richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Compare commits

base: richardk:c4e0d21aaf2186cebf08c4a7b0dc9926d3652d9c
Branches Tags
richardk:main
...
compare: richardk:f80f7fdf36a1f7aeaeed653dc3cfd516471ae068
Branches Tags
richardk:main

7 commits
c4e0d21aaf ... f80f7fdf36

Author SHA1 Message Date
Richard Kranendonk
f80f7fdf36 Removed legacy property tables, reformatted bold headers as level 3 2026-05-02 16:25:07 +02:00
Richard Kranendonk
542c4e30e5 Removed duplicate header 2026-05-02 16:13:40 +02:00
Richard Kranendonk
48f8fdb84b Added YAML front matter to 27002-NL 2026-05-02 16:10:53 +02:00
Richard Kranendonk
92adf49834 Added proper level 2 headers where they were missing 2026-05-02 16:00:43 +02:00
Richard Kranendonk
db2071fc3a Added front matter to 27001-NL, manually removed some crud from 27002-NL files 2026-05-02 15:16:39 +02:00
Richard Kranendonk
ad8ec4812a Added links to sub-paragraphs in chapter notes, moved some files 2026-05-02 14:55:15 +02:00
Richard Kranendonk
92d0a28788 Added links to sub-paragraphs in chapter notes 2026-05-02 14:42:13 +02:00
160 changed files with 3308 additions and 2011 deletions
Download patch file Download diff file Expand all files Collapse all files

2
Corpus/MoCs/iso27DIY-MoC.md
View file

@ -22,7 +22,7 @@ tags:
## Method
[Samenhang tussen producten](../🎇%20Sparks/Samenhang%20tussen%20producten.md)
[ISO 27001 2023 Processen en Artefacten](../Standards/ISO27x/OST/27001/NL/ISO%2027001%202023%20Processen%20en%20Artefacten.md)
[ISO 27001 2023 Processen en Artefacten](../Standards/ISO27x/OST/ISO%2027001%202023%20Processen%20en%20Artefacten.md)
[Advised Documents for ISO 27001](../iso27DIY-gis/reference/Advised%20Documents%20for%20ISO%2027001.md)
[Examples of Proof for auditors](../🎇%20Sparks/Examples%20of%20Proof%20for%20auditors.md)
[About ISO27DIY Policy Cards](../💡Permanent%20ideas/About%20ISO27DIY%20Policy%20Cards.md)

12
Corpus/Standards/ISO27x/ISO 27k standards overview.md
View file

@ -11,8 +11,8 @@ tags:
Indexes:
- [ISO 27001:2022 EN](../../MoCs/ISO_27001_2022_00_MoC%20Index.md)
- [ISO 27002:2022 EN](../../MoCs/ISO_27001_2022_00_MoC%20Index%20EXT.md) Includes references to 2013 version!
- [ISO 27001:2023 NL](OST/27001/NL/ISO_27001_2023_NL_Index.md)
- [ISO 27002:2022 NL](OST/27002/NL/ISO_27002_2022_NL_Index.md)
- [ISO 27001:2023 NL](OST/ISO_27001_2023_NL_Index.md)
- [ISO 27002:2022 NL](OST/ISO_27002_2022_NL_Index.md)
- [Vertaaltabel Engels-Nederlands](../../MoCs/ISO_27002_2022_Vertaaltabel_Engels_Nederlands.md)
EN source tekst:
@ -21,17 +21,17 @@ EN source tekst:
NL brontekst:
- ISO 27001:2023 [PDF](OST/27001/NL/ISO_27001_2023_NL_PDF.md)
- ISO 27002:2022 [PDF](OST/27002/NL/ISO_27002_2022_NL_PDF.md)
- ISO 27002:2022 [PDF](OST/ISO_27002_2022_NL_PDF.md)
See also:
- [Plain English ISO IEC 27002 2005 from Praxiom](https://www.praxiom.com/iso-17799-objectives.htm)
- [Changes in ISO 27001:2022 (table)](../../🎇%20Sparks/Detailed%20comparison%20between%202017%20and%202022.md)
- [[ISO 27002 2022 What's New]]
- [ISO_27001_2023_NL_Aanpassingen](OST/27001/NL/ISO_27001_2023_NL_Aanpassingen.md)
- [ISO_27001_2023_NL_Aanpassingen](OST/ISO_27001_2023_NL_Aanpassingen.md)
- [Changes in ISO 27001_2022_Advisera](../../../../iso27DIY-gis/reference/Changes%20in%20ISO%2027001_2022_Advisera.md)
- [IBB op hoofdlijnen](OST/27001/NL/IBB%20op%20hoofdlijnen.md)
- [ISO 27001 2023 Processen en Artefacten](OST/27001/NL/ISO%2027001%202023%20Processen%20en%20Artefacten.md)
- [IBB op hoofdlijnen](OST/IBB%20op%20hoofdlijnen.md)
- [ISO 27001 2023 Processen en Artefacten](OST/ISO%2027001%202023%20Processen%20en%20Artefacten.md)
- [Advised Documents for ISO 27001](../../../../iso27DIY-gis/reference/Advised%20Documents%20for%20ISO%2027001.md)
- [Types of Controls](../../🎇%20Sparks/Types%20of%20Controls.md)

4
Corpus/Standards/ISO27x/OST/27001/EN/c-10-Improvement.md
View file

@ -10,4 +10,6 @@ tags:
- iso27001/2022/EN
status: active
---
# 10 Improvement
# 10 Improvement
[c-10.1-Continual-improvement](c-10.1-Continual-improvement.md)
[c-10.2-Nonconformity-and-corrective-action](c-10.2-Nonconformity-and-corrective-action.md)

6
Corpus/Standards/ISO27x/OST/27001/EN/c-4-Context-of-the-organization.md
View file

@ -10,4 +10,8 @@ tags:
- iso27001/2022/EN
status: active
---
# 4 Context of the organisation
# 4 Context of the organisation
[c-4.1-Understanding-the-organization-and-its-context](c-4.1-Understanding-the-organization-and-its-context.md)
[c-4.2-Understanding-the-needs-and-expectations-of-interested-parties](c-4.2-Understanding-the-needs-and-expectations-of-interested-parties.md)
[c-4.3-Determining-the-scope-of-the-information-security-management-system](c-4.3-Determining-the-scope-of-the-information-security-management-system.md)
[c-4.4-Information-security-management-system](c-4.4-Information-security-management-system.md)

6
Corpus/Standards/ISO27x/OST/27001/EN/c-5-Leadership.md
View file

@ -10,4 +10,8 @@ tags:
- iso27001/2022/EN
status: active
---
# 5 Leadership
# 5 Leadership
[c-5.1-Leadership-and-commitment](c-5.1-Leadership-and-commitment.md)
[c-5.2-Policy](c-5.2-Policy.md)
[c-5.3-Organizational-roles-responsibilities-and-authorities](c-5.3-Organizational-roles-responsibilities-and-authorities.md)

5
Corpus/Standards/ISO27x/OST/27001/EN/c-6-Planning.md
View file

@ -10,4 +10,7 @@ tags:
- iso27001/2022/EN
status: active
---
# 6 Planning
# 6 Planning
[c-6.1-Actions-to-address-risks-and-opportunities](c-6.1-Actions-to-address-risks-and-opportunities.md)
[c-6.2-Information-security-objectives-and-planning-to-achieve-them](c-6.2-Information-security-objectives-and-planning-to-achieve-them.md)
[c-6.3-Planning-of-changes](c-6.3-Planning-of-changes.md)

18
Corpus/Standards/ISO27x/OST/27001/EN/c-6.1-Actions-to-address-risks-and-opportunities.md Normal file
View file

@ -0,0 +1,18 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2022
language: EN
type: clause
id: C.6.1
title: Actions to address risks and opportunities
tags:
- iso27001/2022/EN
status: active
---
## 6.1 Actions to address risks and opportunities
[c-6.1.1-General](c-6.1.1-General.md)
[c-6.1.2-Information-security-risk-assessment](c-6.1.2-Information-security-risk-assessment.md)
[c-6.1.3-Information-security-risk-treatment](c-6.1.3-Information-security-risk-treatment.md)

