suitable for use, where and when it is needed; and
b\) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as applicable:
c\) distribution, access, retrieval and use;
d\) storage and preservation, including the preservation of legibility;
e\) control of changes (e.g. version control); and
f\) retention and disposition.
Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.
NOTE Access can imply a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.

12
Corpus/Standards/ISO27x/OST/27001/EN/c-8.1-Operational-planning-and-control.md Normal file
View file

@ -0,0 +1,12 @@
#iso27001/2022/EN
## 8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet requirements, and to implement the actions determined in Clause 6, by:
- establishing criteria for the processes;
- implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.

6
Corpus/Standards/ISO27x/OST/27001/EN/c-8.2-Information-security-risk-assessment.md Normal file
View file

@ -0,0 +1,6 @@
#iso27001/2022/EN
# Clause 8.2: Information security risk assessment
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in [6.1.2a](ISO_27001_OT%206.1.2%20Information%20security%20risk%20assessment.md).
The organization shall retain documented information of the results of the information security risk assessments.

9
Corpus/Standards/ISO27x/OST/27001/EN/c-8.3-Information-security-risk-treatment.md Normal file
View file

@ -0,0 +1,9 @@
---
tags:
- iso27001/2022/EN
---
# Clause 8.3 Information security risk treatment
The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

20
Corpus/Standards/ISO27x/OST/27001/EN/c-9.1-Monitoring-measurement-analysis-and-evaluation.md Normal file
View file

@ -0,0 +1,20 @@
#iso27001/2022/EN
## 9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
a\) what needs to be monitored and measured, including information security processes and controls;
b\) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
c\) when the monitoring and measuring shall be performed;
d\) who shall monitor and measure;
e\) when the results from monitoring and measurement shall be analysed and evaluated;
f\) who shall analyse and evaluate these results.
Documented information shall be available as evidence of the results.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.

28
Corpus/Standards/ISO27x/OST/27001/EN/c-9.2-Internal-audit.md Normal file
View file

@ -0,0 +1,28 @@
#iso27001/2022/EN
## 9.2 Internal audit
### 9.2.1 General
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a\) conforms to
1\) the organization's own requirements for its information security management system;
2\) the requirements of this document;
b\) is effectively implemented and maintained.
### 9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
a\) define the audit criteria and scope for each audit;
b\) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
c\) ensure that the results of the audits are reported to relevant management;
Documented information shall be available as evidence of the implementation of the audit programme(s) and the audit results.

34
Corpus/Standards/ISO27x/OST/27001/EN/c-9.3-Management-review.md Normal file
View file

@ -0,0 +1,34 @@
#iso27001/2022/EN
## 9.3 Management review
### 9.3.1 General
Top management shall review the organization\'s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
### 9.3.2 Management review inputs
The management review shall include consideration of:
a\) the status of actions from previous management reviews;
b\) changes in external and internal issues that are relevant to the information security management system;
c\) changes in needs and expectations of interested parties that are relevant to the information security management system;
d\) feedback on the information security performance, including trends in:
1\) nonconformities and corrective actions;
2\) monitoring and measurement results;
3\) audit results;
4\) fulfilment of information security objectives;
e\) feedback from interested parties;
f\) results of risk assessment and status of risk treatment plan;
g\) opportunities for continual improvement.
### 9.3.3 Management review results
The results of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
Documented information shall be available as evidence of the results of management reviews.

90
Corpus/Standards/ISO27x/OST/27001/EN/rename-iso-title.zsh Executable file
View file

@ -0,0 +1,90 @@
#!/usr/bin/env zsh
set -euo pipefail
execute=false
if [[ ${1:-} == '--execute' ]]; then
execute=true
shift
fi
if [[ $# -gt 0 ]]; then
print -u2 'Usage: rename-iso-title.zsh [--execute]'
exit 2
fi
# Requires Obsidian app running and CLI enabled.
: ${OBSIDIAN_CLI:=obsidian}
files=(c-[0-9]*\.md(N))
if (( ${#files} == 0 )); then
print 'No matching files found.'
exit 0
fi
for src in "$files[@]"; do
base=${src:t}
# Read the level 1 header from the file
# Format: # <number> <title>
# Extract everything after the first number and space
header=$(head -n 1 "$src" | sed 's/^# [0-9.]* //')
if [[ -z "$header" ]]; then
print -u2 "WARN skipped (no header found): $src"
continue
fi
# Clean up the title
title=$header
# Replace spaces with dashes
title=${title// /-}
# Remove commas, slashes, parentheses, quotes
title=${title//,/}
title=${title//\//}
title=${title//\\/}
title=${title//\(}
title=${title//\)}
title=${title//\'}
title=${title//\'}
# Replace diacritics with base characters
title=${title//ï/i}
title=${title//é/e}
title=${title//è/e}
title=${title//ê/e}
title=${title//ë/e}
title=${title//ö/o}
title=${title//ü/u}
title=${title//ó/o}
title=${title//ô/o}
title=${title//á/a}
title=${title//à/a}
title=${title//ã/a}
title=${title//ä/a}
title=${title//í/i}
title=${title//ì/i}
title=${title//ñ/n}
title=${title//ú/u}
title=${title//ù/u}
# Remove multiple dashes
title=${title//---/-}
title=${title//--/-}
# Remove leading/trailing dashes
title=${title#-}
title=${title%-}
# Build new filename: c-n.n-TITLE.md
ext="${src:r}.md" # extension without the extra .md issue
filename="${src%.*}"
target="${filename}-${title}.md"
if [[ $src == $target ]]; then
print "SKIP $src"
continue
fi
print "SRC $src"
print "DEST $target"
if $execute; then
"$OBSIDIAN_CLI" rename file="$src" name="$target"
fi
done

50
Corpus/Standards/ISO27x/OST/27001/EN/rename-iso.zsh Executable file
View file

@ -0,0 +1,50 @@
#!/usr/bin/env zsh
set -euo pipefail
execute=false
if [[ ${1:-} == '--execute' ]]; then
execute=true
shift
fi
if [[ $# -gt 0 ]]; then
print -u2 'Usage: rename-iso.zsh [--execute]'
exit 2
fi
# Requires Obsidian app running and CLI enabled.
# Adjust OBSIDIAN_CLI to the command you actually use (e.g. `obsidian`).
: ${OBSIDIAN_CLI:=obsidian}
files=(ISO_27001*.md(N))
if (( ${#files} == 0 )); then
print 'No matching files found.'
exit 0
fi
for src in "$files[@]"; do
base=${src:t}
# Match both ISO_27001_OT and ISO_27001_2022_OT patterns
if [[ $base =~ '^ISO_27001(_2022)?_OT ([0-9.]+) (.+)\.md$' ]]; then
version=${match[2]#_}
title=${match[3]}
target="c-${version}-${title}.md"
# Replace spaces with dashes
target=${target// /-}
# Remove commas
target=${target//,}
# Prevent double dashes
target=${target//--/-}
if [[ $src == $target ]]; then
print "SKIP $src"
continue
fi
print "SRC $src"
print "DEST $target"
if $execute; then
"$OBSIDIAN_CLI" rename file="$src" name="$target"
fi
else
print -u2 "WARN skipped (pattern mismatch): $src"
fi
done

223
Corpus/Standards/ISO27x/OST/27001/NL/IBB op hoofdlijnen.md Normal file
View file

@ -0,0 +1,223 @@
#iso27001/2023/NL
# Informatiebeveiligingsbeleid op hoofdlijnen
Een informatiebeveiligingsbeleid moet de hieronder genoemde punten adresseren.
_De nummering verwijst naar de hoofdstukken/paragrafen uit ISO 27001:2023_
**H4              Context van de organisatie**
H4.1         Relevante punten (intern en extern) die invloed kunnen hebben op het kunnen behalen van de doelstellingen m.b.t. informatiebeveiliging
Voorwaarde: formuleren doelstellingen m.b.t. informatiebeveiliging
H4.2         Relevante stakeholders en hun eisen, en welke hiervan geadresseerd zullen worden (binnen het domein informatiebeveiliging)
H4.3         Begrenzing en toepasselijkheid van het managementsysteem voor informatiebeveiliging, rekening houdend met H4.1, H4.2 en de raakvlakken met en afhankelijkheden van andere organisaties.
H4.4         Er moet een managementsysteem voor informatiebeveiliging worden ingericht, geïmplementeerd, onderhouden en verbeterd worden incl. benodigde processen.
**H5              Leiderschap**
H5.1         Het topmanagement moet leiderschap en betrokkenheid tonen door:
a)         doelen en beleid voor informatiebeveiliging vast te stellen, dat compatibel is met de strategische richting van de organisatie
Voorwaarde: strategie moet bekend zijn
b)        integratie van het informatiebeveiligingsmanagement in de processen van de organisatie
c)         beschikbaar stellen benodigde middelen
d)        communiceren van het belang en noodzaak van informatiebeveiligingsmanagement en de daaruit volgende eisen
e)         zorgen dat de doelstellingen/resultaten behaald worden
f)           mensen aansturen en ondersteunen om hun bijdrage te leveren
g)         bevorderen van continue verbetering
h)        ondersteunen van anderen bij de invulling van hun leiderschap
H.5.2        Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a)         passend is voor het doel van de organisatie
b)        doelstellingen bevat, of een kader om die vast te stellen (zie 6.2)
c)         zich committeren aan het voldoen aan de gedefinieerde eisen
d)        zich committeren aan continue verbetering
e)         het beleid moet beschikbaar zijn
f)          het beleid moet gecommuniceerd worden
g)         het beleid moet beschikbaar zijn voor belanghebbenden
H5.3         Het topmanagement moet rollen, verantwoordelijkheden en bevoegdheden toekennen en communiceren, om:
a)         het managementsysteem voor informatiebeveiliging te laten voldoen aan de vastgestelde eisen (i.e. ISO 27001)
b)        te rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement
**H6                  Planning**
_H6.1             Risicos en kansen_
H6.1.1        Risicos en kansen moeten vastgesteld en geadresseerd worden (met overweging van de issues en eisen uit 4.1 en 4.2), om:
a)           te zorgen dat de beoogde resultaten behaald worden (zie H51a en H5.2b)
b)           ongewenste effecten te voorkomen of te verminderen;
c)            continue verbetering te bereiken.
Acties om die risicos en kansen op te pakken moeten:
d)           gepland worden
e)            volgens een beschreven proces worden geïntegreerd, geïmplementeerd, en geëvalueerd (op doeltreffendheid)
H6.1.2        Er moet een procedure voor risicobeoordeling zijn die:
a)        criteria voor risicoacceptatie en het uitvoeren van risicobeoordelingen bevat
b)        herhaalbaar is (consistent)
c)         risicos voor vertrouwelijkheid, integriteit en beschikbaarheid identificeert en risico-eigenaren aanwijst
d)        van risicos de impact, waarschijnlijkheid en risicoscore (R = P x I) beoordeelt
e)         de risicos evalueert t.o.v. de criteria (a) en een prioriteit toekent.
H6.1.3        Er moet een procedure zijn voor risicobehandeling om:
a)        passende opties voor behandeling te benoemen, o.b.v. de risicobeoordeling
b)        de nodige maatregelen vast te stellen
c)         de vastgestelde maatregelen te vergelijken met de maatregelen in ISO 27001 Annex A.
d)        een _verklaring van toepasselijkheid_ op te stellen met de maatregelen uit b), de rechtvaardiging daarvan, en of deze maatregelen geïmplementeerd zijn, en een rechtvaardigen voor het niet toepassen van specifieke maatregelen uit Annex A.
e)         een plan op te stellen voor de behandeling van risicos
f)           de goedkeuring te krijgen van de risico-eigenaren voor die behandeling en de acceptatie van de restrisicos.
_H6.2             Doelstellingen en planning (aanpak)_
Per functie en niveau moeten doelstellingen vastgesteld worden, die consistent en meetbaar zijn, en rekening houden met gestelde eisen en de resultaten van de risicobeoordeling en -behandeling.
De doelstellingen moeten worden gemonitord, gecommuniceerd, geactualiseerd, en gedocumenteerd.
De planningen moeten beschrijven wat er zal worden gedaan, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het voltooid zal zijn, en hoe de resultaten worden geëvalueerd.
H8 behandelt de uitvoering van deze planningen.
_H6.3             Wijzigingen_
Wijzigingen in het managementsysteem moeten volgens een beschreven werkwijze worden doorgevoerd.
**H7                  Ondersteuning**
Vaststellen welke middelen nodig zijn voor het managementsysteem voor informatiebeveiliging, en deze beschikbaar stellen. Dit betreft de volledige cyclus van inrichten, implementeren, onderhouden en continu verbeteren.
_H7.2             Competenties_
-          Vaststellen van de benodigde competenties van relevante personen
-          Zorgen dat deze personen competent zijn of worden
-          De doeltreffendheid van ondernomen acties hiervoor evalueren
-          Bewijzen van competenties bewaren.
_H7.3             Bewustzijn_
Medewerkers (en ingehuurd personeel) moeten zich bewust zijn van het informatiebeveiligingsbeleid, hun bijdrage aan de doeltreffendheid daarvan en de voordelen die dat oplevert, en de gevolgen van het niet voldoen aan de gestelde eisen.
_H7.4             Communicatie_
Vaststellen van de relevante interne en externe communicatie, met onderwerpen, momenten, doelgroepen en medium.
_H7.5             Documentatie_
Het managementsysteem moet alle documentatie bevatten die vereist is vanuit normen, wet- en regelgeving, plus wat de organisatie zelf nodig vindt voor de doeltreffendheid van het managementsysteem (H7.5.1).
Dit mag in verhouding zijn tot de omvang van de organisatie, de complexiteit van de processen, en de competentie van de mensen.
Voor het creëren en actualiseren moet gezorgd worden voor (H7.5.2):
a)        identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b)        format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c)         beoordeling en goedkeuring van geschiktheid en toereikendheid.
De documentatie moet beheerd worden zodat (H7.5.3) ze beschikbaar is waar en wanneer dat nodig is, en afdoende beveiligd is.
Dit moet ingevuld worden met activiteiten voor:
-          distributie, vindbaarheid en toegangsverlening
-          opslag en behoud van leesbaarheid
-          wijzigings- en versiebeheer
-          bewaring en vernietiging
**H8                  Uitvoering**
_H8.1             Operationele planning en beheersing_
Er moeten processen geïmplementeerd worden om te voldoen aan vastgestelde eisen, en de in H6 vastgestelde acties uit te voeren.
Er moet voldoende documentatie zijn om vast te stellen dat die processen volgens plan zijn uitgevoerd.
Wijzigingen in die processen moeten planmatig worden uitgevoerd, en de consequenties van onbedoelde wijzigingen (uitzonderingen) moeten beoordeeld worden. Als het nodig is, moeten er maatregelen komen om nadelige effecten tegen te gaan.
Er moeten ook processen zijn voor de beheersing van informatiebeveiliging van extern geleverde processen, producten of diensten.
_H8.2             Risicobeoordelingen_ moeten regelmatig worden uitgevoerd, èn bij belangrijke (interne of externe) veranderingen (volgens de criteria uit H6.1.2a). De resultaten moeten gedocumenteerd worden.
_H8.3_             Vervolgens moet het _Risicobehandelingsplan_ (uit H6.1.3e) geimplementeerd worden. De resultaten moeten gedocumenteerd worden.
**H9                  Evaluatie**
_H9.1             Monitoren, meten, analyseren en evalueren_
De organisatie moet vaststellen wat er gemonitord en gemeten moet worden, hoe dat moet gebeuren (reproduceerbaar en vergelijkbaar), wanneer en door wie dat moet gebeuren, en wanneer en door wie de resultaten worden geanalyseerd en geëvalueerd.
Dit geldt voor de informatiebeveiligingsmaatregelen, en het managementsysteem zelf.
_H9.2             Interne audit_
De organisatie moet met geplande tussenpozen interne audits uitvoeren op het managementsysteem voor informatiebeveiliging:
-          voldoet het aan de eigen eisen?
-          voldoet het aan de norm?
-          is het doeltreffend geïmplementeerd en onderhouden?
Hiervoor moet een auditprogramma worden vastgesteld, inclusief frequentie, methoden, verantwoordelijkheden en rapportage. Resultaten van eerdere audits moeten worden meegenomen.
Audits moeten voldoen aan gestelde criteria en hebben een bepaalde rijkwijdte. Ze moeten objectief worden uitgevoerd. De resultaten moeten aan het relevante management gerapporteerd worden.
_H9.3             Management review_
Het managementsysteem moet met geplande tussenpozen door het topmanagement beoordeeld worden op geschiktheid, toereikendheid en doeltreffendheid.
Als input dienen:
a)        status van acties uit eerdere reviews
b)        wijzigingen in relevante issues (H4.1)
c)         wijzigingen in de behoeften en verwachtingen van de belanghebbenden (H4.2)
d)        feedback over de prestaties van de informatiebeveiliging, incl. _trends_ in afwijkingen en corrigerende maatregelen, resultaten van monitoren en meten, auditresultaten, het voldoen aan doelstellingen;
e)         feedback van belanghebbenden
f)           resultaten van risicobeoordeling en de status van het risicobehandelingsplan
g)         kansen voor continue verbetering.
Resultaten van de review zijn o.a. beslissingen voor continue verbetering en noodzakelijke wijzigingen in het managementsysteem.
**H10              Verbetering**
Er moet een procedure zijn voor de omgang met afwijkingen in (de uitvoering van) het managementsysteem.
De organisatie moet:
a)        reageren op de afwijking: maatregelen treffen om de afwijking  te beheersen, corrigeren, en gevolgen aan te pakken;
b)        bepalen of maatregelen nodig zijn om herhaling te voorkomen (door oorzaken vast te stellen en weg te nemen)
c)         de maatregelen implementeren
d)        de doeltreffendheid daarvan te beoordelen
e)         wijzigingen in het managementsysteem aan te brengen, indien nodig
f)           de aard van de afwijkingen en maatregelen documenteren
g)         de resultaten van de maatregelen documenteren.
VOORBLAD
Document
Doelgroep
Classificatie
Versie
Eigenaar
INLEIDING
Over dit document:
-              Doelgroep
-              Doel
-              Gebaseerd op ISO 27001, organisatie-eigen stukken

51
Corpus/Standards/ISO27x/OST/27001/NL/ISO 27001 2023 Processen en Artefacten.md Normal file
View file

@ -0,0 +1,51 @@
#iso27001/2023/NL
## Processen
- Processen om het ISMS zelf te onderhouden
- contextanalyse (H4)
- Risicoanalyse (H6.1), incl. Dreigingsanalyse (A5.7)
- wijzigingen aan het ISMS (H6.3)
- risicobeoordeling en -acceptatie (H6.1.2, H8.2, H8.3)
- documentatie (H7.5)
- evaluatie van het ISMS (H9)
- afwijkingen en verbeteringen (H10)
- rollen en verantwoordelijkheden m.b.t. het ISMS (H5.3)
- Processen om de gekozen maatregelen te onderhouden
- Leveranciersmanagement (H8.1)
- Informatiebeveiliging in projecten (H5.8)
- evaluatie van maatregelen (H9)
- rollen en verantwoordelijkheden m.b.t. de maatregelen (H5.3)
## Te produceren stukken
- Beschrijving relevante issues (intern en extern) (H4.1)
- SWOT-analyse (H6.1)
- Risicoanalyse (H6.1), incl. Dreigingsanalyse (A5.7)
- Stakeholder analyse (H4.2)
- Overzicht wet- en regelgeving (H4.1, H4.2)
- Vaststellen doelen informatiebeveiliging (H5.1a)
- Informatiebeveiligingsbeleid (H5.2)
- Risicoanalyse (H6.1.2)
- Lijst maatregelen (H6.1.3)
- Toegangsbeveiliging informatiesystemen (A5.15)
- Identiteitsbeheer (A5.16)
- Toegangsrechten (A5.18)
- Maatregelen m.b.t. leveranciers (A5.19-A5.23)
- Fysieke toegangsbeveiliging (A7)
- EDM (8.1)
- Backups en redundantie (A8.13, A8.14)
- Logging en Monitoring (A8.15, A8.16)
- Update procedures (A8.19)
- Netwerkbeveiliging (A8.20-A8.23)
- Systeemarchitectuur (A8.27)
- Softwareontwikkeling (A8.25, A8.28-A8.33)
- Incidentenprocedure (A5.24-A5.29)
- Bedrijfscontinuïteitsplan (A5.30)
- Licentiebeheer (A5.32)
- Privacybeleid (A5.34)
- Voorschriften gebruik apparatuur en software (5.37)
- Planning implementatie maatregelen (H8.1)
- Communicatieplan (H7.4)
- Planning van terugkerende taken (evalueren, herzien, bijwerken)
- Asset-inventarisatie (A5.9)
- Classificatie van informatie en assets (A5.12)

54
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_Aanpassingen.md Normal file
View file

@ -0,0 +1,54 @@
#iso27001/2023/NL
# Aanpassingen in ISO 27001:2023
De ISO 27001:2022 is aangepast op de nieuwe HS (Harmonized Structure). Deze wijzigingen zorgen voor een betere aansluiting bij Annex SL.
Diverse punten in de hoofdstukken 4 t/m 10 zijn aangescherpt, toegevoegd, herschreven of gesplitst. Dit zijn de wijzigingen:
## Aanpassingen in het ISMS
- 4.1 Context is aangescherpt
- 4.2 Belanghebbenden is aangescherpt
- 4.4 ISMS is aangescherpt
- 6.1.3 Risicobehandeling is aangescherpt
- 6.2 Doelstellingen is aangescherpt
- 6.3 Verandermanagement is toegevoegd
- 8.1 Operationele planning is herschreven
- 9.1 Monitoring is aangescherpt
- 9.2 Algemeen en Auditprogramma is gesplitst
- 9.3 Algemeen, input en output is gesplitst
- 10.1 Verbeteren en Afwijkingen & Corrigerende maatregelen is aangepast
### Aanpassing aan nieuwe Harmonized Structure
De ISO 27001:2022 is aangepast op de nieuwe Harmonized Structure(HS). Deze HS is in 2021 gepubliceerd en is een update van de High Level Structure(HLS). HS is de basisstructuur van alle ISO managementsysteemnormen. In [dit artikel](https://www.cuccibu.eu/nieuws/de-nieuwe-high-level-structure/) lees je meer over de inhoudelijke veranderingen van HLS naar HS. De HS heeft de volgende impact op ISO 27001:  
- **Wijzigingen in gedocumenteerde informatie**. In de HLS werd verwezen naar verschillende werkwoorden, zoals onderhouden voor documenten en bijhouden voor registraties. Dit zorgde vaak voor verwarring. In de HS is gekozen voor een eenduidige terminologie. Er wordt gesproken over beschikbaar zijn van gedocumenteerde informatie.  
- **Behoeftes en verwachtingen stakeholders belangrijker.** In paragraaf 4.2 van de HLS staat dat een organisatie de relevante eisen van relevante belanghebbende moet identificeren. Hoe een organisatie omgaat met behoeftes en verwachtingen van stakeholders blijft echter onduidelijk. In de HS worden de behoeftes en verwachtingen wel opgenomen. De organisatie moet vaststellen welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging, welke eisen deze belanghebbenden stellen én welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging. De eisen van belanghebbende kunnen wettelijke en regelgevende eisen, maar ook contractuele verplichtingen omvatten. 
- **Eisen aan de processen van het ISMS.** In de voorgaande versie van ISO 27001 is in paragraaf 4.4 afgeweken van de HLS. Er werden eisen gesteld voor het vaststellen, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsmanagementsysteem (ISMS). Echter ontbraken de eisen voor en de samenhang met de onderliggende processen. In de herziene versie is deze tekortkoming hersteld en wordt er weer aangesloten bij de HS. Dit bekent meer focus op processen in de ISO 27001:2022. 
- **Plannen van wijzigingen.** In hoofdstuk 6 van de HS is een nieuwe paragraaf opgenomen, namelijk 6.3. Deze paragraaf stelt dat wijzigingen aan het managementsysteem op een geplande manier moeten worden uitgevoerd. Management of change wordt hiermee expliciet onderdeel van de HS. In ISO 27001:2022 is paragraaf 6.3 ook opgenomen.
- **Van uitbesteden naar extern geleverde processen, producten en diensten.** De begrippen uitbesteden en beheersing van uitbestede processen worden niet meer toegepast in de HS. Voortaan worden er eisen gesteld aan de extern geleverde processen, producten en diensten die relevant zijn voor het managementsysteem. Ook de herziene ISO 27001 norm volgt deze benadering
## Nieuwe beheersmaatregelen in Annex A
In de oude norm ISO 27001:2013 waren 114 beheersmaatregelen opgenomen. Een flinke lijst, die in ISO 27001:2022 is ingekort. Er zijn nu 93 beheersmaatregelen. ISO besloot om veel maatregelen samen te voegen waardoor de norm past bij deze tijd. Wel voegde ISO 11 nieuwe beheersmaatregelen toe.
- 5.7 Informatie en analyses over dreigingen:
Informatie met betrekking tot informatiebeveiliging dreigingen moet worden verzameld en geanalyseerd om informatie over dreigingen te produceren.
- 5.23 Informatiebeveiliging voor het gebruik van clouddiensten:
Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
- 5.30 ICT-gereedheid voor bedrijfscontinuïteit:
De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
- 7.4 Monitoren van de fysieke beveiliging:
Het gebouw en terrein behoren voortdurend te worden gemonitord op onbevoegde fysieke toegang.
- 8.9 Configuratiebeheer:
Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
- 8.10 Wissen van informatie:
In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer vereist is.
- 8.11 Maskeren van gegevens:
Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerp specifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerp specifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
- 8.12 Voorkomen van gegevenslekken:
Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
- 8.16 Monitoren van activiteiten:
Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren.
- 8.23 Toepassen van webfilters:
De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
- 8.28 Veilig coderen:
Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.

40
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_Index.md Normal file
View file

@ -0,0 +1,40 @@
#iso27001/2023/NL
Publicatiedatum: augustus 2023
| 2023 ID | Onderwerp | Brontekst |
| :------ | :------------------------------------------------------------------------- | :----------------------------- |
| **0** | **Inleiding** | [BT](c-0-Inleiding.md) |
| **1** | **Onderwerp en toepassingsgebied** | [BT](c-1-Onderwerp-en-toepassingsgebied.md) |
| **2** | **Normatieve verwijzingen** | [BT](c-2-Normatieve-verwijzingen.md) |
| **3** | **Termen en definities** | [BT](c-3-Termen-en-definities.md) |
| **4** | **Context van de organisatie** | |
| 4.1 | Inzicht in de organisatie en haar context | [BT](c-4.1-Inzicht-in-de-organisatie-en-haar-context.md) |
| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [BT](c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden.md) |
| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [BT](c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen.md) |
| 4.4 | Managementsysteem voor informatiebeveiliging | [BT](c-4.4-Managementsysteem-voor-informatiebeveiliging.md) |
| **5** | **Leiderschap** | |
| 5.1 | Leiderschap en betrokkenheid | [BT](c-5.1-Leiderschap-en-betrokkenheid.md) |
| 5.2 | Beleid | [BT](c-5.2-Beleid.md) |
| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [BT](c-5.3-Rollen-verantwoordelijkheden-en-bevoegdheden-binnen-de-organisatie.md) |
| **6** | **Planning** | |
| 6.1 | Acties om risico's en kansen op te pakken | [BT](c-6.1-Acties-om-risicos-en-kansen-op-te-pakken.md) |
| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [BT](c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken.md) |
| 6.3 | Planning van wijzigingen | [BT](c-6.3-Planning-van-wijzigingen.md) |
| **7** | **Ondersteuning** | |
| 7.1 | Middelen | [BT](c-7.1-Middelen.md) |
| 7.2 | Competentie | [BT](c-7.2-Competentie.md) |
| 7.3 | Bewustzijn | [BT](c-7.3-Bewustzijn.md) |
| 7.4 | Communicatie | [BT](c-7.4-Communicatie.md) |
| 7.5 | Gedocumenteerde informatie | [BT](c-7.5-Gedocumenteerde-informatie.md) |
| **8** | **Uitvoering** | |
| 8.1 | Operationele planning en beheersing | [BT](c-8.1-Operationele-planning-en-beheersing.md) |
| 8.2 | Risicobeoordeling van informatiebeveiliging | [BT](c-8.2-Risicobeoordeling-van-informatiebeveiliging.md) |
| 8.3 | Informatiebeveiligingsrisico's behandelen | [BT](c-8.3-Informatiebeveiligingsrisicos-behandelen.md) |
| **9** | **Evaluatie van de prestaties** | |
| 9.1 | Monitoren, meten, analyseren en evalueren | [BT](c-9.1-Monitoren-meten-analyseren-en-evalueren.md) |
| 9.2 | Interne audit | [BT](c-9.2-Interne-audit.md) |
| 9.3 | Management review | [BT](../EN/c-9.3-Management-review.md) |
| **10** | **Verbetering** | |
| 10.1 | Continue verbetering | [BT](c-10.1-Continue-verbetering.md) |
| 10.2 | Afwijkingen en corrigerende maatregelen | [BT](c-10.2-Afwijkingen-en-corrigerende-maatregelen.md) |

6
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_PDF.md Normal file
View file

@ -0,0 +1,6 @@
#iso27001/2023/NL
# ISO 27001 2023 NL
![](ISO_IEC_27001_2023_NL.pdf)

BIN
Corpus/Standards/ISO27x/OST/27001/NL/ISO_IEC_27001_2023_NL.pdf Normal file
View file

Binary file not shown.