7
Corpus/Standards/ISO27x/OST/27001/EN/c-7-Support.md
View file

@ -10,4 +10,9 @@ tags:
- iso27001/2022/EN
status: active
---
# 7 Support
# 7 Support
[c-7.1-Resources](c-7.1-Resources.md)
[c-7.2-Competence](c-7.2-Competence.md)
[c-7.3-Awareness](c-7.3-Awareness.md)
[c-7.4-Communication](c-7.4-Communication.md)
[c-7.5-Documented-information](c-7.5-Documented-information.md)

5
Corpus/Standards/ISO27x/OST/27001/EN/c-8-Operation.md
View file

@ -10,4 +10,7 @@ tags:
- iso27001/2022/EN
status: active
---
# 8 Operation
# 8 Operation
[c-8.1-Operational-planning-and-control](c-8.1-Operational-planning-and-control.md)
[c-8.2-Information-security-risk-assessment](c-8.2-Information-security-risk-assessment.md)
[c-8.3-Information-security-risk-treatment](c-8.3-Information-security-risk-treatment.md)

5
Corpus/Standards/ISO27x/OST/27001/EN/c-9-Performance-evaluation.md
View file

@ -10,4 +10,7 @@ tags:
- iso27001/2022/EN
status: active
---
# 9 Performance evaluation
# 9 Performance evaluation
[c-9.1-Monitoring-measurement-analysis-and-evaluation](c-9.1-Monitoring-measurement-analysis-and-evaluation.md)
[c-9.2-Internal-audit](c-9.2-Internal-audit.md)
[c-9.3-Management-review](c-9.3-Management-review.md)

6
Corpus/Standards/ISO27x/OST/27001/NL/ISO_27001_2023_NL_PDF.md
View file

@ -1,6 +0,0 @@
#iso27001/2023/NL
# ISO 27001 2023 NL
![](ISO_IEC_27001_2023_NL.pdf)

51
Corpus/Standards/ISO27x/OST/27001/NL/add_yaml.py Normal file
View file

@ -0,0 +1,51 @@
#!/usr/bin/env python3
import os
import re
directory = '/Users/rico/src/iso27diy-corp/Corpus/Standards/ISO27x/OST/27001/NL/'
for filename in os.listdir(directory):
if filename.endswith('.md'):
filepath = os.path.join(directory, filename)
with open(filepath, 'r') as f:
lines = f.readlines()
if lines and lines[0].strip() == '---':
continue # Already has YAML
# Extract id and title from filename
match = re.match(r'c-([0-9.]+)-(.+)\.md', filename)
if match:
num = match.group(1)
title_part = match.group(2)
id_val = f'C.{num}'
title = title_part.replace('-', ' ')
elif filename == 'c-0-Inleiding.md':
id_val = 'C.0'
title = 'Inleiding'
else:
# For other files
match = re.match(r'c-([0-9]+)-(.+)\.md', filename)
if match:
num = match.group(1)
title_part = match.group(2)
id_val = f'C.{num}'
title = title_part.replace('-', ' ')
else:
continue # Skip if not matching
yaml = f'''---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "{id_val}"
title: "{title}"
tags:
- iso27001/2023/NL
status: active
---
'''
with open(filepath, 'w') as f:
f.write(yaml + ''.join(lines))
print("YAML front matter added to files that didn't have it.")

12
Corpus/Standards/ISO27x/OST/27001/NL/c-0-Inleiding.md
View file

@ -1,3 +1,15 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.0"
title: "Inleiding"
tags:
- iso27001/2023/NL
status: active
---
# 0 Inleiding
1. **Algemeen**

12
Corpus/Standards/ISO27x/OST/27001/NL/c-1-Onderwerp-en-toepassingsgebied.md
View file

@ -1,3 +1,15 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.1"
title: "Onderwerp en toepassingsgebied"
tags:
- iso27001/2023/NL
status: active
---
# 1 Onderwerp en toepassingsgebied
Dit document specificeert de eisen voor het binnen de context van de organisatie inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit document bevat ook eisen voor het beoordelen en behandelen van informatiebeveiligingsrisico\'s afgestemd op de behoeften van de organisatie. De eisen in dit document zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard. Het uitsluiten van een of meer eisen van hoofdstuk 4 t/m 10 is niet aanvaardbaar als een organisatie naleving van dit document wil claimen.

14
Corpus/Standards/ISO27x/OST/27001/NL/c-10-Verbetering.md
View file

@ -1 +1,15 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.10"
title: "Verbetering"
tags:
- iso27001/2023/NL
status: active
---
# 10 Verbetering
[c-10.1-Continue-verbetering](c-10.1-Continue-verbetering.md)
[c-10.2-Afwijkingen-en-corrigerende-maatregelen](c-10.2-Afwijkingen-en-corrigerende-maatregelen.md)

14
Corpus/Standards/ISO27x/OST/27001/NL/c-10.1-Continue-verbetering.md
View file

@ -1,3 +1,15 @@
# 10.1 Continue verbetering
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.10.1"
title: "Continue verbetering"
tags:
- iso27001/2023/NL
status: active
---
## 10.1 Continue verbetering
De organisatie moet continu de geschiktheid, toereikendheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.

24
Corpus/Standards/ISO27x/OST/27001/NL/c-10.2-Afwijkingen-en-corrigerende-maatregelen.md
View file

@ -1,20 +1,32 @@
# 10.2 Afwijkingen en corrigerende maatregelen
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.10.2"
title: "Afwijkingen en corrigerende maatregelen"
tags:
- iso27001/2023/NL
status: active
---
## 10.2 Afwijkingen en corrigerende maatregelen
Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
## 1. maatregelen treffen om de afwijking te beheersen en te corrigeren;
2. de consequenties aanpakken;
## 2. de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:
1. de afwijking te beoordelen;
## 1. de afwijking te beoordelen;
2. de oorzaken van de afwijking vast te stellen; en
## 2. de oorzaken van de afwijking vast te stellen; en
3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
## 3. vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;
c) de benodigde maatregelen implementeren;

12
Corpus/Standards/ISO27x/OST/27001/NL/c-2-Normatieve-verwijzingen.md
View file

@ -1,3 +1,15 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.2"
title: "Normatieve verwijzingen"
tags:
- iso27001/2023/NL
status: active
---
# 2 Normatieve verwijzingen
Naar de volgende documenten wordt in de tekst zo verwezen dat de bepalingen ervan geheel

12
Corpus/Standards/ISO27x/OST/27001/NL/c-3-Termen-en-definities.md
View file

@ -1,3 +1,15 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.3"
title: "Termen en definities"
tags:
- iso27001/2023/NL
status: active
---
# 3 Termen en definities
Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC 27000.

16
Corpus/Standards/ISO27x/OST/27001/NL/c-4-Context-van-de-organisatie.md
View file

@ -1 +1,17 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.4"
title: "Context van de organisatie"
tags:
- iso27001/2023/NL
status: active
---
# 4 Context van de organisatie
[c-4.1-Inzicht-in-de-organisatie-en-haar-context](c-4.1-Inzicht-in-de-organisatie-en-haar-context.md)
[c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden](c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden.md)
[c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen](c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen.md)
[c-4.4-Managementsysteem-voor-informatiebeveiliging](c-4.4-Managementsysteem-voor-informatiebeveiliging.md)

14
Corpus/Standards/ISO27x/OST/27001/NL/c-4.1-Inzicht-in-de-organisatie-en-haar-context.md
View file

@ -1,4 +1,16 @@
# 4.1 Inzicht in de organisatie en haar context
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.4.1"
title: "Inzicht in de organisatie en haar context"
tags:
- iso27001/2023/NL
status: active
---
## 4.1 Inzicht in de organisatie en haar context
De organisatie moet externe en interne (belangrijke) punten vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.