496
Corpus/Standards/ISO27x/OST/27001/NL/ISO_IEC_27001_2023_NL_ bijlage-A.md Normal file
View file

@ -0,0 +1,496 @@
> []{#_bookmark38 .anchor}**Bijlage A**
(normatief)
# Referentie voor beheersmaatregelen voor informatiebeveiliging {#referentie-voor-beheersmaatregelen-voor-informatiebeveiliging .unnumbered}
> De in tabel A.1 opgenomen beheersmaatregelen voor informatiebeveiliging zijn rechtstreeks afgeleid van en afgestemd met de in ISO/IEC 27002:2022 \[1\], hoofdstuk 5 t/m 8 opgenomen beheersmaatregelen en moeten in context met 6.1.3 worden gebruikt.
**Tabel A.1 --- Beheersmaatregelen voor informatiebeveiliging**
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **5** | **Organisatorische beheersmaatregelen** | |
+=======+===========================================================+==============================================================================================================================================================================================================================================================================================================================+
| 5.1 | Beleidsregels voor informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels moeten worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, worden beoordeeld. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | Rollen en verantwoordelijkheden bij informatiebeveiliging moeten worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.3 | Functiescheiding | **Beheersmaatregel** |
| | | |
| | | Conflicterende taken en conflicterende verantwoordelijkheden moeten worden gescheiden. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.4 | Managementverantwoordelijkheden | **Beheersmaatregel** |
| | | |
| | | Het management moet van al het personeel eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.5 | Contact met overheidsinstanties | **Beheersmaatregel** |
| | | |
| | | De organisatie moet contact met de relevante instanties leggen en onderhouden. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.6 | Contact met speciale belangengroepen | **Beheersmaatregel** |
| | | |
| | | De organisatie moet contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen leggen en onderhouden. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.7 | Informatie en analyses over dreigingen | **Beheersmaatregel** |
| | | |
| | | Informatie met betrekking tot informatiebeveiligingsdreigingen moet worden verzameld en geanalyseerd om informatie over dreigingen te produceren. |
+-------+-----------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**21**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-9 .unnumbered}
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.8 | Informatiebeveiliging in projectmanagement | **Beheersmaatregel** |
| | | |
| | | Informatiebeveiliging moet worden geïntegreerd in projectmanagement. |
+======+=============================================================================+==========================================================================================================================================================================================================================+
| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | **Beheersmaatregel** |
| | | |
| | | Er moet een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, worden opgesteld en onderhouden. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | **Beheersmaatregel** |
| | | |
| | | Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen moeten worden geïdentificeerd, gedocumenteerd en geïmplementeerd. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.11 | Retourneren van bedrijfsmiddelen | **Beheersmaatregel** |
| | | |
| | | Personeel en andere belanghebbenden, al naargelang de situatie, moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst retourneren. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.12 | Classificeren van informatie | **Beheersmaatregel** |
| | | |
| | | Informatie moet worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.13 | Labelen van informatie | **Beheersmaatregel** |
| | | |
| | | Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.14 | Overdragen van informatie | **Beheersmaatregel** |
| | | |
| | | Er moeten regels, procedures of overeenkomsten voor informatieoverdracht zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.15 | Toegangsbeveiliging | **Beheersmaatregel** |
| | | |
| | | Er moeten regels op basis van bedrijfs- en informatiebeveiligingseisen worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.16 | Identiteitsbeheer | **Beheersmaatregel** |
| | | |
| | | De volledige levenscyclus van identiteiten moet worden beheerd. |
+------+-----------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **22**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-10 .unnumbered}
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.17 | Authenticatie-informatie | **Beheersmaatregel** |
| | | |
| | | De toewijzing en het beheer van authenticatie-informatie moet worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt. |
+======+===============================================================================+=================================================================================================================================================================================================================================================================================+
| 5.18 | Toegangsrechten | **Beheersmaatregel** |
| | | |
| | | Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen moeten worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.19 | Informatiebeveiliging in leveranciersrelaties | **Beheersmaatregel** |
| | | |
| | | Er moeten processen en procedures worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheersen. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | **Beheersmaatregel** |
| | | |
| | | Relevante informatiebeveiligingseisen moeten worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie worden overeengekomen. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.21 | Beheren van informatiebeveiliging in de ICT-toeleveringsketen | **Beheersmaatregel** |
| | | |
| | | Er moeten processen en procedures worden bepaald en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten |
| | | |
| | | en -diensten te beheersen. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | **Beheersmaatregel** |
| | | |
| | | De organisatie moet de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig monitoren, beoordelen, evalueren en veranderingen daaraan beheren. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | **Beheersmaatregel** |
| | | |
| | | Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten moeten overeenkomstig de informatiebeveiligingseisen van de organisatie worden opgesteld. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligings- incidenten | **Beheersmaatregel** |
| | | |
| | | De organisatie moet plannen opstellen voor, en zich voorbereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatie- beveiligingsincidenten te definiëren, vast te stellen en te communiceren. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | **Beheersmaatregel** |
| | | |
| | | De organisatie moet informatiebeveiligingsgebeurtenissen beoordelen en beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten. |
+------+-------------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**23**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-11 .unnumbered}
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.26 | Reageren op informatiebeveiligingsincidenten | **Beheersmaatregel** |
| | | |
| | | Op informatiebeveiligingsincidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures. |
+======+============================================================+=========================================================================================================================================================================================================================================================================================+
| 5.27 | Leren van informatiebeveiligingsincidenten | **Beheersmaatregel** |
| | | |
| | | Kennis die is opgedaan met informatiebeveiligingsincidenten moet worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.28 | Verzamelen van bewijsmateriaal | **Beheersmaatregel** |
| | | |
| | | De organisatie moet procedures vaststellen en implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.29 | Informatiebeveiliging tijdens een verstoring | **Beheersmaatregel** |
| | | |
| | | De organisatie moet plannen maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | **Beheersmaatregel** |
| | | |
| | | De ICT-gereedheid moet worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoel- stellingen en ICT-continuïteitseisen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | **Beheersmaatregel** |
| | | |
| | | Wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, moeten worden geïdentificeerd, gedocumenteerd en actueel gehouden. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.32 | Intellectuele-eigendomsrechten | **Beheersmaatregel** |
| | | |
| | | De organisatie moet passende procedures implementeren om intellectuele-eigendomsrechten te beschermen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.33 | Beschermen van registraties | **Beheersmaatregel** |
| | | |
| | | Registraties moeten worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.34 | Privacy en bescherming van persoonsgegevens | **Beheersmaatregel** |
| | | |
| | | De organisatie moet de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen identificeren en eraan voldoen. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, worden beoordeeld. |
+------+------------------------------------------------------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **24**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-12 .unnumbered}
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie moet regelmatig worden beoordeeld. |
+=======+=========================================================================+=========================================================================================================================================================================================================================================================================================================================================================================================================================================================+
| 5.37 | Gedocumenteerde bedieningsprocedures | **Beheersmaatregel** |
| | | |
| | | Bedieningsprocedures voor informatieverwerkende faciliteiten moeten worden gedocumenteerd en beschikbaar worden gesteld aan het personeel dat ze nodig heeft. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **6** | **Mensgerichte beheersmaatregelen** | |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.1 | Screening | **Beheersmaatregel** |
| | | |
| | | De achtergrond van alle kandidaten voor een dienstverband moet worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden worden herhaald. Hierbij moet rekening worden gehouden met de toepasselijke wet- en regelgeving en ethische overwegingen, en deze controle moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.2 | Arbeidsovereenkomst | **Beheersmaatregel** |
| | | |
| | | In arbeidsovereenkomsten moet worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | **Beheersmaatregel** |
| | | |
| | | Personeel van de organisatie en relevante belanghebbenden moeten een passende bewustwording van, opleiding en training in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, krijgen. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.4 | Disciplinaire procedure | **Beheersmaatregel** |
| | | |
| | | Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | **Beheersmaatregel** |
| | | |
| | | Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband, moeten worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | **Beheersmaatregel** |
| | | |
| | | Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, moeten worden geïdentificeerd, gedocumenteerd, regelmatig worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden. |
+-------+-------------------------------------------------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**25**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-13 .unnumbered}
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 6.7 | Werken op afstand | **Beheersmaatregel** |
| | | |
| | | Wanneer personeel op afstand werkt, moeten er beveiligingsmaatregelen worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen. |
+=======+====================================================+=========================================================================================================================================================================================================================+
| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | **Beheersmaatregel** |
| | | |
| | | De organisatie moet voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligings- gebeurtenissen tijdig via passende kanalen kan melden. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **7** | **Fysieke beheersmaatregelen** | |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.1 | Fysieke beveiligingszones | **Beheersmaatregel** |
| | | |
| | | Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, moeten worden beschermd door beveiligingszones te definiëren en te gebruiken. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.2 | Fysieke toegangsbeveiliging | **Beheersmaatregel** |
| | | |
| | | Beveiligde zones moeten worden beschermd door passende toegangsbeveiligingsmaatregelen en toegangspunten. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | **Beheersmaatregel** |
| | | |
| | | Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en geïmplementeerd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.4 | Monitoren van de fysieke beveiliging | **Beheersmaatregel** |
| | | |
| | | Het gebouw en terrein moet voortdurend worden gemonitord op onbevoegde fysieke toegang. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | **Beheersmaatregel** |
| | | |
| | | Er moet bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen voor de infrastructuur, worden ontworpen en geïmplementeerd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.6 | Werken in beveiligde zones | **Beheersmaatregel** |
| | | |
| | | Voor het werken in beveiligde zones moeten beveiligingsmaatregelen worden ontwikkeld en geïmplementeerd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.7 | 'Clear desk' en 'clear screen' | **Beheersmaatregel** |
| | | |
| | | Er moeten 'clear desk'-regels voor papieren documenten en verwijderbare opslagmedia en 'clear screen'-regels voor informatieverwerkende faciliteiten worden gedefinieerd en op passende wijze worden afgedwongen. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.8 | Plaatsen en beschermen van apparatuur | **Beheersmaatregel** |
| | | |
| | | Apparatuur moet veilig worden geplaatst en beschermd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | **Beheersmaatregel** |
| | | |
| | | Bedrijfsmiddelen buiten het gebouw en/of terrein moeten worden beschermd. |
+-------+----------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **26**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-14 .unnumbered}
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.10 | Opslagmedia | **Beheersmaatregel** |
| | | |
| | | Opslagmedia moeten worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie. |
+=======+===================================================+================================================================================================================================================================================================================================================+
| 7.11 | Nutsvoorzieningen | **Beheersmaatregel** |
| | | |
| | | Informatieverwerkende faciliteiten moeten worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.12 | Beveiligen van bekabeling | **Beheersmaatregel** |
| | | |
| | | Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen onderschepping, interferentie of beschadiging. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.13 | Onderhoud van apparatuur | **Beheersmaatregel** |
| | | |
| | | Apparatuur moet op de juiste wijze worden onderhouden om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te garanderen. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | **Beheersmaatregel** |
| | | |
| | | Onderdelen van de apparatuur die opslagmedia bevatten, moeten worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| **8** | **Technologische beheersmaatregelen** | |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.1 | \'User endpoint devices\' | **Beheersmaatregel** |
| | | |
| | | Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via \'user endpoint devices\' moet worden beschermd. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.2 | Speciale toegangsrechten | **Beheersmaatregel** |
| | | |
| | | Het toewijzen en het gebruik van speciale toegangsrechten moet worden beperkt en beheerd. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.3 | Beperking toegang tot informatie | **Beheersmaatregel** |
| | | |
| | | De toegang tot informatie en andere gerelateerde bedrijfsmiddelen moet worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.4 | Toegangsbeveiliging op broncode | **Beheersmaatregel** |
| | | |
| | | Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken moet op passende wijze worden beheerd. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.5 | Beveiligde authenticatie | **Beheersmaatregel** |
| | | |
| | | Er moeten beveiligde authenticatietechnologieën |
| | | |
| | | en -procedures worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging. |
+-------+---------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**27**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-15 .unnumbered}
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.6 | Capaciteitsbeheer | **Beheersmaatregel** |
| | | |
| | | Het gebruik van middelen moet worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen. |
+======+========================================================+============================================================================================================================================================================================================================================================+
| 8.7 | Bescherming tegen malware | **Beheersmaatregel** |
| | | |
| | | Bescherming tegen malware moet worden geïmplementeerd en ondersteund door een passend gebuikersbewustzijn. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.8 | Beheer van technische kwetsbaarheden | **Beheersmaatregel** |
| | | |
| | | Er moet informatie worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten passende maatregelen worden getroffen. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.9 | Configuratiebeheer | **Beheersmaatregel** |
| | | |
| | | Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken moeten worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.10 | Wissen van informatie | **Beheersmaatregel** |
| | | |
| | | In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie moet worden gewist als deze niet langer vereist is. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.11 | Maskeren van gegevens | **Beheersmaatregel** |
| | | |
| | | Gegevens moeten worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.12 | Voorkomen van gegevenslekken (data leakage prevention) | **Beheersmaatregel** |
| | | |
| | | Maatregelen om gegevenslekken te voorkomen moeten worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.13 | Back-up van informatie | **Beheersmaatregel** |
| | | |
| | | Back-ups van informatie, software en systemen moeten worden bewaard en regelmatig worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.14 | Redundantie van informatieverwerkende faciliteiten | **Beheersmaatregel** |
| | | |
| | | Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. |
+------+--------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **28**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-16 .unnumbered}
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.15 | Logging | **Beheersmaatregel** |
| | | |
| | | Er moeten logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, worden geproduceerd, opgeslagen, beschermd en geanalyseerd. |
+======+===================================================+==================================================================================================================================================================================================+
| 8.16 | Monitoren van activiteiten | **Beheersmaatregel** |
| | | |
| | | Netwerken, systemen en toepassingen moeten worden gemonitord op afwijkend gedrag en er moeten passende maatregelen worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.17 | Kloksynchronisatie | **Beheersmaatregel** |
| | | |
| | | De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, moeten worden gesynchroniseerd met goedgekeurde tijdbronnen. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.18 | Gebruik van speciale systeemhulpmiddelen | **Beheersmaatregel** |
| | | |
| | | Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, moet worden beperkt en nauwkeurig worden gecontroleerd. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.19 | Installeren van software op operationele systemen | **Beheersmaatregel** |
| | | |
| | | Er moeten procedures en maatregelen worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.20 | Beveiliging netwerkcomponenten | **Beheersmaatregel** |
| | | |
| | | Netwerken en netwerkapparaten moeten worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.21 | Beveiliging van netwerkdiensten | **Beheersmaatregel** |
| | | |
| | | Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten moeten worden geïdentificeerd, geïmplementeerd en gemonitord. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.22 | Netwerksegmentatie | **Beheersmaatregel** |
| | | |
| | | Groepen informatiediensten, gebruikers en informatiesystemen moeten in de netwerken van de organisatie worden gesegmenteerd. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.23 | Toepassen van webfilters | **Beheersmaatregel** |
| | | |
| | | De toegang tot externe websites moet worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.24 | Gebruik van cryptografie | **Beheersmaatregel** |
| | | |
| | | Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, moeten worden gedefinieerd en geïmplementeerd. |
+------+---------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
**29**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-17 .unnumbered}
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.25 | Beveiligen tijdens de ontwikkelcyclus | **Beheersmaatregel** |
| | | |
| | | Voor het veilig ontwikkelen van software en systemen moeten regels worden vastgesteld en toegepast. |
+======+==============================================================+==========================================================================================================================================================================================================+
| 8.26 | Toepassingsbeveiligingseisen | **Beheersmaatregel** |
| | | |
| | | Er moeten eisen aan de informatiebeveiliging worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | **Beheersmaatregel** |
| | | |
| | | Uitgangspunten voor het ontwerpen van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.28 | Veilig coderen | **Beheersmaatregel** |
| | | |
| | | Er moeten principes voor veilig coderen worden toegepast op softwareontwikkeling. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | **Beheersmaatregel** |
| | | |
| | | Processen voor het testen van de beveiliging moeten worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.30 | Uitbestede systeemontwikkeling | **Beheersmaatregel** |
| | | |
| | | De organisatie moet de activiteiten in verband met uitbestede systeemontwikkeling sturen, bewaken en beoordelen. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | **Beheersmaatregel** |
| | | |
| | | Ontwikkel-, test- en productieomgevingen moeten worden gescheiden en beveiligd. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.32 | Wijzigingsbeheer | **Beheersmaatregel** |
| | | |
| | | Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen moeten onderworpen zijn aan procedures voor wijzigingsbeheer. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.33 | Testgegevens | **Beheersmaatregel** |
| | | |
| | | Testgegevens moeten op passende wijze worden geselecteerd, beschermd en beheerd. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 8.34 | Bescherming van informatiesystemen tijdens audits | **Beheersmaatregel** |
| | | |
| | | Audittests en andere auditactiviteiten waarbij operationele systemen worden beoordeeld, moeten worden gepland en overeengekomen tussen de tester en het verantwoordelijke management. |
+------+--------------------------------------------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
> **30**
**NEN-EN-ISO/IEC 27001:2023**
# Bibliografie {#bibliografie .unnumbered}
1. ISO/IEC 27002:2022, *Information security, cybersecurity and privacy protection* -- *Information security controls*
2. ISO/IEC 27003, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Guidance*
3. ISO/IEC 27004, *Information technology* -- *Security techniques --- Information security management*
> -- *Monitoring, measurement, analysis and evaluation*
4. ISO/IEC/DIS 27005, *Information security, cybersecurity and privacy protection* -- *Guidance on managing information security risks*
5. ISO 31000:2018, *Risk management* -- *Guidelines*
6. ISO/IEC Directives, Part 1, Consolidated ISO Supplement -- Procedures specific to ISO, 2012
**31**
> **Waarom betaalt u voor een norm?**
>
> Normen zijn afspraken voor en door de markt. Het zijn afspraken over zaken waarmee iedereen te maken heeft. Bijvoorbeeld over gezondheidszorg, financiële dienstverlening, veiligheid en maatschappelijk verantwoord ondernemen. Zonder deze afspraken zou het leven een stuk complexer zijn. Normen zorgen voor verbetering van producten, diensten en processen. Op de werkvloer, in de omgang met elkaar en in de samenleving als geheel.
>
> De afspraken worden gemaakt door belanghebbende partijen. Een belanghebbende partij kan een producent, ondernemer, dienstverlener, gebruiker, maar ook de overheid of een consumenten- of onderzoeksorganisatie zijn. Een breed draagvlak is belangrijk. De afspraken komen onder begeleiding van NEN tot stand en mogen niet strijdig zijn met andere geldige NEN-normen.
>
> NEN is een stichting en heeft geen winstoogmerk. De diensten die NEN levert --̶̶̶ van het bijeenbrengen van partijen en het maken en vastleggen van de afspraken tot het bieden van hulp bij de toepassing van de normen --̶̶̶ moeten worden bekostigd. Daarom betalen alle deelnemende partijen voor het normalisatieproces en betaalt u als gebruiker voor normen, trainingen en andere producten.
>
> **Altijd de actuele norm?**
>
> Nooit meer zoeken in de systemen en zelf de vraag stellen: 'Heb ik de laatste versie van NEN-EN-ISO/IEC 27001:2023 nl?'
>
> Via het digitale platform NEN Connect heeft u altijd toegang tot de meest actuele versie van deze norm. Vervallen versies blijven ook beschikbaar. Met een licentie kan de norm via NEN Connect altijd en overal makkelijk geraadpleegd worden, zowel online als offline.
>
> Kies voor slimmer werken en bekijk onze mogelijkheden op [[www.nenconnect.nl]{.underline}](http://www.nenconnect.nl/).
>
> **Meer informatie over de mogelijkheden**
>
> Onze Klantenservice is bereikbaar maandag tot en met vrijdag, van 8.30 uur tot 17.00 uur.
>
> Telefoon: 015 2 690 391
>
> E-mail: [[klantenservice@nen.nl]{.underline}](mailto:klantenservice@nen.nl)

623
Corpus/Standards/ISO27x/OST/27001/NL/ISO_IEC_27001_2023_NL_compleet.md Normal file
View file

@ -0,0 +1,623 @@
# **NEN-EN-ISO/IEC 27001:2023**
# Europees voorwoord {#europees-voorwoord .unnumbered}
> De tekst van ISO/IEC 27001:2022) is opgesteld door Technische Commissie ISO/IEC JTC 1 'Information technology' van de Internationale Organisatie voor Standaardisatie (ISO) en is overgenomen als EN ISO/IEC 27001:2023 door Technische Commissie CEN-CENELEC JTC 13 'Cybersecurity and Data Protection', waarvan DIN het secretariaat voert.
>
> Aan deze Europese norm moet uiterlijk in januari 2024 de status van nationale norm worden gegeven, door publicatie van een identieke tekst of door bekrachtiging, en strijdige nationale normen moeten uiterlijk in januari 2024 worden ingetrokken.
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. CEN is niet verantwoordelijk voor identificatie van dergelijke patentrechten.
>
> Dit document vervangt NEN EN ISO 27001:2017.
>
> Eventuele feedback en vragen over dit document behoren te worden gericht aan de nationale normalisatie-instantie of de nationale commissie van de gebruiker. Een volledige lijst van deze instanties is te vinden op de CEN-website.
>
> Volgens het huishoudelijk reglement van CEN-CENELEC zijn de normalisatieorganisaties van de volgende landen verplicht deze Europese norm in te voeren: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Nederland, Noord-Macedonië, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Servië, Slovenië, Slowakije, Spanje, Tsjechië, Turkije, het Verenigd Koninkrijk, Zweden en Zwitserland.
## \[Verklaring van bekrachtiging {#verklaring-van-bekrachtiging .unnumbered}
> De tekst van ISO/IEC 27001:2022 is zonder wijzigingen door CEN als EN ISO/IEC 27001:2023 aanvaard.
# ISO/IEC-voorwoord {#isoiec-voorwoord .unnumbered}
> ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van internationale normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo's, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden.
>
> De procedures die zijn gebruikt voor het ontwikkelen van dit document en de procedures die zijn bedoeld voor het verdere onderhoud ervan, worden beschreven in de ISO/IEC-richtlijnen, deel 1. Hierbij wordt met name gewezen op de verschillende goedkeuringscriteria die nodig zijn voor de verschillende soorten documenten. Dit document is opgesteld volgens de redactionele regels die in de ISO/IEC-richtlijnen, deel 2 zijn opgenomen (zie [www.iso.org/directives](https://www.iso.org/directives-and-policies.html) of [www.iec.ch/members_experts/refdocs](https://www.iec.ch/members_experts/refdocs)).
>
> Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechten. ISO en IEC zijn niet verantwoordelijk voor identificatie van dergelijke patentrechten. Nadere informatie over eventuele patentrechten die zijn geïdentificeerd tijdens het ontwikkelen van
>
> **6**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-1 .unnumbered}
> het document, is te vinden in de inleiding en/of de ISO-lijst met ontvangen patentverklaringen (zie [www.iso.org/patents](https://www.iso.org/iso-standards-and-patents.html)) of de IEC-lijst met ontvangen patentverklaringen (zie [http://patents.iec.ch](https://patents.iec.ch/)).
>
> Eventuele handelsnamen die in dit document worden gebruikt, zijn verstrekt ter informatie voor het gemak van de gebruiker en houden geen aanbeveling in.
>
> Uitleg over de vrijwillige aard van normen, de betekenis van ISO-specifieke termen en uitdrukkingen met betrekking tot conformiteitsbeoordeling, alsmede informatie over hoe ISO voldoet aan de beginselen van de Wereldhandelsorganisatie (WTO) in de Technical Barriers to Trade (TBT), wordt gegeven op: [www.iso.org/iso/foreword.html.](http://www.iso.org/iso/foreword.html) Voor IEC, zie [www.iec.ch/understanding-standards.](http://www.iec.ch/understanding-standards)
>
> Dit document is opgesteld door ISO/IEC JTC 1, *Information Technology*, SC 27, *Information security, cybersecurity and privacy protection*.
>
> Deze derde editie herroept en vervangt de tweede editie (ISO/IEC 27001:2013), die is herzien en is afgestemd op ISO/IEC 27002:2022. Ook de Technische Corrigenda ISO/IEC 27001:2013/COR 1:2014 en ISO/IEC 27001:2013/COR 2:2015 zijn hierin opgenomen.
>
> De belangrijkste wijzigingen zijn als volgt:
>
> --- de tekst is in overeenstemming gebracht met de geharmoniseerde structuur voor managementsysteemnormen.
>
> Eventuele feedback of vragen over dit document behoren te worden gericht aan het nationale normalisatie-instituut van de gebruiker. Een volledig overzicht van deze instituten is te vinden op [www.iso.org/members.html](https://www.iso.org/members.html) en [www.iec.ch/national-committees.](https://www.iec.ch/national-committees)
**7**
> **NEN-EN-ISO/IEC 27001:2023**
# Inleiding
1. **Algemeen**
> Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
>
> Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
>
> Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
>
> Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
>
> De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
>
> ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
> Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
>
> Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](ISO_IEC_27001_2023_NL_compleet.md#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](ISO_IEC_27001_2023_NL_compleet.md#_bookmark3)
>
> ]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
>
> **8**
**NEN-EN-ISO/IEC 27001:2023**
> Informatiebeveiliging, cybersecurity en bescherming van de privacy
>
> --- Managementsysteem voor informatiebeveiliging --- Eisen
# Onderwerp en toepassingsgebied
> Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.
# Normatieve verwijzingen
> Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
>
> of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
>
> ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*
# Termen en definities
> Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
>
> ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>
# Context van de organisatie
## Inzicht in de organisatie en haar context
> De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
>
> OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].
**9**
> **NEN-EN-ISO/IEC 27001:2023**
## Inzicht in de behoeften en verwachtingen van belanghebbenden
> De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
> OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.
## Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
> De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
>
> Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
> Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.
## Managementsysteem voor informatiebeveiliging
> De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.
# Leiderschap
## Leiderschap en betrokkenheid
> Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
> **10**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-2 .unnumbered}
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
> OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.
## Beleid
> Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
> Het informatiebeveiligingsbeleid moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie;
g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.
## Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
> Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.
>
> Het topmanagement moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van dit document;
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement.
**11**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-3 .unnumbered}
> OPMERKING Het topmanagement kan ook verantwoordelijkheden en bevoegdheden toewijzen voor het binnen de organisatie rapporteren van de prestaties van het managementsysteem voor informatiebeveiliging.
# Planning
## Acties om risico's en kansen op te pakken
1. **Algemeen**
> Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
> De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
> De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
> **12**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-4 .unnumbered}
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
> De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
1. **Behandeling van informatiebeveiligingsrisico's**
> De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
> OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
> OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
>
> OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
**13**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-5 .unnumbered}
> De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
>
> OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 \[5\].
## Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
> De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.
>
> De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd;
f) passend bij de situatie worden geactualiseerd;
g) beschikbaar zijn als gedocumenteerde informatie. \[Tekst verwijderd\][*](ISO_IEC_27001_2023_NL_compleet.md#_bookmark20)
> Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
h) wat er zal worden gedaan;
i) welke middelen er nodig zijn;
j) wie verantwoordelijk is;
k) wanneer het zal zijn voltooid; en
l) hoe de resultaten zullen worden geëvalueerd.
## Planning van wijzigingen
> Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
>
> []{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).
>
> **14**
**NEN-EN-ISO/IEC 27001:2023**
# Ondersteuning
## Middelen
> De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
## Competentie
> De organisatie moet:
a) de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die de prestaties van haar informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) indien van toepassing, acties ondernemen om de benodigde competentie te verwerven, en de doeltreffendheid van de ondernomen acties evalueren; en
d) geschikte gedocumenteerde informatie als bewijs van competentie bewaren.
> OPMERKING Toepasbare acties kunnen bijv. zijn: het voorzien in training van, het begeleiden van of het in een andere functie benoemen van huidige medewerkers; of het inhuren of contracteren van competente personen.
## Bewustzijn
> Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties; en
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.
## Communicatie
> De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) hoe te communiceren.
**15**
> **NEN-EN-ISO/IEC 27001:2023**
## Gedocumenteerde informatie
1. **Algemeen**
> Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) de gedocumenteerde informatie die dit document vereist; en
b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
> OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
1. **Creëren en actualiseren**
> Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
> Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en
b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
> Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, inclusief behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
> Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.
>
> **16**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-6 .unnumbered}
> OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.
# Uitvoering
## Operationele planning en beheersing
> Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:
- criteria vast te stellen voor de processen;
- procesbeheersing te implementeren in overeenstemming met de criteria.
> Gedocumenteerde informatie moet beschikbaar zijn in de omvang die nodig is om het vertrouwen te hebben dat de processen volgens planning zijn uitgevoerd.
>
> De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
>
> De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.
## Risicobeoordeling van informatiebeveiliging
> De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.
## Informatiebeveiligingsrisico's behandelen
> De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobehandeling voor informatiebeveiliging.
# Evaluatie van de prestaties
## Monitoren, meten, analyseren en evalueren
> De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van processen en beheersmaatregelen voor informatiebeveiliging;
b) de methoden voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen. Om als valide te worden te beschouwd behoren de resultaten van de geselecteerde methoden te kunnen worden vergeleken en gereproduceerd;
**17**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-7 .unnumbered}
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
f) wie deze resultaten moet analyseren en evalueren.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten.
>
> De organisatie moet de prestaties van de informatiebeveiliging en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.
## Interne audit
1. **Algemeen**
> De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
> De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
>
> Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
>
> De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.
>
> **18**
**NEN-EN-ISO/IEC 27001:2023**
## Management review
1. **Algemeen**
> Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.
2. **Input voor de management review**
> Bij de management review moet onder andere rekening worden gehouden met:
a) de status van acties die zijn voortgekomen uit voorgaande management reviews;
b) wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan;
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
> De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
>
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.
# Verbetering
## Continue verbetering
> De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.
**19**
> **NEN-EN-ISO/IEC 27001:2023**
## Afwijkingen en corrigerende maatregelen
> Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
> Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.
> **20**
### NEN-EN-ISO/IEC 27001:2023 {#nen-en-isoiec-270012023-8 .unnumbered}