14
Corpus/Standards/ISO27x/OST/27001/NL/c-4.2-Inzicht-in-de-behoeften-en-verwachtingen-van-belanghebbenden.md
View file

@ -1,4 +1,16 @@
# 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.4.2"
title: "Inzicht in de behoeften en verwachtingen van belanghebbenden"
tags:
- iso27001/2023/NL
status: active
---
## 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden
De organisatie moet vaststellen:

14
Corpus/Standards/ISO27x/OST/27001/NL/c-4.3-Het-toepassingsgebied-van-het-managementsysteem-voor-informatiebeveiliging-vaststellen.md
View file

@ -1,4 +1,16 @@
# 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.4.3"
title: "Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen"
tags:
- iso27001/2023/NL
status: active
---
## 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.

14
Corpus/Standards/ISO27x/OST/27001/NL/c-4.4-Managementsysteem-voor-informatiebeveiliging.md
View file

@ -1,3 +1,15 @@
# 4.4 Managementsysteem voor informatiebeveiliging
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.4.4"
title: "Managementsysteem voor informatiebeveiliging"
tags:
- iso27001/2023/NL
status: active
---
## 4.4 Managementsysteem voor informatiebeveiliging
De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, met inbegrip van de benodigde processen en hun interacties, in overeenstemming met de eisen van dit document.

15
Corpus/Standards/ISO27x/OST/27001/NL/c-5-Leiderschap.md
View file

@ -1 +1,16 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.5"
title: "Leiderschap"
tags:
- iso27001/2023/NL
status: active
---
# 5 Leiderschap
[c-5.1-Leiderschap-en-betrokkenheid](c-5.1-Leiderschap-en-betrokkenheid.md)
[c-5.2-Beleid](c-5.2-Beleid.md)
[c-5.3-Rollen-verantwoordelijkheden-en-bevoegdheden-binnen-de-organisatie](c-5.3-Rollen-verantwoordelijkheden-en-bevoegdheden-binnen-de-organisatie.md)

14
Corpus/Standards/ISO27x/OST/27001/NL/c-5.1-Leiderschap-en-betrokkenheid.md
View file

@ -1,4 +1,16 @@
# 5.1 Leiderschap en betrokkenheid
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.5.1"
title: "Leiderschap en betrokkenheid"
tags:
- iso27001/2023/NL
status: active
---
## 5.1 Leiderschap en betrokkenheid
Het topmanagement moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:

14
Corpus/Standards/ISO27x/OST/27001/NL/c-5.2-Beleid.md
View file

@ -1,4 +1,16 @@
# 5.2 Beleid
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.5.2"
title: "Beleid"
tags:
- iso27001/2023/NL
status: active
---
## 5.2 Beleid
Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:

14
Corpus/Standards/ISO27x/OST/27001/NL/c-5.3-Rollen-verantwoordelijkheden-en-bevoegdheden-binnen-de-organisatie.md
View file

@ -1,4 +1,16 @@
# 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.5.3"
title: "Rollen verantwoordelijkheden en bevoegdheden binnen de organisatie"
tags:
- iso27001/2023/NL
status: active
---
## 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
Het topmanagement moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd binnen de organisatie.

15
Corpus/Standards/ISO27x/OST/27001/NL/c-6-Planning.md
View file

@ -1 +1,16 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.6"
title: "Planning"
tags:
- iso27001/2023/NL
status: active
---
# 6 Planning
[c-6.1-Acties-om-risicos-en-kansen-op-te-pakken](c-6.1-Acties-om-risicos-en-kansen-op-te-pakken.md)
[c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken](c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken.md)
[c-6.3-Planning-van-wijzigingen](c-6.3-Planning-van-wijzigingen.md)

46
Corpus/Standards/ISO27x/OST/27001/NL/c-6.1-Acties-om-risicos-en-kansen-op-te-pakken.md
View file

@ -1,4 +1,16 @@
# 6.1 Acties om risico's en kansen op te pakken
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.6.1"
title: "Acties om risicos en kansen op te pakken"
tags:
- iso27001/2023/NL
status: active
---
## 6.1 Acties om risico's en kansen op te pakken
1. **Algemeen**
@ -16,41 +28,41 @@ d) acties plannen om deze risico's en kansen op te pakken; en
e) plannen op welke manier:
1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
## 1. de acties in de processen van haar managementsysteem voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
2. de doeltreffendheid van deze acties wordt geëvalueerd.
## 2. de doeltreffendheid van deze acties wordt geëvalueerd.
1. **Risicobeoordeling van informatiebeveiliging**
## 1. **Risicobeoordeling van informatiebeveiliging**
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1. de risicoacceptatiecriteria; en
## 1. de risicoacceptatiecriteria; en
2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
## 2. criteria voor het uitvoeren van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, valide en vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico's identificeert:
1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
## 1. pas de risicobeoordelingsprocedure voor informatiebeveiliging toe om de risico's in verband met het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2. identificeer de risico-eigenaren;
## 2. identificeer de risico-eigenaren;
d) de informatiebeveiligingsrisico's analyseert:
1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
## 1. beoordeel de potentiële gevolgen indien de risico's die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
## 2. beoordeel de realistische waarschijnlijkheid dat de risico's die zijn vastgesteld in 6.1.2 c) 1) zich voordoen; en
3. stel de risiconiveaus vast;
## 3. stel de risiconiveaus vast;
e) de informatiebeveiligingsrisico's evalueert:
1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
## 1. vergelijk de resultaten van de risicoanalyse met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2. prioriteer de geanalyseerde risico's voor risicobehandeling.
## 2. prioriteer de geanalyseerde risico's voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over de risicobeoordelingsprocedure voor informatiebeveiliging.
@ -72,13 +84,13 @@ OPMERKING 3 De lijst van beheersmaatregelen voor informatiebeveiliging in bijlag
d) een verklaring van toepasselijkheid op te stellen die het volgende bevat:
- de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
## - de noodzakelijke beheersmaatregelen (zie 6.1.3 b) en c));
- een rechtvaardiging voor het opnemen ervan;
## - een rechtvaardiging voor het opnemen ervan;
- de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
## - de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet; en
- de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
## - de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.
e) een plan voor de behandeling van informatiebeveiligingsrisico's te formuleren; en

14
Corpus/Standards/ISO27x/OST/27001/NL/c-6.2-Informatiebeveiligingsdoelstellingen-en-de-planning-om-ze-te-bereiken.md
View file

@ -1,4 +1,16 @@
# 6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.6.2"
title: "Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken"
tags:
- iso27001/2023/NL
status: active
---
## 6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoel- stellingen vaststellen.

16
Corpus/Standards/ISO27x/OST/27001/NL/c-6.3-Planning-van-wijzigingen.md
View file

@ -1,5 +1,17 @@
# 6.3 Planning van wijzigingen
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.6.3"
title: "Planning van wijzigingen"
tags:
- iso27001/2023/NL
status: active
---
## 6.3 Planning van wijzigingen
Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.
[]{#_bookmark20 .anchor}\* Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).
Nederlandse voetnoot: De tekst is niet overgenomen in deze vertaling, omdat de strekking ervan identiek is aan die van het nieuwe opsommingsdeel g).

17
Corpus/Standards/ISO27x/OST/27001/NL/c-7-Ondersteuning.md
View file

@ -1 +1,18 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.7"
title: "Ondersteuning"
tags:
- iso27001/2023/NL
status: active
---
# 7 Ondersteuning
[c-7.1-Middelen](c-7.1-Middelen.md)
[c-7.2-Competentie](c-7.2-Competentie.md)
[c-7.3-Bewustzijn](c-7.3-Bewustzijn.md)
[c-7.4-Communicatie](c-7.4-Communicatie.md)
[c-7.5-Gedocumenteerde-informatie](c-7.5-Gedocumenteerde-informatie.md)

14
Corpus/Standards/ISO27x/OST/27001/NL/c-7.1-Middelen.md
View file

@ -1,3 +1,15 @@
# 7.1 Middelen
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.7.1"
title: "Middelen"
tags:
- iso27001/2023/NL
status: active
---
## 7.1 Middelen
De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.