27
Corpus/Standards/ISO27x/OST/27001/NL/c-0-Inleiding.md Normal file
View file

@ -0,0 +1,27 @@
# 0 Inleiding
1. **Algemeen**
Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico\'s afdoende worden beheerst.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 \[2\], ISO/IEC 27004 \[3\] en ISO/IEC 27005 \[4\]), met de desbetreffende termen en definities.
2. **Compatibiliteit met andere managementsysteemnormen**
Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te [v](c-0-Inleiding.md#_bookmark3)oeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. [1)](c-0-Inleiding.md#_bookmark3)
]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
Informatiebeveiliging, cybersecurity en bescherming van de privacy
--- Managementsysteem voor informatiebeveiliging --- Eisen

3
Corpus/Standards/ISO27x/OST/27001/NL/c-1-Onderwerp-en-toepassingsgebied.md Normal file
View file

@ -0,0 +1,3 @@
# 1 Onderwerp en toepassingsgebied
Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-10-Verbetering.md Normal file
View file

@ -0,0 +1 @@
# 10 Verbetering

3
Corpus/Standards/ISO27x/OST/27001/NL/c-10.1-Continue-verbetering.md Normal file
View file

@ -0,0 +1,3 @@
# 10.1 Continue verbetering
De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.

29
Corpus/Standards/ISO27x/OST/27001/NL/c-10.2-Afwijkingen-en-corrigerende-maatregelen.md Normal file
View file

@ -0,0 +1,29 @@
# 10.2 Afwijkingen en corrigerende maatregelen
Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:
f) de aard van de afwijkingen en de vervolgens getroffen maatregelen;
g) de resultaten van corrigerende maatregelen.

7
Corpus/Standards/ISO27x/OST/27001/NL/c-2-Normatieve-verwijzingen.md Normal file
View file

@ -0,0 +1,7 @@
# 2 Normatieve verwijzingen
Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel
of gedeeltelijk ook voor dit document gelden. Bij gedateerde verwijzingen is alleen de aangehaalde versie van toepassing. Voor ongedateerde verwijzingen geldt de laatste versie van het desbetreffende document (met inbegrip van eventuele wijzigings- en correctiebladen).
ISO/IEC 27000, *Information technology* -- *Security techniques* -- *Information security management systems* -- *Overview and vocabulary*

9
Corpus/Standards/ISO27x/OST/27001/NL/c-3-Termen-en-definities.md Normal file
View file

@ -0,0 +1,9 @@
# 3 Termen en definities
Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.
ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
- ISO Online browsing platform: te bereiken op [http://www.iso.org/obp](https://www.iso.org/obp/ui)
- IEC Electropedia: te bereiken op <https://www.electropedia.org/>

1
Corpus/Standards/ISO27x/OST/27001/NL/c-4-Context-van-de-organisatie.md Normal file
View file

@ -0,0 +1 @@
# 4 Context van de organisatie

5
Corpus/Standards/ISO27x/OST/27001/NL/c-4.1-Inzicht-in-de-organisatie-en-haar-context.md Normal file
View file

@ -0,0 +1,5 @@
# 4.1 Inzicht in de organisatie en haar context
De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
OPMERKING Het vaststellen van deze (belangrijke) punten verwijst naar het vaststellen van de externe en interne context van de organisatie zoals bedoeld in hoofdstuk 5.4.1 van ISO 31000:2018 \[5\].

11
Corpus/Standards/ISO27x/OST/27001/NL/c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden.md Normal file
View file

@ -0,0 +1,11 @@
# 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden
De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging;
b) welke eisen van deze belanghebbenden relevant zijn;
c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.
OPMERKING De eisen van belanghebbenden kunnen wettelijke en regelgevende eisen en contractuele verplichtingen omvatten.

13
Corpus/Standards/ISO27x/OST/27001/NL/c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen.md Normal file
View file

@ -0,0 +1,13 @@
# 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
Bij het vaststellen van dit toepassingsgebied moet de organisatie het volgende overwegen:
a) de in 4.1 genoemde externe en interne belangrijke punten (issues);
b) de in 4.2 genoemde eisen;
c) raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd.
Het toepassingsgebied moet beschikbaar zijn als gedocumenteerde informatie.

3
Corpus/Standards/ISO27x/OST/27001/NL/c-4.4-Managementsysteem-voor-informatiebeveiliging.md Normal file
View file

@ -0,0 +1,3 @@
# 4.4 Managementsysteem voor informatiebeveiliging
De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-5-Leiderschap.md Normal file
View file

@ -0,0 +1 @@
# 5 Leiderschap

21
Corpus/Standards/ISO27x/OST/27001/NL/c-5.1-Leiderschap-en-betrokkenheid.md Normal file
View file

@ -0,0 +1,21 @@
# 5.1 Leiderschap en betrokkenheid
Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en compatibel zijn met de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
d) het belang van doeltreffend informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementrollen te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
OPMERKING Verwijzing naar 'bedrijfs' in dit document kan ruim worden geïnterpreteerd als een verwijzing naar de activiteiten die wezenlijk zijn gezien de doelen waarvoor de organisatie bestaat.

19
Corpus/Standards/ISO27x/OST/27001/NL/c-5.2-Beleid.md Normal file
View file

@ -0,0 +1,19 @@
# 5.2 Beleid
Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
Het informatiebeveiligingsbeleid moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie;
g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.

11
Corpus/Standards/ISO27x/OST/27001/NL/c-5.3-Rollen-verantwoordelijkheden-en-bevoegdheden-binnen-de-organisatie.md Normal file
View file

@ -0,0 +1,11 @@
# 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.
Het topmanagement moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van dit document;
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan het topmanagement.
OPMERKING Het topmanagement kan ook verantwoordelijkheden en bevoegdheden toewijzen voor het binnen de organisatie rapporteren van de prestaties van het managementsysteem voor informatiebeveiliging.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-6-Planning.md Normal file
View file

@ -0,0 +1 @@
# 6 Planning

89
Corpus/Standards/ISO27x/OST/27001/NL/c-6.1-Acties-om-risicos-en-kansen-op-te-pakken.md Normal file
View file

@ -0,0 +1,89 @@
# 6.1 Acties om risico's en kansen op te pakken
1. **Algemeen**
Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde belangrijke punten (issues) en de in 4.2 genoemde eisen overwegen, en de risico's en kansen vaststellen die moeten worden opgepakt om:
a) te waarborgen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) kan behalen;
b) ongewenste effecten te voorkomen of te verminderen;
c) continue verbetering te bereiken.
De organisatie moet:
d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
1. **Behandeling van informatiebeveiligingsrisico's**
De organisatie moet een procedure voor de behandeling van informatiebeveiligingsrisico's definiëren en toepassen om:
a) passende opties voor de behandeling van informatiebeveiligingsrisico's te selecteren, rekening houdend met de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor de behandeling van informatiebeveiligingsrisico's te implementeren;
OPMERKING 1 Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.
c) de in 6.1.3 b) hierboven vastgestelde beheersmaatregelen te vergelijken met de beheersmaatregelen in bijlage A en te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten;
OPMERKING 2 Bijlage A bevat een lijst van mogelijke beheersmaatregelen voor informatiebeveiliging. Gebruikers van dit document worden op bijlage A gewezen om ervoor te zorgen dat er geen noodzakelijke beheersmaatregelen voor informatiebeveiliging over het hoofd worden gezien.
OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlage A is niet volledig en zo nodig kunnen er aanvullende beheersmaatregelen voor informatiebeveiliging in worden opgenomen.
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en
f) de goedkeuring van risico-eigenaren voor het plan voor de behandeling van informatiebeveiligingsrisico's en hun acceptatie van de resterende informatiebeveiligingsrisico's te verkrijgen.
De organisatie moet gedocumenteerde informatie bewaren over de risicobehandelingsprocedure voor informatiebeveiliging.
OPMERKING 4 Het proces voor risicobeoordeling en -behandeling in het kader van informatiebeveiliging in dit document komt overeen met de beginselen en algemene richtlijnen van ISO 31000 \[5\].

31
Corpus/Standards/ISO27x/OST/27001/NL/c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken.md Normal file
View file

@ -0,0 +1,31 @@
# 6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.
De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en de resultaten van risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd;
f) passend bij de situatie worden geactualiseerd;
g) beschikbaar zijn als gedocumenteerde informatie. \[Tekst verwijderd\][*](c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken.md#_bookmark20)
Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
h) wat er zal worden gedaan;
i) welke middelen er nodig zijn;
j) wie verantwoordelijk is;
k) wanneer het zal zijn voltooid; en
l) hoe de resultaten zullen worden geëvalueerd.

5
Corpus/Standards/ISO27x/OST/27001/NL/c-6.3-Planning-van-wijzigingen.md Normal file
View file

@ -0,0 +1,5 @@
# 6.3 Planning van wijzigingen
Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
[]{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).

1
Corpus/Standards/ISO27x/OST/27001/NL/c-7-Ondersteuning.md Normal file
View file

@ -0,0 +1 @@
# 7 Ondersteuning

3
Corpus/Standards/ISO27x/OST/27001/NL/c-7.1-Middelen.md Normal file
View file

@ -0,0 +1,3 @@
# 7.1 Middelen
De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.

13
Corpus/Standards/ISO27x/OST/27001/NL/c-7.2-Competentie.md Normal file
View file

@ -0,0 +1,13 @@
# 7.2 Competentie
De organisatie moet:
a) de benodigde competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die de prestaties van haar informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) indien van toepassing, acties ondernemen om de benodigde competentie te verwerven, en de doeltreffendheid van de ondernomen acties evalueren; en
d) geschikte gedocumenteerde informatie als bewijs van competentie bewaren.
OPMERKING Toepasbare acties kunnen bijv. zijn: het voorzien in training van, het begeleiden van of het in een andere functie benoemen van huidige medewerkers; of het inhuren of contracteren van competente personen.

9
Corpus/Standards/ISO27x/OST/27001/NL/c-7.3-Bewustzijn.md Normal file
View file

@ -0,0 +1,9 @@
# 7.3 Bewustzijn
Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties; en
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.

11
Corpus/Standards/ISO27x/OST/27001/NL/c-7.4-Communicatie.md Normal file
View file

@ -0,0 +1,11 @@
# 7.4 Communicatie
De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) hoe te communiceren.

49
Corpus/Standards/ISO27x/OST/27001/NL/c-7.5-Gedocumenteerde-informatie.md Normal file
View file

@ -0,0 +1,49 @@
# 7.5 Gedocumenteerde informatie
1. **Algemeen**
Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) de gedocumenteerde informatie die dit document vereist; en
b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
1. **Creëren en actualiseren**
Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en
b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, inclusief behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.
OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-8-Uitvoering.md Normal file
View file

@ -0,0 +1 @@
# 8 Uitvoering

13
Corpus/Standards/ISO27x/OST/27001/NL/c-8.1-Operationele-planning-en-beheersing.md Normal file
View file

@ -0,0 +1,13 @@
# 8.1 Operationele planning en beheersing
Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:
- criteria vast te stellen voor de processen;
- procesbeheersing te implementeren in overeenstemming met de criteria.
Gedocumenteerde informatie moet beschikbaar zijn in de omvang die nodig is om het vertrouwen te hebben dat de processen volgens planning zijn uitgevoerd.
De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.

5
Corpus/Standards/ISO27x/OST/27001/NL/c-8.2-Risicobeoordeling-van-informatiebeveiliging.md Normal file
View file

@ -0,0 +1,5 @@
# 8.2 Risicobeoordeling van informatiebeveiliging
De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.

5
Corpus/Standards/ISO27x/OST/27001/NL/c-8.3-Informatiebeveiligingsrisicos-behandelen.md Normal file
View file

@ -0,0 +1,5 @@
# 8.3 Informatiebeveiligingsrisico's behandelen
De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.
De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobehandeling voor informatiebeveiliging.

1
Corpus/Standards/ISO27x/OST/27001/NL/c-9-Evaluatie-van-de-prestaties.md Normal file
View file

@ -0,0 +1 @@
# 9 Evaluatie van de prestaties

19
Corpus/Standards/ISO27x/OST/27001/NL/c-9.1-Monitoren-meten-analyseren-en-evalueren.md Normal file
View file

@ -0,0 +1,19 @@
# 9.1 Monitoren, meten, analyseren en evalueren
De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van processen en beheersmaatregelen voor informatiebeveiliging;
b) de methoden voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren om valide resultaten te bewerkstelligen. Om als valide te worden te beschouwd behoren de resultaten van de geselecteerde methoden te kunnen worden vergeleken en gereproduceerd;
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd;
f) wie deze resultaten moet analyseren en evalueren.
Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten.
De organisatie moet de prestaties van de informatiebeveiliging en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.

29
Corpus/Standards/ISO27x/OST/27001/NL/c-9.2-Interne-audit.md Normal file
View file

@ -0,0 +1,29 @@
# 9.2 Interne audit
1. **Algemeen**
De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.

37
Corpus/Standards/ISO27x/OST/27001/NL/c-9.3-Management-review.md Normal file
View file

@ -0,0 +1,37 @@
# 9.3 Management review
1. **Algemeen**
Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.
2. **Input voor de management review**
Bij de management review moet onder andere rekening worden gehouden met:
a) de status van acties die zijn voortgekomen uit voorgaande management reviews;
b) wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan;
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.

BIN
Corpus/Standards/ISO27x/OST/27002/EN/.nova/Artwork Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 2.7 KiB

5
Corpus/Standards/ISO27x/OST/27002/EN/.nova/Configuration.json Normal file
View file

@ -0,0 +1,5 @@
{
"workspace.art_style" : 1,
"workspace.color" : 6,
"workspace.name" : "ISO27002-EN"
}

BIN
Corpus/Standards/ISO27x/OST/27002/EN/ISO_27002_2022_EN.pdf Normal file
View file

Binary file not shown.