14
Corpus/Standards/ISO27x/OST/27001/NL/c-7.2-Competentie.md
View file

@ -1,4 +1,16 @@
# 7.2 Competentie
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.7.2"
title: "Competentie"
tags:
- iso27001/2023/NL
status: active
---
## 7.2 Competentie
De organisatie moet:

14
Corpus/Standards/ISO27x/OST/27001/NL/c-7.3-Bewustzijn.md
View file

@ -1,4 +1,16 @@
# 7.3 Bewustzijn
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.7.3"
title: "Bewustzijn"
tags:
- iso27001/2023/NL
status: active
---
## 7.3 Bewustzijn
Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:

14
Corpus/Standards/ISO27x/OST/27001/NL/c-7.4-Communicatie.md
View file

@ -1,4 +1,16 @@
# 7.4 Communicatie
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.7.4"
title: "Communicatie"
tags:
- iso27001/2023/NL
status: active
---
## 7.4 Communicatie
De organisatie moet vaststellen welke interne en externe communicatie relevant is voor het managementsysteem voor informatiebeveiliging, inclusief:

18
Corpus/Standards/ISO27x/OST/27001/NL/c-7.5-Gedocumenteerde-informatie.md
View file

@ -1,4 +1,16 @@
# 7.5 Gedocumenteerde informatie
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.7.5"
title: "Gedocumenteerde informatie"
tags:
- iso27001/2023/NL
status: active
---
## 7.5 Gedocumenteerde informatie
1. **Algemeen**
@ -16,7 +28,7 @@ OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsy
3) de competentie van de mensen.
1. **Creëren en actualiseren**
## 1. **Creëren en actualiseren**
Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):
@ -26,7 +38,7 @@ b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, el
c) beoordeling en goedkeuring van geschiktheid en toereikendheid.
1. **Beheersing van gedocumenteerde informatie**
## 1. **Beheersing van gedocumenteerde informatie**
Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:

16
Corpus/Standards/ISO27x/OST/27001/NL/c-8-Uitvoering.md
View file

@ -1 +1,17 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.8"
title: "Uitvoering"
tags:
- iso27001/2023/NL
status: active
---
# 8 Uitvoering
[c-8.1-Operationele-planning-en-beheersing](c-8.1-Operationele-planning-en-beheersing.md)
[c-8.2-Risicobeoordeling-van-informatiebeveiliging](c-8.2-Risicobeoordeling-van-informatiebeveiliging.md)
[c-8.3-Informatiebeveiligingsrisicos-behandelen](c-8.3-Informatiebeveiligingsrisicos-behandelen.md)

14
Corpus/Standards/ISO27x/OST/27001/NL/c-8.1-Operationele-planning-en-beheersing.md
View file

@ -1,4 +1,16 @@
# 8.1 Operationele planning en beheersing
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.8.1"
title: "Operationele planning en beheersing"
tags:
- iso27001/2023/NL
status: active
---
## 8.1 Operationele planning en beheersing
Om te voldoen aan de eisen en om de in hoofdstuk 6 vastgestelde acties te implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen, door:

14
Corpus/Standards/ISO27x/OST/27001/NL/c-8.2-Risicobeoordeling-van-informatiebeveiliging.md
View file

@ -1,4 +1,16 @@
# 8.2 Risicobeoordeling van informatiebeveiliging
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.8.2"
title: "Risicobeoordeling van informatiebeveiliging"
tags:
- iso27001/2023/NL
status: active
---
## 8.2 Risicobeoordeling van informatiebeveiliging
De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.

14
Corpus/Standards/ISO27x/OST/27001/NL/c-8.3-Informatiebeveiligingsrisicos-behandelen.md
View file

@ -1,4 +1,16 @@
# 8.3 Informatiebeveiligingsrisico's behandelen
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.8.3"
title: "Informatiebeveiligingsrisicos behandelen"
tags:
- iso27001/2023/NL
status: active
---
## 8.3 Informatiebeveiligingsrisico's behandelen
De organisatie moet het risicobehandelingsplan voor informatiebeveiliging implementeren.

15
Corpus/Standards/ISO27x/OST/27001/NL/c-9-Evaluatie-van-de-prestaties.md
View file

@ -1 +1,16 @@
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.9"
title: "Evaluatie van de prestaties"
tags:
- iso27001/2023/NL
status: active
---
# 9 Evaluatie van de prestaties
[c-9.1-Monitoren-meten-analyseren-en-evalueren](c-9.1-Monitoren-meten-analyseren-en-evalueren.md)
[c-9.2-Interne-audit](c-9.2-Interne-audit.md)
[c-9.3-Management-review](c-9.3-Management-review.md)

14
Corpus/Standards/ISO27x/OST/27001/NL/c-9.1-Monitoren-meten-analyseren-en-evalueren.md
View file

@ -1,4 +1,16 @@
# 9.1 Monitoren, meten, analyseren en evalueren
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.9.1"
title: "Monitoren meten analyseren en evalueren"
tags:
- iso27001/2023/NL
status: active
---
## 9.1 Monitoren, meten, analyseren en evalueren
De organisatie moet vaststellen:

20
Corpus/Standards/ISO27x/OST/27001/NL/c-9.2-Interne-audit.md
View file

@ -1,4 +1,16 @@
# 9.2 Interne audit
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.9.2"
title: "Interne audit"
tags:
- iso27001/2023/NL
status: active
---
## 9.2 Interne audit
1. **Algemeen**
@ -6,13 +18,13 @@ De organisatie moet met geplande tussenpozen interne audits uitvoeren om informa
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
## 1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
## 2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
## 1. **Intern auditprogramma**
De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.

24
Corpus/Standards/ISO27x/OST/27001/NL/c-9.3-Management-review.md
View file

@ -1,4 +1,16 @@
# 9.3 Management review
---
notetype: sourcetext
standard: ISO 27001
version: 2023
language: NL
type: clause
id: "C.9.3"
title: "Management review"
tags:
- iso27001/2023/NL
status: active
---
## 9.3 Management review
1. **Algemeen**
@ -16,13 +28,13 @@ c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die rele
d) feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:
1. afwijkingen en corrigerende maatregelen;
## 1. afwijkingen en corrigerende maatregelen;
2. resultaten van monitoren en meten;
## 2. resultaten van monitoren en meten;
3. auditresultaten;
## 3. auditresultaten;
4. het voldoen aan informatiebeveiligingsdoelstellingen;
## 4. het voldoen aan informatiebeveiligingsdoelstellingen;
e) feedback van belanghebbenden;
@ -30,7 +42,7 @@ f) resultaten van risicobeoordeling en de status van het risicobehandelingsplan
g) kansen voor continue verbetering.
1. **Resultaten van de management review**
## 1. **Resultaten van de management review**
De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.

61
Corpus/Standards/ISO27x/OST/27002/NL/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md
View file

@ -1,61 +0,0 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
# 5.17 Beheren van authenticatie-informatie
ISO 27002:2022 [[ISO_27002_2022_NL_BT 5.17 Beheren van authenticatie-informatie|Brontekst]]
#### Wat
Er moet een proces zijn voor toewijzing en beheer van authenticatie-informatie, met aandacht voor de communicatie naar medewerkers hierover.
#### Waarom
Zorgen voor passende authenticatie en voorkomen van fouten in het proces.
#### Hoe
##### Verstrekking en wijziging
- tijdelijke wachtwoorden of pincodes die bij inschrijving verstrekt worden, mogen niet gemakkelijk te raden zijn, en moeten na het eerste gebruik verplicht gewijzigd worden;
- gebruikers moeten hun eigen wachtwoord mogen kiezen daarbij hoort een bevestigingsprocedure om invoerfouten te voorkómen en moeten 'sterke' wachtwoorden worden afgedwongen (zie 'Verantwoordelijkheden van gebruikers');
- bij invoer mag het wachtwoord niet op het scherm getoond worden (om 'afkijken' te voorkomen);
- Hergebruik van wachtwoorden moet worden voorkomen;
- bij nieuwe, vervangende of tijdelijke authenticatie-informatie moet eerst de identiteit van een gebruiker worden vastgesteld;
- authenticatie-informatie moet altijd versleuteld worden opgeslagen en verzonden (dus niet in onversleutelde mails)[^1];
- gebruikers moeten ontvangst van authenticatie-informatie bevestigen;
- acties rond het verstrekken en wijzigen van authenticatie-informatie moeten geregistreerd worden (bijv. in beveiligde logfiles of in een wachtwoordkluis)
- bij de installatie van software en systemen moet altijd direct de standaard authenticatie-informatie worden gewijzigd dit geldt ook voor bijv. wachtwoorden die door verkopers/consultants verstrekt worden.
- Na een beveiligingsincident moeten wachtwoordwijzigingen worden afgedwongen.
- Wachtwoorden van groepsaccounts moeten gewijzigd worden bij uitdiensttredingen en functiewijzigingen.
- Veelgebruikte en gecompromitteerde wachtwoorden moeten gewijzigd worden dit kan gesignaleerd worden met security scans en 'hacking alerts' zoals voorzien in de meeste wachtwoordkluizen.
##### Verantwoordelijkheden van gebruikers
- Wachtwoorden moeten 'sterk' zijn:
- gebruik 'wachtzinnen' die makkelijk te onthouden zijn en gebruik daarin nummers, leestekens en speciale tekens;
- zorg voor een minimale lengte;
- gebruik géén persoonlijke informatie als namen, telefoonnummers, adressen en geboortedata;
- gebruik géén woordenboekwoorden of combinaties daarvan;
- Authenticatie-informatie mag niet met anderen worden gedeeld. Bij niet-persoonlijke accounts (bijv. groepsaccounts) mag de informatie alleen met bevoegde personen (bijv. leden van die groep) gedeeld worden.
- Als authenticatie-informatie gelekt is ('gecompromitteerd'), moet die onmiddellijk gewijzigd worden.
- Gebruik nooit hetzelfde wachtwoord voor verschillende systemen of diensten;
- Zorg dat deze regels als verplichting worden opgenomen in de arbeidsovereenkomst (zie [6.2](ISO_27002_2022_NL_[6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md)_BT%20Arbeidsovereenkomst.md));
#### Overige informatie
- Het frequent afdwingen van wachtwoordwijzigingen kan contra-productief zijn: het zorgt voor irritatie bij gebruikers, nieuwe wachtwoorden worden gemakkelijk vergeten en op onveilige plekken worden genoteerd, en gebruikers kiezen sneller voor gemakkelijk te onthouden (en te raden) wachtwoorden.
- Het gebruik van 'Single Sign On' (SSO) en wachtwoordkluizen kan dit risico verminderen, maar aan de andere kant kan het lekken van een wachtwoord hiervan ook weer een grotere impact hebben.
- In plaats van wachtwoorden of wachtzinnen kunnen ook andere authenticatie-middelen gebruikt worden, zoals cryptografische sleutels, hardware tokens, en biometrische gegevens (multi-factor authenticatie).
#### Bewijs
Auditors kijken naar bewijzen van de implementatie van het proces. Dit kan bijvoorbeeld de volgende vorm aannemen:
| Omschrijving van bewijs | ISO27DIY artefact |
| ----------------------- | ----------------- |
| Omschrijving 1 | Artefact 1 |
#### Gerelateerd
Naar deze maatregel wordt verwezen in:
- [ ] Andere beheersmaatregelen binnen dezelfde norm die verwijzen naar deze maatregel
Andere gerelateerde ISO 27x beheersmaatregelen:
- [ ] Gerelateerde ISO 27x beheersmaatregelen die *niet* letterlijk in de brontekst genoemd worden.
[^1]: Gebruik voor versleuteling en hashing goedgekeurde technieken (zie [8.24](ISO_27002_2022_NL_[8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)_BT%20Gebruik%20van%20cryptografie.md)).