818
Corpus/Standards/ISO27x/OST/27002/EN/ISO_27002_OT 3 Terms, definitions and abbreviated terms.md Normal file
View file

@ -0,0 +1,818 @@
#iso27002/2022/EN
**3.1** **Terms** **and** **definitions**
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses: — ISO Online browsing platform: available at https://www.iso.org/obp
— IEC Electropedia: available at https://www.electropedia.org/
**3.****1.1**
**access** **control**
means to ensure that physical and logical access to _assets_ (3.1.2) is authorized and restricted based on business and information security requirements
**3.****1.2**
**ass****et**
anything that has value to the organization
Note 1 to entry: In the context of information security, two kinds of assets can be distinguished:
— the primary assets: — information;
— business _processes_ (3.1.27) and activities;
— the supporting assets (on which the primary assets rely) of all types, for example: — hardware;
— software; — network;
_personnel_ (3.1.20);
© ISO/IEC 2022 All rights reserved **1**
**ISO/IEC 27002:2022(E)**
— site;
Licensed to ISO27DIY / Richard Kranendonk (rkranendonk@mac.com)
ISO Store Order: OP-582678 / Downloaded: 2022-02-17 Single user licence only, copying and networking prohibited.
— organizations structure.
**3.****1.3**
**attack**
successful or unsuccessful unauthorized attempt to destroy, alter, disable, gain access to an _asset_ (3.1.2) or any attempt to expose, steal, or make unauthorized use of an _asset_ (3.1.2)
**3.1.4**
**aut****hentication**
provision of assurance that a claimed characteristic of an _entity_ (3.1.11) is correct
**3****.1.5**
**au****thenticity**
property that an _entity_ (3.1.11) is what it claims to be
**3.1.6**
**chain** **of** **custody**
demonstrable possession, movement, handling and location of material from one point in time until another
Note 1 to entry: Material includes information and other associated _assets_ (3.1.2) in the context of ISO/IEC 27002.
[SOURCE: ISO/IEC 27050-1:2019, 3.1, modified — “Note 1 to entry” added]
**3.****1.7**
**confidential** **information**
information that is not intended to be made available or disclosed to unauthorized individuals, _entities_ (3.1.11) or _processes_ (3.1.27)
**3****.1.8**
**control**
measure that maintains and/or modifies risk
Note 1 to entry: Controls include, but are not limited to, any _process_ (3.1.27), _policy_ (3.1.24), device, practice or other conditions and/or actions which maintain and/or modify risk.
Note 2 to entry: Controls may not always exert the intended or assumed modifying effect.
[SOURCE: ISO 31000:2018, 3.8]
**3.****1.9**
**disrupti****on**
incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organizations objectives
[SOURCE: ISO 22301:2019, 3.10]
**3.1****.10**
**endpoint** **device**
network connected information and communication technology (ICT) hardware device
Note 1 to entry: Endpoint device can refer to desktop computers, laptops, smart phones, tablets, thin clients, printers or other specialized hardware including smart meters and Internet of things (IoT) devices.
**3.1.11**
**entity**
item relevant for the purpose of operation of a domain that has recognizably distinct existence
Note 1 to entry: An entity can have a physical or a logical embodiment.
**2** © ISO/IEC 2022 All rights reserved
EXAMPLE
Licensed to ISO27DIY / Richard Kranendonk (rkranendonk@mac.com)
ISO Store Order: OP-582678 / Downloaded: 2022-02-17
Single user licence only, copying and networking prohibited.
**ISO/IEC 27002:2022(E)**
A person, an organization, a device, a group of such items, a human subscriber to a telecom
service, a SIM card, a passport, a network interface card, a software application, a service or a website.
[SOURCE: ISO/IEC 24760-1:2019, 3.1.1]
**3.****1.12**
**information** **processing** **facility**
any information processing system, service or infrastructure, or the physical location housing it [SOURCE: ISO/IEC 27000:2018, 3.27, modified — "facilities" has been replaced with facility.] **3****.1.13**
**information** **security** **breach**
compromise of information security that leads to the undesired destruction, loss, alteration, disclosure of, or access to, protected information transmitted, stored or otherwise processed
**3.1****.14**
**information** **security** **event**
occurrence indicating a possible _information_ _security_ _breach_ (3.1.13) or failure of _controls_ (3.1.8)
[SOURCE: ISO/IEC 27035-1:2016, 3.3, modified — “breach of information security” has been replaced with “information security breach”]
**3.1****.15**
**information** **security incident**
one or multiple related and identified _information_ _security_ _events_ (3.1.14) that can harm an organizations _assets_ (3.1.2) or compromise its operations
[SOURCE: ISO/IEC 27035-1:2016, 3.4]
**3.1.16**
**information** **security** **incident** **management**
exercise of a consistent and effective approach to the handling of _information_ _security_ _incidents_ (3.1.15) [SOURCE: ISO/IEC 27035-1:2016, 3.5]
**3****.1.17**
**information** **system**
set of applications, services, information technology _assets_ (3.1.2), or other information-handling components
[SOURCE: ISO/IEC 27000:2018, 3.35]
**3.1.18**
**interested** **party** stakeholder
person or organization that can affect, be affected by, or perceive itself to be affected by a decision or activity
[SOURCE: ISO/IEC 27000:2018, 3.37]
**3.****1.19**
**non-repudiation**
ability to prove the occurrence of a claimed event or action and its originating _entities_ (3.1.11)
**3.1.20**
**pers****onnel**
persons doing work under the organizations direction
Note 1 to entry: The concept of personnel includes the organizations members, such as the governing body, top management, employees, temporary staff, contractors and volunteers.
© ISO/IEC 2022 All rights reserved **3**
**ISO/IEC 27002:2022(E)**
**3.1****.21**
Licensed to ISO27DIY / Richard Kranendonk (rkranendonk@mac.com)
ISO Store Order: OP-582678 / Downloaded: 2022-02-17 Single user licence only, copying and networking prohibited.
**personally identifiable** **information**
**PII**
any information that (a) can be used to establish a link between the information and the natural person to whom such information relates, or (b) is or can be directly or indirectly linked to a natural person.
Note 1 to entry: The “natural person” in the definition is the _PII_ _principal_ (3.1.22). To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to establish the link between the set of PII and the natural person.
[SOURCE: ISO/IEC 29100:2011/Amd.1:2018, 2.9]
**3.1.22**
**PII** **principal**
natural person to whom the _personally identifiable_ _information_ _(PII)_ (3.1.21) relates
Note 1 to entry: Depending on the jurisdiction and the particular data protection and privacy legislation, the synonym “data subject” can also be used instead of the term “PII principal”.
[SOURCE: ISO/IEC 29100:2011, 2.11]
**3.1.23**
**PII** **processor**
privacy stakeholder that processes _personally_ _identifiable_ _information_ _(PII)_ (3.1.21) on behalf of and in accordance with the instructions of a PII controller
[SOURCE: ISO/IEC 29100:2011, 2.12]
**3.1****.24**
**policy**
intentions and direction of an organization, as formally expressed by its top management [SOURCE: ISO/IEC 27000:2018, 3.53]
**3.1.25**
**privacy** **impact** **assessment** **PIA**
overall _process_ (3.1.27) of identifying, analysing, evaluating, consulting, communicating and planning the treatment of potential privacy impacts with regard to the processing of _personally_ _identifiable_ _information_ _(PII)_ (3.1.21), framed within an organizations broader risk management framework
[SOURCE: ISO/IEC 29134:2017, 3.7, modified — Note 1 to entry removed.]
**3.1.26**
**procedure**
specified way to carry out an activity or a _process_ (3.1.27)
[SOURCE: ISO 30000:2009, 3.12]
**3.1.27**
**proce****ss**
set of interrelated or interacting activities that uses or transforms inputs to deliver a result
[SOURCE: ISO 9000:2015, 3.4.1, modified— Notes to entry removed.]
**3.1****.28**
**re****cord**
information created, received and maintained as evidence and as an _asset_ (3.1.2) by an organization or person, in pursuit of legal obligations or in the transaction of business
**4** © ISO/IEC 2022 All rights reserved
Licensed to ISO27DIY / Richard Kranendonk (rkranendonk@mac.com)
ISO Store Order: OP-582678 / Downloaded: 2022-02-17 Single user licence only, copying and networking prohibited.
**ISO/IEC 27002:2022(E)**
Note 1 to entry: Legal obligations in this context include all legal, statutory, regulatory and contractual requirements.
[SOURCE: ISO 15489-1:2016, 3.14, modified— “Note 1 to entry” added.]
**3.1.29**
**recovery** **point** **objective**
**RPO**
point in time to which data are to be recovered after a _disruption_ (3.1.9) has occurred [SOURCE: ISO/IEC 27031:2011, 3.12, modified — "must" replaced by "are to be".] **3.1.30**
**recovery** **time** **objective** **RTO**
period of time within which minimum levels of services and/or products and the supporting systems, applications, or functions are to be recovered after a _disruption_ (3.1.9) has occurred
[SOURCE: ISO/IEC 27031:2011, 3.13, modified — "must" replaced by "are to be".]
**3.1****.31**
**reliability**
property of consistent intended behaviour and results
**3.1.32**
**rule**
accepted principle or instruction that states the organizations expectations on what is required to be done, what is allowed or not allowed
Note 1 to entry: Rules can be formally expressed in _topic-specific policies_ (3.1.35) and in other types of documents.
**3.1.33**
**sensitive** **information**
information that needs to be protected from unavailability, unauthorized access, modification or public disclosure because of potential adverse effects on an individual, organization, national security or public safety
**3****.1.34**
**thr****eat**
potential cause of an unwanted incident, which can result in harm to a system or organization [SOURCE: ISO/IEC 27000:2018, 3.74]
**3.1.35**
**topic-specific** **policy**
intentions and direction on a specific subject or topic, as formally expressed by the appropriate level of management
Note 1 to entry: Topic-specific policies can formally express _rules_ (3.1.32) or organization standards. Note 2 to entry: Some organizations use other terms for these topic-specific policies.
Note 3 to entry: The topic-specific policies referred to in this document are related to information security.
EXAMPLE Topic-specific policy on _access_ _control_ (3.1.1), topic-specific policy on clear desk and clear screen.
**3.1.36**
**u****ser**
_interested_ _party_ (3.1.18) with access to the organizations _information_ _systems_ (3.1.17)
EXAMPLE _Personnel_ (3.1.20), customers, suppliers.
© ISO/IEC 2022 All rights reserved
**5**
**ISO/IEC 27002:2022(E)**
**3.1.37**
**user** **endpoint** **device**
Licensed to ISO27DIY / Richard Kranendonk (rkranendonk@mac.com)
ISO Store Order: OP-582678 / Downloaded: 2022-02-17 Single user licence only, copying and networking prohibited.
_endpoint_ _device_ (3.1.10) used by users to access information processing services
Note 1 to entry: User endpoint device can refer to desktop computers, laptops, smart phones, tablets, thin clients, etc.
**3.1****.38**
**vu****lnerability**
weakness of an _asset_ (3.1.2) or _control_ (3.1.8) that can be exploited by one or more _threats_ (3.1.34) [SOURCE: ISO/IEC 27000:2018, 3.77]
**3.2** **Abbreviated** **terms**
ABAC attribute-based access control
ACL access control list
BIA business impact analysis
BYOD bring your own device
CAPTCHA completely automated public Turing test to tell computers and humans apart
CPU central processing unit
DAC discretionary access control
DNS domain name system
GPS global positioning system
IAM identity and access management
ICT information and communication technology
ID identifier
IDE integrated development environment
IDS intrusion detection system
IoT internet of things
IP internet protocol
IPS intrusion prevention system
IT information technology
ISMS information security management system
MAC mandatory access control
NTP network time protocol
PIA privacy impact assessment
PII personally identifiable information
**6** © ISO/IEC 2022 All rights reserved
Licensed to ISO27DIY / Richard Kranendonk (rkranendonk@mac.com)
ISO Store Order: OP-582678 / Downloaded: 2022-02-17 Single user licence only, copying and networking prohibited.
**ISO/IEC 27002:2022(E)**
PIN personal identification number
PKI public key infrastructure
PTP precision time protocol
RBAC role-based access control
RPO recovery point objective
RTO recovery time objective
SAST static application security testing
SD secure digital
SDN software-defined networking
SD-WAN software-defined wide area networking
SIEM security information and event management
SMS short message service
SQL structured query language
SSO single sign on
SWID software identification
UEBA user and entity behaviour analytics
UPS uninterruptible power supply
URL uniform resource locator
USB universal serial bus
VM virtual machine
VPN virtual private network
WiFi wireless fidelity

77
Corpus/Standards/ISO27x/OST/27002/EN/a-5.1-Policies-for-information-security.md Normal file
View file

@ -0,0 +1,77 @@
#iso27002/2022/EN
## 5.1 Policies for information security
#### Control
Information security policy and topic-specific policies should be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
#### Purpose
To ensure continuing suitability, adequacy, effectiveness of management direction and support for information security in accordance with business, legal, statutory, regulatory and contractual requirements.
#### Guidance
At the highest level, the organization should define an “information security policy” which is approved by top management and which sets out the organizations approach to managing its information security.
The information security policy should take into consideration requirements derived from:
a) business strategy and requirements;
b) regulations, legislation and contracts;
c) the current and projected information security risks and threats.
The information security policy should contain statements concerning:
a) definition of information security;
b) information security objectives or the framework for setting information security objectives;
c) principles to guide all activities relating to information security;
d) commitment to satisfy applicable requirements related to information security;
e) commitment to continual improvement of the information security management system;
f) assignment of responsibilities for information security management to defined roles;
g) procedures for handling exemptions and exceptions.
Top management should approve any changes to the information security policy.
At a lower level, the information security policy should be supported by topic-specific policies as needed, to further mandate the implementation of information security controls. Topic-specific policies are typically structured to address the needs of certain target groups within an organization or to cover certain security areas. Topic-specific policies should be aligned with and complementary to the information security policy of the organization.
Examples of such topics include:
a) access control;
b) physical and environmental security;
c) asset management;
d) information transfer;
e) secure configuration and handling of user endpoint devices;
f) networking security;
g) information security incident management;
h) backup;
i) cryptography and key management;
j) information classification and handling;
k) management of technical vulnerabilities;
l) secure development.
The responsibility for the development, review and approval of the topic-specific policies should be allocated to relevant personnel based on their appropriate level of authority and technical competency. The review should include assessing opportunities for improvement of the organizations information security policy and topic-specific policies and managing information security in response to changes to:
a) the organizations business strategy;
b) the organizations technical environment;
c) regulations, statutes, legislation and contracts;
d) information security risks;
e) the current and projected information security threat environment;
f) lessons learned from information security events and incidents.
The review of information security policy and topic-specific policies should take the results of management reviews and audits into account. Review and update of other related policies should be considered when one policy is changed to maintain consistency.
The information security policy and topic-specific policies should be communicated to relevant personnel and interested parties in a form that is relevant, accessible and understandable to the intended reader. Recipients of the policies should be required to acknowledge they understand and agree to comply with the policies where applicable. The organization can determine the formats and names of these policy documents that meet the organizations needs. In some organizations, the information security policy and topic-specific policies can be in a single document. The organization can name these topic-specific policies as standards, directives, policies or others.
If the information security policy or any topic-specific policy is distributed outside the organization, care should be taken not to improperly disclose confidential information.
Table 1 illustrates the differences between information security policy and topic-specific policy.
*Table 1* | Information security policy | Topic-specific policy
------- | --------------------------- | ---------------------
Level of detail | General or high-level | Specific and detailed
Documented and formally approved by | Top management | Appropriate level of management
#### Other information
Topic-specific policies can vary across organizations.
# Related
- [[ISO_27002_PE 5.1 Policies for information security]]

39
Corpus/Standards/ISO27x/OST/27002/EN/a-5.10-Acceptable-use-of-information-and-other-associated-assets.md Normal file
View file

@ -0,0 +1,39 @@
## 5.10 Acceptable use of information and other associated assets
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ----------------------------------------- | ------------------------------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Protect | #Asset_management #Information_protection | #Governance_and_Ecosystem #Protection |
**Control**
Rules for the acceptable use and procedures for handling information and other associated assets should be identified, documented and implemented.
**Purpose**
To ensure information and other associated assets are appropriately protected, used and handled.
**Guidance**
Personnel and external party users using or having access to the organizations information and other associated assets should be made aware of the information security requirements for protecting and handling the organizations information and other associated assets. They should be responsible for their use of any information processing facilities.
The organization should establish a topic-specific policy on the acceptable use of information and other associated assets and communicate it to anyone who uses or handles information and other associated assets. The topic-specific policy on acceptable use should provide clear direction on how individuals are expected to use information and other associated assets. The topic-specific policy should state:
a\) expected and unacceptable behaviours of individuals from an information security perspective;
b\) permitted and prohibited use of information and other associated assets;
c\) monitoring activities being performed by the organization.
Acceptable use procedures should be drawn up for the full information life cycle in accordance with its classification (see [5.12](a-5.12-Classification-of-information.md)) and determined risks. The following items should be considered:
a\) access restrictions supporting the protection requirements for each level of classification;
b\) maintenance of a record of the authorized users of information and other associated assets;
c\) protection of temporary or permanent copies of information to a level consistent with the protection of the original information;
d\) storage of assets associated with information in accordance with manufacturers specifications (see [7.8](a-7.8-Equipment-siting-and-protection.md));
e\) clear marking of all copies of storage media (electronic or physical) for the attention of the authorized recipient (see [7.10](a-7.10-Storage-media.md));
f\) authorization of disposal of information and other associated assets and supported deletion method(s) (see [8.10](a-8.10-Information-deletion.md)).
**Other information**
It can be the case that the assets concerned do not directly belong to the organization, such as public cloud services. The use of such third-party assets and any assets of the organization associated with such external assets (e.g. information, software) should be identified as applicable and controlled, for example, through agreements with cloud service providers. Care should also be taken when a collaborative working environment is used.

34
Corpus/Standards/ISO27x/OST/27002/EN/a-5.11-Return-of-assets.md Normal file
View file

@ -0,0 +1,34 @@
## 5.11 Return of assets
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ------------------------ | ---------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Protect | #Asset_management | #Protection |
**Control**
Personnel and other interested parties as appropriate should return all the organizations assets in their possession upon change or termination of their employment, contract or agreement.
**Purpose**
To protect the organizations assets as part of the process of changing or terminating employment, contract or agreement.
**Guidance**
The change or termination process should be formalized to include the return of all previously issued physical and electronic assets owned by or entrusted to the organization.
In cases where personnel and other interested parties purchase the organizations equipment or use their own personal equipment, procedures should be followed to ensure that all relevant information is traced and transferred to the organization and securely deleted from the equipment (see [7.14](a-7.14-Secure-disposal-or-re-use-of-equipment.md)).
In cases where personnel and other interested parties have knowledge that is important to ongoing operations, that information should be documented and transferred to the organization.
During the notice period and thereafter, the organization should prevent unauthorized copying of relevant information (e.g. intellectual property) by personnel under notice of termination.
The organization should clearly identify and document all information and other associated assets to be returned which can include:
a\) user endpoint devices;
b\) portable storage devices;
c\) specialist equipment;
d\) authentication hardware (e.g. mechanical keys, physical tokens and smartcards) for information systems, sites and physical archives;
e\) physical copies of information.
**Other information**
It can be difficult to return information held on assets which are not owned by the organization. In such cases, it is necessary to restrict the use of information using other information security controls such as access rights management (5.18) or use of cryptography (8.24).