114
Corpus/Standards/ISO27x/OST/27002/NL/ISO_27002_2022_NL_Index.md
View file

@ -1,114 +0,0 @@
#iso27002/2022/NL
# ISO 27002:2022 NL Index
| 2022 ID | Maatregel | Brontekst |
| :------ | :---------------------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------- |
| **3** | **Termen, definities en afgekorte termen** | |
| 3.1 | Termen en definities | [BT](a-3.1-Termen-en-definities.md) |
| 3.2 | Afgekorte termen | [BT](a-3.2-Afgekorte-termen.md) |
| **4** | **Structuur van dit document** | _ |
| 4.1 | Hoofdstukken | [BT](a-4.1-Hoofdstukken.md) |
| 4.2 | Thema's en attributen | [BT](a-4.2-Themas-en-attributen.md) |
| 4.3 | Indeling beheersmaatregel | [BT](a-4.3-Indeling-beheersmaatregel.md) |
| **5** | **Organisatorische beheersmaatregelen** | _ |
| 5.1 | Beleidsregels voor informatiebeveiliging | [BT](a-5.1-Beleidsregels-voor-informatiebeveiliging.md) |
| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | [BT](a-5.2-Rollen-en-verantwoordelijkheden-bij-informatiebeveiliging.md) |
| 5.3 | Functiescheiding | [BT](a-5.3-Functiescheiding.md) |
| 5.4 | Managementverantwoordelijkheden | [BT](a-5.4-Managementverantwoordelijkheden.md) |
| 5.5 | Contact met overheidsinstanties | [BT](a-5.5-Contact-met-overheidsinstanties.md) |
| 5.6 | Contact met speciale belangengroepen | [BT](a-5.6-Contact-met-speciale-belangengroepen.md) |
| 5.7 | Informatie en analyses over dreigingen | [BT](a-5.7-Informatie-en-analyses-over-dreigingen.md) |
| 5.8 | Informatiebeveiliging in projectmanagement | [BT](a-5.8-Informatiebeveiliging-in-projectmanagement.md) |
| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | [BT](a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md) |
| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | [BT](a-5.10-Aanvaardbaar-gebruik-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md) |
| 5.11 | Retourneren van bedrijfsmiddelen | [BT](a-5.11-Retourneren-van-bedrijfsmiddelen.md) |
| 5.12 | Classificeren van informatie | [BT](a-5.12-Classificeren-van-informatie.md) |
| 5.13 | Labelen van informatie | [BT](a-5.13-Labelen-van-informatie.md) |
| 5.14 | Overdragen van informatie | [BT](a-5.14-Overdragen-van-informatie.md) |
| 5.15 | Toegangsbeveiliging | [BT](a-5.15-Toegangsbeveiliging.md) |
| 5.16 | Identiteitsbeheer | [BT](a-5.16-Identiteitsbeheer.md) |
| 5.17 | Beheren van authenticatie-informatie | [BT](a-5.17-Beheren-van-authenticatie-informatie.md) |
| 5.18 | Toegangsrechten | [BT](a-5.18-Toegangsrechten.md) |
| 5.19 | Informatiebeveiliging in leveranciersrelaties | [BT](a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md) |
| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | [BT](a-5.20-Adresseren-van-informatiebeveiliging-in-leveranciersovereenkomsten.md) |
| 5.21 | Beheren van informatiebeveiliging in de ICT-keten | [BT](a-5.21-Beheren-van-informatiebeveiliging-in-de-ICT-keten.md) |
| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | [BT](a-5.22-Monitoren-beoordelen-en-het-beheren-van-wijzigingen-van-leveranciersdiensten.md) |
| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | [BT](a-5.23-Informatiebeveiliging-voor-het-gebruik-van-clouddiensten.md) |
| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten | [BT](a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md) |
| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | [BT](a-5.25-Beoordelen-van-en-besluiten-over-informatiebeveiligingsgebeurtenissen.md) |
| 5.26 | Reageren op informatiebeveiligingsincidenten | [BT](a-5.26-Reageren-op-informatiebeveiligingsincidenten.md) |
| 5.27 | Leren van informatiebeveiligingsincidenten | [BT](a-5.27-Leren-van-informatiebeveiligingsincidenten.md) |
| 5.28 | Verzamelen van bewijsmateriaal | [BT](a-5.28-Verzamelen-van-bewijsmateriaal.md) |
| 5.29 | Informatiebeveiliging tijdens een verstoring | [BT](a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md) |
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | [BT](a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md) |
| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | [BT](a-5.31-Wettelijke-statutaire-regelgevende-en-contractuele-eisen.md) |
| 5.32 | Intellectuele-eigendomsrechten | [BT](a-5.32-Intellectuele-eigendomsrechten.md) |
| 5.33 | Beschermen van registraties | [BT](a-5.33-Beschermen-van-registraties.md) |
| 5.34 | Privacy en bescherming van persoonsgegevens | [BT](a-5.34-Privacy-en-bescherming-van-persoonsgegevens.md) |
| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | [BT](a-5.35-Onafhankelijke-beoordeling-van-informatiebeveiliging.md) |
| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | [BT](a-5.36-Naleving-van-beleid-regels-en-normen-voor-informatiebeveiliging.md) |
| 5.37 | Gedocumenteerde bedieningsprocedures | [BT](a-5.37-Gedocumenteerde-bedieningsprocedures.md) |
| | | |
| **6** | **Mensgerichte beheersmaatregelen** | |
| 6.1 | Screening | [BT](../EN/a-6.1-Screening.md) |
| 6.2 | Arbeidsovereenkomst | [BT](a-6.2-Arbeidsovereenkomst.md) |
| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | [BT](a-6.3-Bewustwording-van-opleiding-en-training-in-informatiebeveiliging.md) |
| 6.4 | Disciplinaire procedure | [BT](a-6.4-Disciplinaire-procedure.md) |
| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | [BT](a-6.5-Verantwoordelijkheden-na-beeindiging-of-wijziging-van-het-dienstverband.md) |
| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | [BT](a-6.6-Vertrouwelijkheids-of-geheimhoudingsovereenkomsten.md) |
| 6.7 | Werken op afstand | [BT](a-6.7-Werken-op-afstand.md) |
| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | [BT](a-6.8-Melden-van-informatiebeveiligingsgebeurtenissen.md) |
| | | |
| **7** | **Fysieke beheersmaatregelen** | |
| 7.1 | Fysieke beveiligingszones | [BT](a-7.1-Fysieke-beveiligingszones.md) |
| 7.2 | Fysieke toegangsbeveiliging | [BT](a-7.2-Fysieke-toegangsbeveiliging.md) |
| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | [BT](a-7.3-Beveiligen-van-kantoren-ruimten-en-faciliteiten.md) |
| 7.4 | Monitoren van de fysieke beveiliging | [BT](a-7.4-Monitoren-van-de-fysieke-beveiliging.md) |
| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | [BT](a-7.5-Beschermen-tegen-fysieke-en-omgevingsdreigingen.md) |
| 7.6 | Werken in beveiligde zones | [BT](a-7.6-Werken-in-beveiligde-zones.md) |
| 7.7 | Clear desk en clear screen | [BT](a-7.7-Clear-desk-en-clear-screen.md) |
| 7.8 | Plaatsen en beschermen van apparatuur | [BT](a-7.8-Plaatsen-en-beschermen-van-apparatuur.md) |
| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | [BT](a-7.9-Beveiligen-van-bedrijfsmiddelen-buiten-het-terrein.md) |
| 7.10 | Opslagmedia | [BT](a-7.10-Opslagmedia.md) |
| 7.11 | Nutsvoorzieningen | [BT](a-7.11-Nutsvoorzieningen.md) |
| 7.12 | Beveiligen van bekabeling | [BT](a-7.12-Beveiligen-van-bekabeling.md) |
| 7.13 | Onderhoud van apparatuur | [BT](a-7.13-Onderhoud-van-apparatuur.md) |
| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | [BT](a-7.14-Veilig-verwijderen-of-hergebruiken-van-apparatuur.md) |
| | | |
| **8** | **Technologische beheersmaatregelen** | |
| 8.1 | User endpoint devices | [BT](../EN/a-8.1-User-endpoint-devices.md) |
| 8.2 | Speciale toegangsrechten | [BT](a-8.2-Speciale-toegangsrechten.md) |
| 8.3 | Beperking toegang tot informatie | [BT](a-8.3-Beperking-toegang-tot-informatie.md) |
| 8.4 | Toegangsbeveiliging op broncode | [BT](a-8.4-Toegangsbeveiliging-op-broncode.md) |
| 8.5 | Beveiligde authenticatie | [BT](a-8.5-Beveiligde-authenticatie.md) |
| 8.6 | Capaciteitsbeheer | [BT](a-8.6-Capaciteitsbeheer.md) |
| 8.7 | Bescherming tegen malware | [BT](a-8.7-Bescherming-tegen-malware.md) |
| 8.8 | Beheer van technische kwetsbaarheden | [BT](a-8.8-Beheer-van-technische-kwetsbaarheden.md) |
| 8.9 | Configuratiebeheer | [BT](a-8.9-Configuratiebeheer.md) |
| 8.10 | Wissen van informatie | [BT](a-8.10-Wissen-van-informatie.md) |
| 8.11 | Maskeren van gegevens | [BT](a-8.11-Maskeren-van-gegevens.md) |
| 8.12 | Voorkomen van gegevenslekken (Data leakage prevention) | [BT](a-8.12-Voorkomen-van-gegevenslekken-Data-leakage-prevention.md) |
| 8.13 | Back-up van informatie | [BT](a-8.13-Back-up-van-informatie.md) |
| 8.14 | Redundantie van informatieverwerkende faciliteiten | [BT](a-8.14-Redundantie-van-informatieverwerkende-faciliteiten.md) |
| 8.15 | Logging | [BT](../EN/a-8.15-Logging.md) |
| 8.16 | Monitoren van activiteiten | [BT](a-8.16-Monitoren-van-activiteiten.md) |
| 8.17 | Kloksynchronisatie | [BT](a-8.17-Kloksynchronisatie.md) |
| 8.18 | Gebruik van speciale systeemhulpmiddelen | [BT](a-8.18-Gebruik-van-speciale-systeemhulpmiddelen.md) |
| 8.19 | Installeren van software op operationele systemen | [BT](a-8.19-Installeren-van-software-op-operationele-systemen.md) |
| 8.20 | Beveiliging netwerkcomponenten | [BT](a-8.20-Beveiliging-netwerkcomponenten.md) |
| 8.21 | Beveiliging van netwerkdiensten | [BT](a-8.21-Beveiliging-van-netwerkdiensten.md) |
| 8.22 | Netwerksegmentatie | [BT](a-8.22-Netwerksegmentatie.md) |
| 8.23 | Toepassen van webfilters | [BT](a-8.23-Toepassen-van-webfilters.md) |
| 8.24 | Gebruik van cryptografie | [BT](a-8.24-Gebruik-van-cryptografie.md) |
| 8.25 | Beveiligen tijdens de ontwikkelcyclus | [BT](a-8.25-Beveiligen-tijdens-de-ontwikkelcyclus.md) |
| 8.26 | Toepassingsbeveiligingseisen | [BT](a-8.26-Toepassingsbeveiligingseisen.md) |
| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | [BT](a-8.27-Veilige-systeemarchitectuur-en-technische-uitgangspunten.md) |
| 8.28 | Veilig coderen | [BT](a-8.28-Veilig-coderen.md) |
| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | [BT](a-8.29-Testen-van-de-beveiliging-tijdens-ontwikkeling-en-acceptatie.md) |
| 8.30 | Uitbestede systeemontwikkeling | [BT](a-8.30-Uitbestede-systeemontwikkeling.md) |
| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | [BT](a-8.31-Scheiding-van-ontwikkel-test-en-productieomgevingen.md) |
| 8.32 | Wijzigingsbeheer | [BT](a-8.32-Wijzigingsbeheer.md) |
| 8.33 | Testgegevens | [BT](a-8.33-Testgegevens.md) |
| 8.34 | Bescherming van informatiesystemen tijdens audits | [BT](a-8.34-Bescherming-van-informatiesystemen-tijdens-audits.md) |

5
Corpus/Standards/ISO27x/OST/27002/NL/a-3.1-Termen-en-definities.md
View file

@ -1,7 +1,4 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 3.2 Termen en definities
In het kader van dit document zijn de volgende termen en definities van toepassing.

4
Corpus/Standards/ISO27x/OST/27002/NL/a-3.2-Afgekorte-termen.md
View file

@ -1,7 +1,3 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 3.2 Afgekorte termen

4
Corpus/Standards/ISO27x/OST/27002/NL/a-4.1-Hoofdstukken.md
View file

@ -1,7 +1,3 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 4.1 Hoofdstukken

4
Corpus/Standards/ISO27x/OST/27002/NL/a-4.2-Themas-en-attributen.md
View file

@ -1,7 +1,3 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 4.2 Thema's en attributen
De categorieën waarin beheersmaatregelen kunnen worden ingedeeld volgens de hoofdstukken 5 t/m 8 worden aangeduid als thema's.

4
Corpus/Standards/ISO27x/OST/27002/NL/a-4.3-Indeling-beheersmaatregel.md
View file

@ -1,7 +1,3 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 4.3 Indeling beheersmaatregel
De indeling van elke beheersmaatregel bevat het volgende:

42
Corpus/Standards/ISO27x/OST/27002/NL/a-5.1-Beleidsregels-voor-informatiebeveiliging.md
View file

@ -1,26 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.1"
title: "Beleidsregels voor informatiebeveiliging"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Governance]
security_domains:
- Governance_and_Ecosystem
- Resilience
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.1 Beleidsregels voor informatiebeveiliging
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Veerkracht |
**Beheersmaatregel**
### Beheersmaatregel
Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
**Doel**
### Doel
De voortdurende geschiktheid, toereikendheid, doeltreffendheid van de sturing en ondersteuning door het management overeenkomstig de bedrijfseisen en de eisen van wet- en regelgeving, statutaire en contractuele eisen bewerkstelligen.
**Richtlijn**
### Richtlijn
De organisatie behoort op het hoogste niveau een 'informatiebeveiligingsbeleid' te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar informatiebeveiliging te bereiken.
@ -109,6 +120,5 @@ Tabel 1 illustreert de verschillen tussen informatiebeveiligingsbeleid en onderw
| **Detailniveau** | Algemeen of op hoofdlijnen | Specifiek en gedetailleerd |
| **Gedocumenteerd en formeel goedgekeurd door** | De directie | Het passende managementniveau |
**Overige informatie**
### Overige informatie
Onderwerpspecifieke beleidsregels kunnen van organisatie tot organisatie verschillen.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-5.10-Aanvaardbaar-gebruik-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md
View file

@ -1,27 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.10"
title: "Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities:
- Asset_management
- Information_protection
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen #Informatiebescherming |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen behoren te worden vastgesteld, gedocumenteerd en geïmplementeerd.
**Doel**
### Doel
Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen passend worden beschermd, gebruikt en behandeld.
**Richtlijn**
### Richtlijn
Personeel en externe gebruikers die informatie en andere gerelateerde bedrijfsmiddelen van de organisatie gebruiken of er toegang toe hebben, behoren bewust te worden gemaakt van de informatiebeveiligingseisen voor het beschermen van en omgaan met de informatie van de organisatie en andere gerelateerde bedrijfsmiddelenij behoren verantwoordelijk te zijn voor het gebruik dat zij maken van informatieverwerkende faciliteiten.
@ -47,6 +59,5 @@ e) duidelijke markering van alle kopieën van (elektronische of fysieke) opslagm
f) autorisatie van het verwijderen van informatie en andere gerelateerde bedrijfsmiddelen en ondersteunde wismethode(n) (zie [8.10](a-8.10-Wissen-van-informatie.md)).
**Overige informatie**
### Overige informatie
Het is mogelijk dat de desbetreffende bedrijfsmiddelen niet direct tot de organisatie behoren, zoals openbare clouddienstenet gebruik van zulke bedrijfsmiddelen van derden en van bedrijfsmiddelen van de organisatie in verband met zulke externe bedrijfsmiddelen (bijv. informatie, software) behoort te worden geïdentificeerd al naargelang de situatie en beheerst, bijvoor middel van overeenkomsten met aanbieders van clouddienstenndien er gebruik wordt gemaakt van een op samenwerking gerichte werkomgeving, behoort er ook zorgvuldig te worden gehandeld.

42
Corpus/Standards/ISO27x/OST/27002/NL/a-5.11-Retourneren-van-bedrijfsmiddelen.md
View file

@ -1,28 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.11"
title: "Retourneren van bedrijfsmiddelen"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Asset_management]
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.11 Retourneren van bedrijfsmiddelen
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Personeel en andere belanghebbenden, al naargelang de situatie, behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren.
**Doel**
### Doel
De bedrijfsmiddelen van de organisatie beschermen als onderdeel van de procedure voor het wijzigen of beëindigen van het dienstverband, het contract of de overeenkomst.
**Richtlijn**
### Richtlijn
In de wijzigings- of beëindigingsprocedure behoort formeel het retourneren van alle eerder verstrekte fysieke en elektronische bedrijfsmiddelen die het eigendom zijn van of toevertrouwd zijn aan de organisatie, te worden opgenomen.
@ -44,6 +51,5 @@ d) authenticatiehardware (bijv. mechanische sleutels, fysieke tokens en chipkaar
e) fysieke kopieën van informatie.
**Overige informatie**
### Overige informatie
Het kan lastig zijn informatie te retourneren die zich bevindt op bedrijfsmiddelen die geen eigendom zijn van de organisatien dergelijke gevallen is het nodig het gebruik van informatie door middel van andere beheersmaatregelen voor informatiebeveiliging, zoals het beheer van toegangsrechten (5.18) of het gebruik van cryptografie (8.24) te beperken.

42
Corpus/Standards/ISO27x/OST/27002/NL/a-5.12-Classificeren-van-informatie.md
View file

@ -1,26 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.12"
title: "Classificeren van informatie"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Information_protection]
security_domains:
- Protection
- Defence
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.12 Classificeren van informatie
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Informatiebescherming |
| Beveiligingsdomeinen: | #Bescherming #Verdediging |
**Beheersmaatregel**
### Beheersmaatregel
Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante belanghebbenden.
**Doel**
### Doel
Bewerkstelligen dat het identificeren van en het inzicht in de beschermingsbehoeften voor informatie in overeenstemming zijn met het belang ervan voor de organisatie.
**Richtlijn**
### Richtlijn
De organisatie behoort een onderwerpspecifiek beleid inzake het classificeren van informatie vast te stellen en aan alle relevante belanghebbenden mee te delen.
@ -40,7 +51,7 @@ Het schema behoort organisatiebreed consistent te zijn en te zijn opgenomen in d
Het binnen de organisatie gebruikte classificatieschema kan verschillen van de schema's die andere organisaties gebruiken, zelf als de namen voor niveaus op elkaar lijkenovendien kan de classificatie van informatie die tussen organisaties wordt getransporteerd verschillen, afhankelijk van de context ervan binnen elke organisatie, zelfs als de organisaties dezelfde classificatieschema's gebruiken. Daarom behoren overeenkomsten met andere organisaties waarin het delen van informatie voorkomt, procedures te bevatten voor het identificeren van de classificatie van die informatie en voor het interpreteren van de classificatieniveaus van andere organisaties. De overeenstemming tussen verschillende schema's kan worden vastgesteld door te zoeken naar gelijkwaardigheid in de gerelateerde methoden voor hantering en bescherming.
**Overige informatie**
### Overige informatie
Classificatie biedt personen die met informatie omgaan, een beknopte indicatie van hoe deze te behandelen en te beschermen. Het aanmaken van informatiegroepen met gelijksoortige beschermingsbehoeften en het specificeren van informatiebeveiligingsprocedures die gelden voor alle informatie in elke groep, vergemakkelijken diteze aanpak vermindert de behoefte aan afzonderlijke risicobeoordeling en speciaal ontworpen beheersmaatregelen.
@ -51,4 +62,3 @@ Bij wijze van voorbeeld kan een classificatieschema betreffende de vertrouwelijk
a) openbaarmaking veroorzaakt geen schade;
b) openbaarmaking veroorzaakt geringe reputatieschade of een geringe operationele impact;
c) openbaarmaking heeft een kortdurende significante impact op de operationele of bedrijfsdoelstellingen;
d) openbaarmaking heeft een ernstige impact op de langetermijnbedrijfsdoelstellingen of brengt het voortbestaan van de organisatie in gevaar.