44
Corpus/Standards/ISO27x/OST/27002/EN/a-5.12-Classification-of-information.md Normal file
View file

@ -0,0 +1,44 @@
#iso27002/2022/EN
## 5.12 Classification of information
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ------------------------ | -------------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Identify | #Information_protection | #Protection #Defence |
**Control**
Information should be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.
**Purpose**
To ensure identification and understanding of protection needs of information in accordance with its importance to the organization.
**Guidance**
The organization should establish a topic-specific policy on information classification and communicate it to all relevant interested parties.
The organization should take into account requirements for confidentiality, integrity and availability in the classification scheme.
Classifications and associated protective controls for information should take account of business needs for sharing or restricting information, for protecting integrity of information and for assuring availability, as well as legal requirements concerning the confidentiality, integrity or availability of the information. Assets other than information can also be classified in compliance with classification of information, which is stored in, processed by or otherwise handled or protected by the asset.
Owners of information should be accountable for their classification.
The classification scheme should include conventions for classification and criteria for review of the classification over time. Results of classification should be updated in accordance with changes of the value, sensitivity and criticality of information through their life cycle.
The scheme should be aligned to the topic-specific policy on access control (see [5.1](../../../../../../../ISO_27002_2022_5.1_OT%20Policies%20for%20information%20security.md)) and should be able to address specific business needs of the organization.
The classification can be determined by the level of impact that the information's compromise would have for the organization. Each level defined in the scheme should be given a name that makes sense in the context of the classification schemes application.
The scheme should be consistent across the whole organization and included in its procedures so that everyone classifies information and applicable other associated assets in the same way. In this manner, everyone has a common understanding of protection requirements and applies appropriate protection.
The classification scheme used within the organization can be different from the schemes used by other organizations, even if the names for levels are similar. In addition, information moving between organizations can vary in classification depending on its context in each organization, even if their classification schemes are identical. Therefore, agreements with other organizations that include information sharing should include procedures to identify the classification of that information and to interpret the classification levels from other organizations. Correspondence between different schemes can be determined by looking for equivalence in the associated handling and protection methods.
**Other information**
Classification provides people who deal with information with a concise indication of how to handle and protect it. Creating groups of information with similar protection needs and specifying information security procedures that apply to all the information in each group facilitates this. This approach reduces the need for case-by-case risk assessment and custom design of controls.
Information can cease to be sensitive or critical after a certain period of time. For example, when the information has been made public, it no longer has confidentiality requirements but can still require protection for its integrity and availability properties. These aspects should be taken into account, as over-classification can lead to the implementation of unnecessary controls resulting in additional expense or, on the contrary, under-classification can lead to insufficient controls to protect the information from compromise.
As an example, an information confidentiality classification scheme can be based on four levels as follows:
a\) disclosure causes no harm;
b\) disclosure causes minor reputational damage or minor operational impact;
c\) disclosure has a significant short-term impact on operations or business objectives;
d\) disclosure has a serious impact on long term business objectives or puts the survival of the organization at risk.

47
Corpus/Standards/ISO27x/OST/27002/EN/a-5.13-Labelling-of-information.md Normal file
View file

@ -0,0 +1,47 @@
## 5.13 Labelling of information
**Control**
An appropriate set of procedures for information labelling should be developed and implemented in accordance with the information classification scheme adopted by the organization.
**Purpose**
To facilitate the communication of classification of information and support automation of information processing and management.
**Guidance**
Procedures for information labelling should cover information and other associated assets in all formats. The labelling should reflect the classification scheme established in 5.12. The labels should be easily recognizable. The procedures should give guidance on where and how labels are attached in consideration of how the information is accessed or the assets are handled depending on the types of storage media. The procedures can define:
a\) cases where labelling is omitted (e.g. labelling of non-confidential information to reduce workloads);
b\) how to label information sent by or stored on electronic or physical means, or any other format;
c\) how to handle cases where labelling is not possible (e.g. due to technical restrictions). Examples of labelling techniques include:
a\) physical labels;
b\) headers and footers;
c\) metadata;
d\) watermarking;
e\) rubber-stamps.
Digital information should utilize metadata in order to identify, manage and control information, especially with regard to confidentiality. Metadata should also enable efficient and correct searching for information. Metadata should facilitate systems to interact and make decisions based on the associated classification labels.
The procedures should describe how to attach metadata to information, what labels to use and how data should be handled, in line with the organizations information model and ICT architecture.
Relevant additional metadata should be added by systems when they process information depending on its information security properties.
Personnel and other interested parties should be made aware of labelling procedures. All personnel should be provided with the necessary training to ensure that information is correctly labelled and handled accordingly.
Output from systems containing information that is classified as being sensitive or critical should carry an appropriate classification label.
**Other information**
Labelling of classified information is a key requirement for information sharing.
Other useful metadata that can be attached to the information is which organizational process created the information and at what time.
Labelling of information and other associated assets can sometimes have negative effects. Classified assets can be easier to identify by malicious actors for potential misuse.
Some systems do not label individual files or database records with their classification but protect all information at the highest level of classification of any of the information that it contains or is permitted to contain. It is usual in such systems to determine and then label information when it is exported.

141
Corpus/Standards/ISO27x/OST/27002/EN/a-5.14-Information-transfer.md Normal file
View file

@ -0,0 +1,141 @@
## 5.14 Information transfer
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ----------------------------------------- | ---------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Protect | #Asset_management #Information_protection | #Protection |
**Control**
Information transfer rules, procedures, or agreements should be in place for all types of transfer facilities within the organization and between the organization and other parties.
**Purpose**
To maintain the security of information transferred within an organization and with any external interested party.
**Guidance**
<u>General</u>
The organization should establish and communicate a topic-specific policy on information transfer to all relevant interested parties. Rules, procedures and agreements to protect information in transit should reflect the classification of the information involved. Where information is transferred between the organization and third parties, transfer agreements (including recipient authentication) should be established and maintained to protect information in all forms in transit (see [5.10](a-5.10-Acceptable-use-of-information-and-other-associated-assets.md)).
Information transfer can happen through electronic transfer, physical storage media transfer and verbal transfer.
For all types of information transfer, rules, procedures and agreements should include:
a\) controls designed to protect transferred information from interception, unauthorized access, copying, modification, misrouting, destruction and denial of service, including levels of access control commensurate with the classification of the information involved and any special controls that are required to protect sensitive information, such as use of cryptographic techniques (see [8.24](a-8.24-Use-of-cryptography.md));
b\) controls to ensure traceability and non-repudiation, including maintaining a chain of custody for information while in transit;
c\) identification of appropriate contacts related to the transfer including information owners, risk owners, security officers and information custodians, as applicable;
d\) responsibilities and liabilities in the event of information security incidents, such as loss of physical storage media or data;
e\) use of an agreed labelling system for sensitive or critical information, ensuring that the meaning of the labels is immediately understood and that the information is appropriately protected (see [5.13](a-5.13-Labelling-of-information.md));
f\) reliability and availability of the transfer service;
g\) the topic-specific policy or guidelines on acceptable use of information transfer facilities (see [5.10](a-5.10-Acceptable-use-of-information-and-other-associated-assets.md));
h\) retention and disposal guidelines for all business records, including messages;
NOTE Local legislation and regulations can exist regarding retention and disposal of business records.
i\) the consideration of any other relevant legal, statutory, regulatory and contractual requirements (see [5.31](a-5.31-Legal-statutory-regulatory-and-contractual-requirements.md), [5.32](a-5.32-Intellectual-property-rights.md), [5.33](a-5.33-Protection-of-records.md), [5.34](a-5.34-Privacy-and-protection-of-PII.md)) related to transfer of information (e.g. requirements for electronic signatures).
<u>Electronic transfer</u>
Rules, procedures and agreements should also consider the following items when using electronic communication facilities for information transfer:
a\) detection of and protection against malware that can be transmitted through the use of electronic communications (see [8.7](a-8.7-Protection-against-malware.md));
b\) protection of communicated sensitive electronic information that is in the form of an attachment;
c\) prevention against sending documents and messages in communications to the wrong address or number;
d\) obtaining approval prior to using external public services such as instant messaging, social networking, file sharing or cloud storage;
e\) stronger levels of authentication when transferring information via publicly accessible networks;
f\) restrictions associated with electronic communication facilities (e.g. preventing automatic forwarding of electronic mail to external mail addresses);
g\) advising personnel and other interested parties not to send short message service (SMS) or instant messages with critical information since these can be read in public places (and therefore by unauthorized persons) or stored in devices not adequately protected;
h\) advising personnel and other interested parties about the problems of using fax machines or services, namely:
1\) unauthorized access to built-in message stores to retrieve messages;
2\) deliberate or accidental programming of machines to send messages to specific numbers.
<u>Physical storage media transfer</u>
When transferring physical storage media (including paper), rules, procedures and agreements should also include:
a\) responsibilities for controlling and notifying transmission, dispatch and receipt;
b\) ensuring correct addressing and transportation of the message;
c\) packaging that protects the contents from any physical damage likely to arise during transit and in accordance with any manufacturers specifications, for example protecting against any environmental factors that can reduce the effectiveness of restoring storage media such as exposure to heat, moisture or electromagnetic fields; using minimum technical standards for packaging and transmission (e.g. the use of opaque envelopes);
d\) a list of authorized reliable couriers agreed by management;
e\) courier identification standards;
f\) depending on the classification level of the information in the storage media to be transported, use tamper evident or tamper-resistant controls (e.g. bags, containers);
g\) procedures to verify the identification of couriers;
h\) approved list of third parties providing transportation or courier services depending on the classification of the information;
i\) keeping logs for identifying the content of the storage media, the protection applied as well as recording the list of authorised recipients, the times of transfer to the transit custodians and receipt at the destination.
<u>Verbal transfer</u>
To protect verbal transfer of information, personnel and other interested parties should be reminded that they should:
a\) not have confidential verbal conversations in public places or over insecure communication channels since these can be overheard by unauthorized persons;
b\) not leave messages containing confidential information on answering machines or voice messages since these can be replayed by unauthorized persons, stored on communal systems or stored incorrectly as a result of misdialling;
c\) be screened to the appropriate level to listen to the conversation;
d\) ensure that appropriate room controls are implemented (e.g. sound-proofing, closed door);
e\) begin any sensitive conversations with a disclaimer so those present know the classification level and any handling requirements of what they are about to hear.
**Other information**
No other information.

76
Corpus/Standards/ISO27x/OST/27002/EN/a-5.15-Access-control.md Normal file
View file

@ -0,0 +1,76 @@
#iso27002/2022/EN
## 5.15 Access control
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ------------------------------- | ---------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Protect | #Identity_and_access_management | #Protection |
**Control**
Rules to control physical and logical access to information and other associated assets should be established and implemented based on business and information security requirements.
**Purpose**
To ensure authorized access and to prevent unauthorized access to information and other associated assets.
**Guidance**
Owners of information and other associated assets should determine information security and business requirements related to access control. A topic-specific policy on access control should be defined which takes account of these requirements and should be communicated to all relevant interested parties.
These requirements and the topic-specific policy should consider the following:
a\) determining which entities require which type of access to the information and other associated assets;
b\) security of applications (see [8.26](a-8.26-Application-security-requirements.md));
c\) physical access, which needs to be supported by appropriate physical entry controls (see [7.2](a-7.2-Physical-entry.md), [7.3](a-7.3-Securing-offices-rooms-and-facilities.md), [7.4](a-7.4-Physical-security-monitoring.md));
d\) information dissemination and authorization (e.g. the need-to-know principle) and information security levels and classification of information (see [5.10](a-5.10-Acceptable-use-of-information-and-other-associated-assets.md), [5.12](a-5.12-Classification-of-information.md), [5.13](a-5.13-Labelling-of-information.md));
e\) restrictions to privileged access (see [8.2](a-8.2-Privileged-access-rights.md));
f\) segregation of duties (see [5.3](a-5.3-Segregation-of-duties.md));
g\) relevant legislation, regulations and any contractual obligations regarding limitation of access to data or services (see [5.31](a-5.31-Legal-statutory-regulatory-and-contractual-requirements.md), [5.32](a-5.32-Intellectual-property-rights.md), [5.33](a-5.33-Protection-of-records.md), [5.34](a-5.34-Privacy-and-protection-of-PII.md), [8.3](a-8.3-Information-access-restriction.md));
h\) segregation of access control functions (e.g. access request, access authorization, access administration);
i\) formal authorization of access requests (see [5.16](a-5.16-Identity-management.md), [5.18](a-5.18-Access-rights.md));
j\) the management of access rights (see [5.18](a-5.18-Access-rights.md));
k\) logging (see [8.15](../NL/a-8.15-Logging.md)).
Access control rules should be implemented by defining and mapping appropriate access rights and restrictions to the relevant entities (see [5.16](a-5.16-Identity-management.md)). An entity can represent a human user as well as a technical or logical item (e.g. a machine, device or a service). To simplify the access control management, specific roles can be assigned to entity groups.
The following should be taken into account when defining and implementing access control rules:
a\) consistency between the access rights and information classification;
b\) consistency between the access rights and the physical perimeter security needs and requirements;
c\) considering all types of available connections in distributed environments so entities are only provided with access to information and other associated assets, including networks and network services, that they are authorized to use;
d\) considering how elements or factors relevant to dynamic access control can be reflected.
**Other information**
There are often overarching principles used in the context of access control. Two of the most frequently used principles are:
a\) need-to-know: an entity is only granted access to the information which that entity requires in order to perform its tasks (different tasks or roles mean different need-to-know information and hence different access profiles);
b\) need-to-use: an entity is only assigned access to information technology infrastructure where a clear need is present.
Care should be taken when specifying access control rules to consider:
a\) establishing rules based on the premise of least privilege, “Everything is generally forbidden unless expressly permitted”, rather than the weaker rule, “Everything is generally permitted unless expressly forbidden”;
b\) changes in information labels (see [5.13](a-5.13-Labelling-of-information.md)) that are initiated automatically by information processing facilities and those initiated at the discretion of a user;
c\) changes in user permissions that are initiated automatically by the information system and those initiated by an administrator;
d\) when to define and regularly review the approval.
Access control rules should be supported by documented procedures (see [5.16](a-5.16-Identity-management.md), [5.17](a-5.17-Authentication-information.md), [5.18](a-5.18-Access-rights.md), [8.2](a-8.2-Privileged-access-rights.md), [8.3](a-8.3-Information-access-restriction.md), [8.4](a-8.4-Access-to-source-code.md), [8.5](a-8.5-Secure-authentication.md), [8.18](a-8.18-Use-of-privileged-utility-programs.md)) and defined responsibilities (see [5.2](a-5.2-Information-security-roles-and-responsibilities.md), [5.17](a-5.17-Authentication-information.md)).
There are several ways to implement access control, such as MAC (mandatory access control), DAC (discretionary access control), RBAC (role-based access control) and ABAC (attribute-based access control).
Access control rules can also contain dynamic elements (e.g. a function that evaluates past accesses or specific environment values). Access control rules can be implemented in different granularity, ranging from covering whole networks or systems to specific data fields and can also consider properties such as user location or the type of network connection that is used for access. These principles and how granular access control is defined can have a significant cost impact. Stronger rules and more granularity typically lead to higher cost. Business requirements and risk considerations should be used to define which access control rules are applied and which granularity is required.

44
Corpus/Standards/ISO27x/OST/27002/EN/a-5.16-Identity-management.md Normal file
View file

@ -0,0 +1,44 @@
## 5.16 Identity management
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ------------------------------- | ---------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Protect | #Identity_and_access_management | #Protection |
**Control**
The full life cycle of identities should be managed.
**Purpose**
To allow for the unique identification of individuals and systems accessing the organizations information and other associated assets and to enable appropriate assignment of access rights.
**Guidance**
The processes used in the context of identity management should ensure that:
a\) for identities assigned to persons, a specific identity is only linked to a single person to be able to hold the person accountable for actions performed with this specific identity;
b\) identities assigned to multiple persons (e.g. shared identities) are only permitted where they are necessary for business or operational reasons and are subject to dedicated approval and documentation;
c\) identities assigned to non-human entities are subject to appropriately segregated approval and independent ongoing oversight;
d\) identities are disabled or removed in a timely fashion if they are no longer required (e.g. if their associated entities are deleted or no longer used, or if the person linked to an identity has left the organization or changed the role);
e\) in a specific domain, a single identity is mapped to a single entity, \[i.e. mapping of multiple identities to the same entity within the same context (duplicate identities) is avoided\];
f\) records of all significant events concerning the use and management of user identities and of authentication information are kept.
The organization should have a supporting process in place to handle changes to information related to user identities. These processes can include re-verification of trusted documents related to a person.
When using identities provided or issued by third parties (e.g. social media credentials), the organization should ensure the third-party identities provide the required trust level and any associated risks are known and sufficiently treated. This can include controls related to the third parties (see [5.19](a-5.19-Information-security-in-supplier-relationships.md)) as well as controls related to associated authentication information (see [5.17](a-5.17-Authentication-information.md)).
**Other information**
Providing or revoking access to information and other associated assets is usually a multi-step procedure:
a\) confirming the business requirements for an identity to be established;
b\) verifying the identity of an entity before allocating them a logical identity;
c\) establishing an identity;
d\) configuring and activating the identity. This also includes configuration and initial setup of related authentication services;
e\) providing or revoking specific access rights to the identity, based on appropriate authorization or entitle ment decisions (see [5.18](a-5.18-Access-rights.md)).

74
Corpus/Standards/ISO27x/OST/27002/EN/a-5.17-Authentication-information.md Normal file
View file

@ -0,0 +1,74 @@
#iso27002/2022/EN
## 5.17 Authentication information
### Control
Allocation and management of authentication information should be controlled by a management process, including advising personnel on the appropriate handling of authentication information.
### Purpose
To ensure proper entity authentication and prevent failures of authentication processes.
### Guidance
**Allocation of authentication information**
The allocation and management process should ensure that:
a)   personal passwords or personal identification numbers (PINs) generated automatically during enrolment processes as temporary secret authentication information are non-guessable and unique for each person, and that users are required to change them after the first use;
b)   procedures are established to verify the identity of a user prior to providing new, replacement or temporary authentication information;
c)   authentication  information,  including  temporary  authentication  information,  is  transmitted to users in a secure manner (e.g. over an authenticated and protected channel) and the use of unprotected (clear text) electronic mail messages for this purpose is avoided;
d)   users acknowledge receipt of authentication information;
e)   default authentication information as predefined or provided by vendors is changed immediately following installation of systems or software;
f)   records of significant events concerning allocation and management of authentication information are kept and their confidentiality is granted, and that the record-keeping method is approved (e.g. by using an approved password vault tool).
**User responsibilities**
Any person having access to or using authentication information should be advised to ensure that:
a)   secret  authentication  information  such  as  passwords  are  kept  confidential.  Personal  secret authentication information is not to be shared with anyone. Secret authentication information used in the context of identities linked to multiple users or linked to non-personal entities are solely shared with authorized persons;
b)   affected or compromised authentication information is changed immediately upon notification of or any other indication of a compromise;
c)   when passwords are used as authentication information, strong passwords according to best practice recommendations are selected, for example:
1)   passwords are not based on anything somebody else can easily guess or obtain using personrelated information (e.g. names, telephone numbers and dates of birth);
2)   passwords are not based on dictionary words or combinations thereof;
3)   use easy to remember passphrases and try to include alphanumerical and special characters;
4)   passwords have a minimum length;
d)   the same passwords are not used across distinct services and systems;
e)   the obligation to follow these rules is also included in terms and conditions of employment (see [6.2](a-6.2-Terms-and-conditions-of-employment.md)).
**Password management system**
When passwords are used as authentication information, the password management system should:
a)   allow users to select and change their own passwords and include a confirmation procedure to address input errors;
b)   enforce  strong  passwords  according  to  good  practice  recommendations \[see  c)  of  "User responsibilities"\];
c)   force users to change their passwords at first login;
d)   enforce password changes as necessary, for example after a security incident, or upon termination or change of employment when a user has known passwords for identities that remain active (e.g. shared identities);
e)   prevent re-use of previous passwords;
f)   prevent  the  use  of  commonly-used  passwords  and  compromised  usernames,  password combinations from hacked systems;
g)   not display passwords on the screen when being entered;
h)   store and transmit passwords in protected form.
Password  encryption  and  hashing  should  be  performed  according  to  approved  cryptographic techniques for passwords (see [8.24](a-8.24-Use-of-cryptography.md)).
**Other information**
Passwords or passphrases are a commonly used type of authentication information and are a common means of verifying a users identity. Other types of authentication information are cryptographic keys, data stored on hardware tokens (e.g. smart cards) that produce authentication codes and biometric data such as iris scans or fingerprints. Additional information can be found in the ISO/IEC 24760 series.
Requiring frequent change of passwords can be problematic because users can get annoyed by the frequent changes, forget new passwords, note them down in unsafe places, or choose unsafe passwords. Provision of single sign on (SSO) or other authentication management tools (e.g. password vaults) reduces the amount of authentication information that users are required to protect and can thereby increase the effectiveness of this control. However, these tools can also increase the impact of disclosure of authentication information.
Some applications require user passwords to be assigned by an independent authority. In such cases, a), c) and d) of "Password management system" do not apply.

63
Corpus/Standards/ISO27x/OST/27002/EN/a-5.18-Access-rights.md Normal file
View file

@ -0,0 +1,63 @@
## 5.18 Access rights
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | ------------------------------- | ---------------- |
| #Preventive | #Confidentiality #Integrity #Availability | #Protect | #Identity_and_access_management | #Protection |
**Control**
Access rights to information and other associated assets should be provisioned, reviewed, modified and removed in accordance with the organizations topic-specific policy on and rules for access control.
**Purpose**
To ensure access to information and other associated assets is defined and authorized according to the business requirements.
**Guidance**
<u>Provision and revocation of access rights</u>
The provisioning process for assigning or revoking physical and logical access rights granted to an entitys authenticated identity should include:
a\) obtaining authorization from the owner of the information and other associated assets for the use of the information and other associated assets (see [5.9](a-5.9-Inventory-of-information-and-other-associated-assets.md)). Separate approval for access rights by management can also be appropriate;
b\) considering the business requirements and the organizations topic-specific policy and rules on access control;
c\) considering segregation of duties, including segregating the roles of approval and implementation of the access rights and separation of conflicting roles;
d\) ensuring access rights are removed when someone does not need to access the information and other associated assets, in particular ensuring access rights of users who have left the organization are removed in a timely fashion;
e\) considering giving temporary access rights for a limited time period and revoking them at the expiration date, in particular for temporary personnel or temporary access required by personnel;
f\) verifying that the level of access granted is in accordance with the topic-specific policies on access control (see [5.15](a-5.15-Access-control.md)) and is consistent with other information security requirements such as segregation of duties (see [5.3](a-5.3-Segregation-of-duties.md));
g\) ensuring that access rights are activated (e.g. by service providers) only after authorization procedures are successfully completed;
h\) maintaining a central record of access rights granted to a user identifier (ID, logical or physical) to access information and other associated assets;
i\) modifying access rights of users who have changed roles or jobs;
j\) removing or adjusting physical and logical access rights, which can be done by removal, revocation or replacement of keys, authentication information, identification cards or subscriptions;
k\) maintaining a record of changes to users logical and physical access rights.
<u>Review of access rights</u>
Regular reviews of physical and logical access rights should consider the following:
a\) users access rights after any change within the same organization (e.g. job change, promotion, demotion) or termination of employment (see 6.1to 6.5);
b\) authorizations for privileged access rights.
<u>Consideration before change or termination of employment</u>
A users access rights to information and other associated assets should be reviewed and adjusted or removed before any change or termination of employment based on the evaluation of risk factors such as:
a\) whether the termination or change is initiated by the user or by management and the reason for termination;
b\) the current responsibilities of the user;
c\) the value of the assets currently accessible.
**Other information**
Consideration should be given to establishing user access roles based on business requirements that summarize a number of access rights into typical user access profiles. Access requests and reviews of access rights are easier managed at the level of such roles than at the level of particular rights.
Consideration should be given to including clauses in personnel contracts and service contracts that specify sanctions if unauthorized access is attempted by personnel (see [5.20](a-5.20-Addressing-information-security-within-supplier-agreements.md), [6.2](a-6.2-Terms-and-conditions-of-employment.md), [6.4](a-6.4-Disciplinary-process.md), [6.6](a-6.6-Confidentiality-or-non-disclosure-agreements.md)).
In cases of management-initiated termination, disgruntled personnel or external party users can deliberately corrupt information or sabotage information processing facilities. In cases of persons resigning or being dismissed, they can be tempted to collect information for future use.
Cloning is an efficient way for organizations to assign access to users. However, it should be done with care based on distinct roles identified by the organization rather than just cloning an identity with all associated access rights. Cloning has an inherent risk of resulting in excessive access rights to information and other associated assets.

71
Corpus/Standards/ISO27x/OST/27002/EN/a-5.19-Information-security-in-supplier-relationships.md Normal file
View file

@ -0,0 +1,71 @@
#iso27002/2022/EN
## 5.19 Information security in supplier relationships
**Control**
Processes and procedures should be defined and implemented to manage the information security risks associated with the use of suppliers products or services.
**Purpose**
To maintain an agreed level of information security in supplier relationships.
**Guidance**
The organization should establish and communicate a topic-specific policy on supplier relationships to all relevant interested parties.
The organization should identify and implement processes and procedures to address security risks associated with the use of products and services provided by suppliers. This should also apply to the organizations use of resources of cloud service providers. These processes and procedures should include those to be implemented by the organization, as well as those the organization requires the supplier to implement for the commencement of use of a suppliers products or services or for the termination of use of a suppliers products and services, such as:
a\) identifying and documenting the types of suppliers (e.g. ICT services, logistics, utilities, financial services, ICT infrastructure components) which can affect the confidentiality, integrity and availability of the organization's information;
b\) establishing how to evaluate and select suppliers according to the sensitivity of information, products and services (e.g. with market analysis, customer references, review of documents, on-site assessments, certifications);
c\) evaluating and selecting suppliers products or services that have adequate information security controls and reviewing them; in particular, accuracy and completeness of controls implemented by the supplier that ensure integrity of the suppliers information and information processing and hence the organizations information security;
d\) defining the organizations information, ICT services and the physical infrastructure that suppliers can access, monitor, control or use;
e\) defining the types of ICT infrastructure components and services provided by suppliers which can affect the confidentiality, integrity and availability of the organization's information;
f\) assessing and managing the information security risks associated with:
1\) the suppliers use of the organizations information and other associated assets, including risks originating from potential malicious supplier personnel;
2\) malfunctioning or vulnerabilities of the products (including software components and sub-components used in these products) or services provided by the suppliers;
g\) monitoring compliance with established information security requirements for each type of supplier and type of access, including third-party review and product validation;
h\) mitigating non-compliance of a supplier, whether this was detected through monitoring or by other means;
i\) handling incidents and contingencies associated with supplier products and services including responsibilities of both the organization and suppliers;
j\) resilience and, if necessary, recovery and contingency measures to ensure the availability of the suppliers information and information processing and hence the availability of the organizations information;
k\) awareness and training for the organizations personnel interacting with supplier personnel regarding appropriate rules of engagement, topic-specific policies, processes and procedures and behaviour based on the type of supplier and the level of supplier access to the organizations systems and information;
l\) managing the necessary transfer of information, other associated assets and anything else that needs to be changed and ensuring that information security is maintained throughout the transfer period;
m\) requirements to ensure a secure termination of the supplier relationship, including:
1\) de-provisioning of access rights;
2\) information handling;
3\) determining ownership of intellectual property developed during the engagement;
4\) information portability in case of change of supplier or insourcing;
6\) records management;
7\) return of assets;
8\) secure disposal of information and other associated assets;
9\) ongoing confidentiality requirements;
n\) level of personnel security and physical security expected from supplier's personnel and facilities.
The procedures for continuing information processing in the event that the supplier becomes unable to supply its products or services (e.g. because of an incident, because the supplier is no longer in business, or no longer provides some components due to technology advancements) should be considered to avoid any delay in arranging replacement products or services (e.g. identifying an alternative supplier in advance or always using alternative suppliers).
**Other information**
In cases where it is not possible for an organization to place requirements on a supplier, the organization should:
a\) consider the guidance given in this control in making decisions about choosing a supplier and its product or service;
b\) implement compensating controls as necessary based on a risk assessment.
Information can be put at risk by suppliers with inadequate information security management. Controls should be determined and applied to manage the supplier's access to information and other associated assets. For example, if there is a special need for confidentiality of the information, non-disclosure agreements or cryptographic techniques can be used. Another example is personal data protection risks when the supplier agreement involves transfer of, or access to, information across borders. The organization needs to be aware that the legal or contractual responsibility for protecting information remains with the organization.
Risks can also be caused by inadequate controls of ICT infrastructure components or services provided by suppliers. Malfunctioning or vulnerable components or services can cause information security breaches in the organization or to another entity (e.g. they can cause malware infection, attacks or other harm on entities other than the organization).
See ISO/IEC 27036-2 for more detail.

27
Corpus/Standards/ISO27x/OST/27002/EN/a-5.2-Information-security-roles-and-responsibilities.md Normal file
View file

@ -0,0 +1,27 @@
#iso27002/2022/EN
## 5.2 Information security roles and responsibilities
### Control
Information security roles and responsibilities should be defined and allocated according to the organization needs.
### Purpose
To establish a defined, approved and understood structure for the implementation, operation and management of information security within the organization.
### Guidance
Allocation of information security roles and responsibilities should be done in accordance with the information security policy and topic-specific policies (see [5.1](a-5.1-Policies-for-information-security.md)). The organization should define and manage responsibilities for:
a)   protection of information and other associated assets;
b)   carrying out specific information security processes;
c)   information security risk management activities and in particular acceptance of residual risks (e.g. to risk owners);
d)   all personnel using an organizations information and other associated assets.
These responsibilities should be supplemented, where necessary, with more detailed guidance for specific sites and information processing facilities. Individuals with allocated information security responsibilities can assign security tasks to others. However, they remain accountable and should determine that any delegated tasks have been correctly performed.
Each  security  area  for  which  individuals  are  responsible  should  be  defined,  documented  and communicated. Authorization levels should be defined and documented. Individuals who take on a specific information security role should be competent in the knowledge and skills required by the role and should be supported to keep up to date with developments related to the role and required in order to fulfil the responsibilities of the role.
### Other information
Many organizations appoint an information security manager to take overall responsibility for the development and implementation of information security and to support the identification of risks and mitigating controls.
However, responsibility for resourcing and implementing the controls often remains with individual managers. One common practice is to appoint an owner for each asset who then becomes responsible for its day-to-day protection.
Depending on the size and resourcing of an organization, information security can be covered by dedicated roles or duties carried out in addition to existing roles.

72
Corpus/Standards/ISO27x/OST/27002/EN/a-5.20-Addressing-information-security-within-supplier-agreements.md Normal file
View file

@ -0,0 +1,72 @@
#iso27002/2022/EN
## 5.20 Addressing information security within supplier agreements
**Control**
Relevant information security requirements should be established and agreed with each supplier based on the type of supplier relationship.
**Purpose**
To maintain an agreed level of information security in supplier relationships.
**Guidance**
Supplier agreements should be established and documented to ensure that there is clear understanding between the organization and the supplier regarding both parties obligations to fulfil relevant information security requirements.
The following terms can be considered for inclusion in the agreements in order to satisfy the identified information security requirements:
a\) description of the information to be provided or accessed and methods of providing or accessing the information;
b\) classification of information according to the organizations classification scheme (see [[5.10]], [[5.12]], [[5.13]])
c\) mapping between the organizations own classification scheme and the classification scheme of the supplier;
d\) legal, statutory, regulatory and contractual requirements, including data protection, handling of personally identifiable information (PII), intellectual property rights and copyright and a description of how it will be ensured that they are met;
e\) obligation of each contractual party to implement an agreed set of controls, including access control, performance review, monitoring, reporting and auditing, and the suppliers obligations to comply with the organizations information security requirements;
f\) rules of acceptable use of information and other associated assets, including unacceptable use if necessary;
g\) procedures or conditions for authorization and removal of the authorization for the use of the organizations information and other associated assets by supplier personnel (e.g. through an explicit list of supplier personnel authorized to use the organizations information and other associated assets);
h\) information security requirements regarding the suppliers ICT infrastructure; in particular, minimum information security requirements for each type of information and type of access to serve as the basis for individual supplier agreements based on the organizations business needs and risk criteria;
i\) indemnities and remediation for failure of contractor to meet requirements;
j\) incident management requirements and procedures (especially notification and collaboration during incident remediation);
k\) training and awareness requirements for specific procedures and information security requirements (e.g. for incident response, authorization procedures);
l\) relevant provisions for sub-contracting, including the controls that need to be implemented, such as agreement on the use of sub-suppliers (e.g. requiring to have them under the same obligations of the supplier, requiring to have a list of sub-suppliers and notification before any change);
m\) relevant contacts, including a contact person for information security issues;
n\) any screening requirements, where legally permissible, for the suppliers personnel, including responsibilities for conducting the screening and notification procedures if screening has not been completed or if the results give cause for doubt or concern;
o\) the evidence and assurance mechanisms of third-party attestations for relevant information security requirements related to the supplier processes and an independent report on effectiveness of controls;
p\) right to audit the supplier processes and controls related to the agreement;
q\) suppliers obligation to periodically deliver a report on the effectiveness of controls and agreement on timely correction of relevant issues raised in the report;
r\) defect resolution and conflict resolution processes;
s\) providing backup aligned with the organizations needs (in terms of frequency and type and storage location);
t\) ensuring the availability of an alternate facility (i.e. disaster recovery site) not subject to the same threats as the primary facility and considerations for fall back controls (alternate controls) in the event primary controls fail;
u\) having a change management process that ensures advance notification to the organization and the possibility for the organization of not accepting changes;
v\) physical security controls commensurate with the information classification;
w\) information transfer controls to protect the information during physical transfer or logical transmission;
x\) termination clauses upon conclusion of the agreement including records management, return of assets, secure disposal of information and other associated assets, and any ongoing confidentiality obligations;
y\) provision of a method of securely destroying the organizations information stored by the supplier as soon as it is no longer required;
z\) ensuring, at the end of the contract, handover support to another supplier or to the organization itself.
The organization should establish and maintain a register of agreements with external parties (e.g. contracts, memorandum of understanding, information-sharing agreements) to keep track of where their information is going. The organization should also regularly review, validate and update their agreements with external parties to ensure they are still required and fit for purpose with relevant information security clauses.
**Other information**
The agreements can vary considerably for different organizations and among the different types of suppliers. Therefore, care should be taken to include all relevant requirements for addressing information security risks.
For details on supplier agreements, see ISO/IEC 27036 series. For cloud service agreements, see ISO/IEC 19086 series.

58
Corpus/Standards/ISO27x/OST/27002/EN/a-5.21-Managing-information-security-in-the-ICT-supply-chain.md Normal file
View file

@ -0,0 +1,58 @@
#iso27002/2022/EN
[[ISO_27002_PE 5.21 Managing information security in the ICT supply chain]]
## 5.21 Managing information security in the ICT supply chain
**Control**
Processes and procedures should be defined and implemented to manage the information security risks associated with the ICT products and services supply chain.
**Purpose**
To maintain an agreed level of information security in supplier relationships.
**Guidance**
The following topics should be considered to address information security within ICT supply chain security in addition to the general information security requirements for supplier relationships:
a\) defining information security requirements to apply to ICT product or service acquisition;
b\) requiring that ICT services suppliers propagate the organizations security requirements throughout the supply chain if they sub-contract for parts of the ICT service provided to the organization;
c\) requiring that ICT products suppliers propagate appropriate security practices throughout the supply chain if these products include components purchased or acquired from other suppliers or other entities (e.g. sub-contracted software developers and hardware component providers);
d\) requesting that ICT products suppliers provide information describing the software components used in products;
e\) requesting that ICT products suppliers provide information describing the implemented security functions of their product and the configuration required for its secure operation;
f\) implementing a monitoring process and acceptable methods for validating that delivered ICT products and services comply with stated security requirements. Examples of such supplier review methods can include penetration testing and proof or validation of third-party attestations for the suppliers information security operations;
g\) implementing a process for identifying and documenting product or service components that are critical for maintaining functionality and therefore require increased attention, scrutiny and further follow up required when built outside of the organization especially if the supplier outsources aspects of product or service components to other suppliers;
h\) obtaining assurance that critical components and their origin can be traced throughout the supply chain;
i\) obtaining assurance that the delivered ICT products are functioning as expected without any unexpected or unwanted features;
j\) implementing processes to ensure that components from suppliers are genuine and unaltered from their specification. Example measures include anti-tamper labels, cryptographic hash verifications or digital signatures. Monitoring for out of specification performance can be an indicator of tampering or counterfeits. Prevention and detection of tampering should be implemented during multiple stages in the system development life cycle, including design, development, integration, operations and maintenance;
k\) obtaining assurance that ICT products achieve required security levels, for example, through formal certification or an evaluation scheme such as the Common Criteria Recognition Arrangement;
l\) defining rules for sharing of information regarding the supply chain and any potential issues and compromises among the organization and suppliers;
m\) implementing specific processes for managing ICT component life cycle and availability and associated security risks. This includes managing the risks of components no longer being available due to suppliers no longer being in business or suppliers no longer providing these components due to technology advancements. Identification of an alternative supplier and the process to transfer software and competence to the alternative supplier should be considered.
**Other information**
The specific ICT supply chain risk management practices are built on top of general information security, quality, project management and system engineering practices but do not replace them.
Organizations are advised to work with suppliers to understand the ICT supply chain and any matters that have an important effect on the products and services being provided. The organization can influence ICT supply chain information security practices by making clear in agreements with their suppliers the matters that should be addressed by other suppliers in the ICT supply chain.
ICT should be acquired from reputable sources. The reliability of software and hardware is a matter of quality control. While it is generally not possible for an organization to inspect the quality control systems of its vendors, it can make reliable judgments based on the reputation of the vendor.
ICT supply chain as addressed here includes cloud services.
Examples of ICT supply chains are:
a\) cloud services provisioning, where the cloud service provider relies on the software developers, telecommunication service providers, hardware providers;
b\) IoT, where the service involves the device manufacturers, the cloud service providers (e.g. the IoT platform operators), the developers for mobile and web applications, the vendor of software libraries;
c\) hosting services, where the provider relies on external service desks including first, second and third support levels.

55
Corpus/Standards/ISO27x/OST/27002/EN/a-5.22-Monitoring-review-and-change-management-of-supplier-services.md Normal file
View file

@ -0,0 +1,55 @@
#iso27002/2022/EN
**Control**
The organization should regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
**Purpose**
To maintain an agreed level of information security and service delivery in line with supplier agreements.
**Guidance**
Monitoring, review and change management of supplier services should ensure the information security terms and conditions of the agreements are complied with, information security incidents and problems are managed properly and changes in supplier services or business status do not affect service delivery.
This should involve a process to manage the relationship between the organization and the supplier to:
a\) monitor service performance levels to verify compliance with the agreements;
b) monitor changes made by suppliers including:
1) enhancements to the current services offered;
2) development of any new applications and systems;
3) modifications or updates of the suppliers policies and procedures;
4) new or changed controls to resolve information security incidents and to improve information security;
c) monitor changes in supplier services including:
1) changes and enhancement to networks;
2) use of new technologies;
3) adoption of new products or newer versions or releases;
4) new development tools and environments;
5) changes to physical location of service facilities;
6) change of sub-suppliers;
7) sub-contracting to another supplier;
d\) review service reports produced by the supplier and arrange regular progress meetings as required by the agreements;
e\) conduct audits of suppliers and sub-suppliers, in conjunction with review of independent auditors reports, if available and follow-up on issues identified;
f\) provide information about information security incidents and review this information as required by the agreements and any supporting guidelines and procedures;
g\) review supplier audit trails and records of information security events, operational problems, failures, tracing of faults and disruptions related to the service delivered;
h\) respond to and manage any identified information security events or incidents;
i\) identify information security vulnerabilities and manage them;
j\) review information security aspects of the suppliers relationships with its own suppliers;
k\) ensure that the supplier maintains sufficient service capability together with workable plans designed to ensure that agreed service continuity levels are maintained following major service failures or disaster (see [[5.29]], [[5.30]], [[5.35]], [[5.36]], [[8.14]];
l\) ensure that suppliers assign responsibilities for reviewing compliance and enforcing the requirements of the agreements;
m\) evaluate regularly that the suppliers maintain adequate information security levels.
The responsibility for managing supplier relationships should be assigned to a designated individual or team. Sufficient technical skills and resources should be made available to monitor that the requirements of the agreement, in particular the information security requirements, are being met. Appropriate actions should be taken when deficiencies in the service delivery are observed.
**Other information**
See ISO/IEC 27036-3 for more detail.

58
Corpus/Standards/ISO27x/OST/27002/EN/a-5.23-Information-security-for-use-of-cloud-services.md Normal file
View file

@ -0,0 +1,58 @@
#iso27002/2022/EN
## 5.23 Information security for use of cloud services
#### Control
Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organizations information security requirements.
#### Purpose
To specify and manage information security for the use of cloud services.
#### Guidance
The organization should establish and communicate topic-specific policy on the use of cloud services to all relevant interested parties.
The organization should define and communicate how it intends to manage information security risks associated with the use of cloud services. It can be an extension or part of the existing approach for how an organization manages services provided by external parties (see [5.21](a-5.21-Managing-information-security-in-the-ICT-supply-chain.md), [5.22](a-5.22-Monitoring-review-and-change-management-of-supplier-services.md)).
The use of cloud services can involve shared responsibility for information security and collaborative effort between the cloud service provider and the organization acting as the cloud service customer. It is essential that the responsibilities for both the cloud service provider and the organization, acting as the cloud service customer, are defined and implemented appropriately.
The organization should define:
a) all relevant information security requirements associated with the use of the cloud services;
b) cloud service selection criteria and scope of cloud service usage;
c) roles and responsibilities related to the use and management of cloud services;
d) which information security controls are managed by the cloud service provider and which are managed by the organization as the cloud service customer;
e) how to obtain and utilize information security capabilities provided by the cloud service provider;
f) how to obtain assurance on information security controls implemented by cloud service providers;
g) how to manage controls, interfaces and changes in services when an organization uses multiple cloud services, particularly from different cloud service providers;
h) procedures for handling information security incidents that occur in relation to the use of cloud services;
i) its approach for monitoring, reviewing and evaluating the ongoing use of cloud services to manage information security risks;
j) how to change or stop the use of cloud services including exit strategies for cloud services.
Cloud service agreements are often pre-defined and not open to negotiation. For all cloud services, the organization should review cloud service agreements with the cloud service provider(s). A cloud service agreement should address the confidentiality, integrity, availability and information handling requirements of the organization, with appropriate cloud service level objectives and cloud service qualitative objectives. The organization should also undertake relevant risk assessments to identify the risks associated with using the cloud service. Any residual risks connected to the use of the cloud service should be clearly identified and accepted by the appropriate management of the organization.
An agreement between the cloud service provider and the organization, acting as the cloud service customer, should include the following provisions for the protection of the organizations data and availability of services:
a) providing solutions based on industry accepted standards for architecture and infrastructure;
b) managing access controls of the cloud service to meet the requirements of the organization;
c) implementing malware monitoring and protection solutions;
d) processing and storing the organizations sensitive information in approved locations (e.g. particular country or region) or within or subject to a particular jurisdiction;
e) providing dedicated support in the event of an information security incident in the cloud service environment;
f) ensuring that the organizations information security requirements are met in the event of cloud services being further sub-contracted to an external supplier (or prohibiting cloud services from being sub-contracted);
g) supporting the organization in gathering digital evidence, taking into consideration laws and regulations for digital evidence across different jurisdictions;
h) providing appropriate support and availability of services for an appropriate time frame when the organization wants to exit from the cloud service;
i) providing required backup of data and configuration information and securely managing backups as applicable, based on the capabilities of the cloud service provider used by the organization, acting as the cloud service customer;
j) providing and returning information such as configuration files, source code and data that are owned by the organization, acting as the cloud service customer, when requested during the service provision or at termination of service.
The organization, acting as the cloud service customer, should consider whether the agreement should require cloud service providers to provide advance notification prior to any substantive customer impacting changes being made to the way the service is delivered to the organization, including:
a) changes to the technical infrastructure (e.g. relocation, reconfiguration, or changes in hardware or software) that affect or change the cloud service offering;
b) processing or storing information in a new geographical or legal jurisdiction;
c) use of peer cloud service providers or other sub-contractors (including changing existing or using new parties).
The organization using cloud services should maintain close contact with its cloud service providers. These contacts enable mutual exchange of information about information security for the use of the cloud services including a mechanism for both cloud service provider and the organization, acting as the cloud service customer, to monitor each service characteristic and report failures to the commitments contained in the agreements.
#### Other information
This control considers cloud security from the perspective of the cloud service customer.
Additional information relating to cloud services can be found in ISO/IEC 17788, ISO/IEC 17789 and ISO/IEC 22123-1. Specifics related to cloud portability in support of exit strategies can be found in ISO/IEC 19941. Specifics related to information security and public cloud services are described in ISO/IEC 27017. Specifics related to PII protection in public clouds acting as PII processor are described in ISO/IEC 27018. Supplier relationships for cloud services are covered by ISO/IEC 27036-4 and cloud service agreements and their contents are dealt with in the ISO/IEC 19086 series, with security and privacy specifically covered by ISO/IEC 19086-4.
# Related:
- [[ISO_27002_PE 5.23 Information security for use of cloud services]]

68
Corpus/Standards/ISO27x/OST/27002/EN/a-5.24-Information-security-incident-management-planning-and-preparation.md Normal file
View file

@ -0,0 +1,68 @@
#iso27002/2022/EN
## 5.24 Information security incident management planning and preparation
#### Control
The organization should plan and prepare for managing information security incidents by defining, establishing and communicating information security incident management processes, roles and responsibilities.
#### Purpose
To ensure quick, effective, consistent and orderly response to information security incidents, including communication on information security events.
#### Guidance
**Roles and responsibilities**
The organization should establish appropriate information security incident management processes. Roles and responsibilities to carry out the incident management procedures should be determined and effectively communicated to the relevant internal and external interested parties.
The following should be considered:
a\) establishing a common method for reporting information security events including point of contact (see [6.8](a-6.8-Information-security-event-reporting.md));
b\) establishing an incident management process to provide the organization with capability for managing information security incidents including administration, documentation, detection, triage, prioritization, analysis, communication and coordinating interested parties;
c\) establishing an incident response process to provide the organization with capability for assessing, responding to and learning from information security incidents;
d\) only allowing competent personnel to handle the issues related to information security incidents within the organization. Such personnel should be provided with procedure documentation and periodic training;
e\) establishing a process to identify required training, certification and ongoing professional development for incident response personnel.
**Incident management procedures**
The objectives for information security incident management should be agreed with management and it should be ensured that those responsible for information security incident management understand the organizations priorities for handling information security incidents, including resolution time frame based on potential consequences and severity. Incident management procedures should be implemented to meet these objectives and priorities.
Management should ensure that an information security incident management plan is created considering different scenarios and procedures are developed and implemented for the following activities:
a\) evaluation of information security events according to criteria for what constitutes an information security incident;
b\) monitoring (see [8.15](../NL/a-8.15-Logging.md) and [8.16](a-8.16-Monitoring-activities.md)), detecting (see [8.16](a-8.16-Monitoring-activities.md)), classifying (see [5.25](a-5.25-Assessment-and-decision-on-information-security-events.md)), analysing and reporting (see [6.8](a-6.8-Information-security-event-reporting.md)) of information security events and incidents (by human or automatic means);
c\) managing information security incidents to conclusion, including response and escalation (see [5.26](a-5.26-Response-to-information-security-incidents.md)), according to the type and the category of the incident, possible activation of crisis management and activation of continuity plans, controlled recovery from an incident and communication to internal and external interested parties;
d\) coordination with internal and external interested parties such as authorities, external interest groups and forums, suppliers and clients (see [5.5](a-5.5-Contact-with-authorities.md) and [5.6](a-5.6-Contact-with-special-interest-groups.md));
e\) logging incident management activities;
f\) handling of evidence (see [5.28](a-5.28-Collection-of-evidence.md));
g\) root cause analysis or post-mortem procedures;
h\) identification of lessons learned and any improvements to the incident management procedures or information security controls in general that are required.
**Reporting procedures**
Reporting procedures should include:
a\) actions to be taken in case of an information security event (e.g. noting all pertinent details immediately such as malfunction occurring and messages on screen, immediately reporting to the point of contact and only taking coordinated actions);
b\) use of incident forms to support personnel to perform all necessary actions when reporting information security incidents;
c\) suitable feedback processes to ensure that those persons reporting information security events are notified, to the extent possible, of outcomes after the issue has been addressed and closed;
d\) creation of incident reports.
Any external requirements on reporting of incidents to relevant interested parties within the defined time frame (e.g. breach notification requirements to regulators) should be considered when implementing incident management procedures.
**Other information**
Information security incidents can transcend organizational and national boundaries. To respond to such incidents, it is beneficial to coordinate response and share information about these incidents with external organizations as appropriate.
Detailed guidance on information security incident management is provided in the ISO/IEC 27035 series.

35
Corpus/Standards/ISO27x/OST/27002/EN/a-5.25-Assessment-and-decision-on-information-security-events.md Normal file
View file

@ -0,0 +1,35 @@
## 5.25 Assessment and decision on information security events
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | -------------------------------------- | ---------------- |
| #Detective | #Confidentiality #Integrity #Availability | #Detect #Respond | #Information_security_event_management | #Defence |
**Control**
The organization should assess information security events and decide if they are to be categorized as information security incidents.
**Purpose**
To ensure effective categorization and prioritization of information security events.
**Guidance**
A categorization and prioritization scheme of information security incidents should be agreed for the identification of the consequences and priority of an incident. The scheme should include the criteria to categorize events as information security incidents. The point of contact should assess each information security event using the agreed scheme.
Personnel responsible for coordinating and responding to information security incidents should perform the assessment and make a decision on information security events.
Results of the assessment and decision should be recorded in detail for the purpose of future reference and verification.
**Other information**
The ISO/IEC 27035 series provides further guidance on incident management.

35
Corpus/Standards/ISO27x/OST/27002/EN/a-5.26-Response-to-information-security-incidents.md Normal file
View file

@ -0,0 +1,35 @@
## 5.26 Response to information security incidents
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | -------------------------------------- | ---------------- |
| #Corrective | #Confidentiality #Integrity #Availability | #Respond #Recover | #Information_security_event_management | #Defence |
**Control**
Information security incidents should be responded to in accordance with the documented procedures.
**Purpose**
To ensure efficient and effective response to information security incidents.
**Guidance**
The organization should establish and communicate procedures on information security incident response to all relevant interested parties.
Information security incidents should be responded to by a designated team with the required competency (see [5.24](a-5.24-Information-security-incident-management-planning-and-preparation.md)).
The response should include the following:
a\) containing, if the consequences of the incident can spread, the systems affected by the incident;
b\) collecting evidence (see [5.28](a-5.28-Collection-of-evidence.md)) as soon as possible after the occurrence;
c\) escalation, as required including crisis management activities and possibly invoking business continuity plans (see [5.29](a-5.29-Information-security-during-disruption.md), [5.30](a-5.30-ICT-readiness-for-business-continuity.md));
d\) ensuring that all involved response activities are properly logged for later analysis;
e\) communicating the existence of the information security incident or any relevant details thereof to all relevant internal and external interested parties following the need-to-know principle;
f\) coordinating with internal and external parties such as authorities, external interest groups and forums, suppliers and clients to improve response effectiveness and help to minimize consequences for other organizations;
g\) once the incident has been successfully addressed, formally closing and recording it;
h\) conducting information security forensic analysis, as required (see [5.28](a-5.28-Collection-of-evidence.md));
i\) performing post-incident analysis to identify root cause. Ensure it is documented and communicated according to defined procedures (see [5.27](a-5.27-Learning-from-information-security-incidents.md));
j\) identifying and managing information security vulnerabilities and weaknesses including those related to controls which have caused, contributed to or failed to prevent the incident.
**Other information**
The ISO/IEC 27035 series provides further guidance on incident management.

23
Corpus/Standards/ISO27x/OST/27002/EN/a-5.27-Learning-from-information-security-incidents.md Normal file
View file

@ -0,0 +1,23 @@
#iso27002/2022/EN
## 5.27 Learning from information security incidents
#### Control
Knowledge gained from information security incidents should be used to strengthen and improve the information security controls.
#### Purpose
To reduce the likelihood or consequences of future incidents.
#### Guidance
The organization should establish procedures to quantify and monitor the types, volumes and costs of information security incidents.
The information gained from the evaluation of information security incidents should be used to:
a\) enhance the incident management plan including incident scenarios and procedures (see [5.24](a-5.24-Information-security-incident-management-planning-and-preparation.md));
b\) identify recurring or serious incidents and their causes to update the organizations information security risk assessment and determine and implement necessary additional controls to reduce the likelihood or consequences of future similar incidents. Mechanisms to enable that include collecting, quantifying and monitoring information about incident types, volumes and costs;
c\) enhance user awareness and training (see [6.3](ISO_27002_2022_6.3_OT%20Information%20security%20awareness%2C%20education%20and%20training.md)) by providing examples of what can happen, how to respond to such incidents and how to avoid them in the future.
#### Other information
The ISO/IEC 27035 series provides further guidance.

38
Corpus/Standards/ISO27x/OST/27002/EN/a-5.28-Collection-of-evidence.md Normal file
View file

@ -0,0 +1,38 @@
## 5.28 Collection of evidence
| Control type | Information security properties | Cybersecurity concepts | Operational capabilities | Security domains |
| ------------ | ----------------------------------------- | ---------------------- | -------------------------------------- | ---------------- |
| #Corrective | #Confidentiality #Integrity #Availability | #Detect #Respond | #Information_security_event_management | #Defence |
**Control**
The organization should establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
**Purpose**
To ensure a consistent and effective management of evidence related to information security incidents for the purposes of disciplinary and legal actions.
**Guidance**
Internal procedures should be developed and followed when dealing with evidence related to information security events for the purposes of disciplinary and legal actions. The requirements of different jurisdictions should be considered to maximize chances of admission across the relevant jurisdictions.
In general, these procedures for the management of evidence should provide instructions for the identification, collection, acquisition and preservation of evidence in accordance with different types of storage media, devices and status of devices (i.e. powered on or off). Evidence typically needs to be collected in a manner that is admissible in the appropriate national courts of law or another disciplinary forum. It should be possible to show that:
a\) records are complete and have not been tampered with in any way;
b\) copies of electronic evidence are probably identical to the originals;
c\) any information system from which evidence has been gathered was operating correctly at the time the evidence was recorded.
Where available, certification or other relevant means of qualification of personnel and tools should be sought, so as to strengthen the value of the preserved evidence.
Digital evidence can transcend organizational or jurisdictional boundaries. In such cases, it should be ensured that the organization is entitled to collect the required information as digital evidence.
**Other information**
When an information security event is first detected, it is not always obvious whether or not the event will result in court action. Therefore, the danger exists that necessary evidence is destroyed intentionally or accidentally before the seriousness of the incident is realized. It is advisable to involve legal advice or law enforcement early in any contemplated legal action and take advice on the evidence required.
ISO/IEC 27037 provides definitions and guidelines for identification, collection, acquisition and preservation of digital evidence.
The ISO/IEC 27050 series deals with electronic discovery, which involves the processing of electronically stored information as evidence.

Some files were not shown because too many files have changed in this diff Show more