42
Corpus/Standards/ISO27x/OST/27002/NL/a-5.13-Labelen-van-informatie.md
View file

@ -1,26 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.13"
title: "Labelen van informatie"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Information_protection]
security_domains:
- Defence
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.13 Labelen van informatie
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Informatiebescherming |
| Beveiligingsdomeinen: | #Verdediging #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Om informatie te labelen behoort een passende reeks procedures te worden vastgesteld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.
**Doel**
### Doel
Het communiceren van de classificatie van informatie mogelijk maken en het automatiseren van informatieverwerking en -beheer ondersteunen.
**Richtlijn**
### Richtlijn
Procedures voor het labelen van informatie behoren te gaan over informatie en andere gerelateerde bedrijfsmiddelen in alle formatene labeling behoort in overeenstemming te zijn met het classificatieschema vastgesteld in 5e labels behoren gemakkelijk herkenbaar te zijne procedures behoren richtlijnen te geven over waar en hoe labels zijn bevestigd, rekening houdend met hoe de informatie wordt bereikt of hoe de bedrijfsmiddelen worden gehanteerd afhankelijk van de soorten opslagmediae procedures kunnen het volgende definiëren:
@ -52,7 +63,7 @@ Personeel en andere belanghebbenden behoren op de hoogte te worden gebracht van
Output van systemen die informatie bevatten die is geclassificeerd als gevoelig of essentieel, behoort een passend classificatielabel te dragen.
**Overige informatie**
### Overige informatie
Het labelen van geclassificeerde informatie is een belangrijke eis voor het delen van informatie.
@ -60,4 +71,3 @@ Andere nuttige metagegevens die aan de informatie kunnen worden gekoppeld, zijn
Het labelen van informatie en andere gerelateerde bedrijfsmiddelen kan soms negatieve effecten hebben. Geclassificeerde bedrijfsmiddelen zijn gemakkelijker te identificeren door kwaadwillenden, die daarvan mogelijk misbruik maken.
Bepaalde systemen voorzien individuele bestanden of registraties in databases niet van labels met de classificatie, maar beschermen alle informatie op het hoogste classificatieniveau van de informatie die erin vervat is of mag zijnet is gebruikelijk in dergelijke systemen dat informatie wordt geïdentificeerd en vervolgens gelabeld op het moment van exporteren.

43
Corpus/Standards/ISO27x/OST/27002/NL/a-5.14-Overdragen-van-informatie.md
View file

@ -1,27 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.14"
title: "Overdragen van informatie"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities:
- Asset_management
- Information_protection
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.14 Overdragen van informatie
| Attribuut | Waarde |
| :----------------------------------- | :-------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen #Informatiebescherming |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn vastgesteld voor alle soorten van overdracht binnen de organisatie en tussen de organisatie en andere partijen.
**Doel**
### Doel
Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe belanghebbende.
**Richtlijn**
### Richtlijn
<u>Algemeen</u>
@ -113,5 +123,4 @@ d) behoren te waarborgen dat passende beheersmaatregelen voor de ruimte zijn ge
e) gevoelige gesprekken altijd behoren te beginnen met een disclaimer zodat de aanwezigen het classificatieniveau kennen van wat ze gaan horen en eventuele eisen met betrekking tot de omgang ermee.
**Overige informatie**
Geen overige informatie.
### Overige informatie

41
Corpus/Standards/ISO27x/OST/27002/NL/a-5.15-Toegangsbeveiliging.md
View file

@ -1,27 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.15"
title: "Toegangsbeveiliging"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Identity_and_access_management]
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.15 Toegangsbeveiliging
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.
**Doel**
### Doel
Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
**Richtlijn**
### Richtlijn
Eigenaren van informatie en andere gerelateerde bedrijfsmiddelen behoren informatiebeveiligings- en bedrijfseisen met betrekking tot toegangsbeveiliging vast te stellen. Er behoort onderwerpspecifiek beleid inzake toegangsbeveiliging te worden gedefinieerd waarin rekening wordt gehouden met deze eisen en dit behoort naar alle desbetreffende belanghebbenden te worden gecommuniceerd.
@ -61,7 +69,7 @@ c) het in aanmerking nemen van alle soorten beschikbare verbindingen in gedistri
d) het overwegen hoe elementen of factoren die relevant zijn voor dynamische toegangsbeveiliging kunnen worden weergegeven.
**Overige informatie**
### Overige informatie
Er worden vaak overkoepelende principes gebruikt in de toegangsbeveiligingscontext. Twee van de meest gebruikte principes zijn:
@ -83,4 +91,3 @@ Regels voor toegangsbeveiliging behoren te worden ondersteund door formele proce
Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging).
Regels voor toegangsbeveiliging kunnen ook dynamische elementen bevatten (bijv. een functie die toegangsinstanties uit het verleden of specifieke omgevingswaarden beoordeelt). Regels voor toegangsbeveiliging kunnen met verschillende granulariteit worden geïmplementeerd, uiteenlopend van het afdekken van volledige netwerken of systemen tot specifieke gegevensvelden, en hierbij kunnen ook eigenschappen zoals de locatie van de gebruiker of het soort netwerkverbinding dat voor de toegang wordt gebruikt, in aanmerking worden genomeneze principes, evenals de wijze waarop granulaire toegangsbeveiliging wordt gedefinieerd, kunnen een aanmerkelijk kosteneffect hebbentrengere regels en meer granulariteit leiden doorgaans tot hogere kostenan de hand van bedrijfseisen en risico-overwegingen behoort te worden gedefinieerd welke regels voor toegangsbeveiliging worden toegepast en welke granulariteit vereist is.

41
Corpus/Standards/ISO27x/OST/27002/NL/a-5.16-Identiteitsbeheer.md
View file

@ -1,27 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.16"
title: "Identiteitsbeheer"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Identity_and_access_management]
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.16 Identiteitsbeheer
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
De volledige levenscyclus van identiteiten behoort te worden beheerd.
**Doel**
### Doel
De unieke identificatie van personen en systemen die toegang hebben tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, en een juiste toewijzing van toegangsrechten mogelijk maken.
**Richtlijn**
### Richtlijn
De processen die worden gebruikt in de context van identiteitsbeheer, behoren te bewerkstelligen dat:
@ -41,7 +49,7 @@ De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omg
Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie [5.19](a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md)) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie [5.17](a-5.17-Beheren-van-authenticatie-informatie.md)) omvatten.
**Overige informatie**
### Overige informatie
Het verlenen of intrekken van toegang tot informatie en andere gerelateerde bedrijfsmiddelen is doorgaans een meerstapsprocedure:
@ -53,4 +61,3 @@ c) het vaststellen van een identiteit;
d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen van gerelateerde authenticatiediensten;
e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie [5.18](a-5.18-Toegangsrechten.md)).

32
Corpus/Standards/ISO27x/OST/27002/NL/a-5.17-Beheren-van-authenticatie-informatie.md
View file

@ -1,17 +1,26 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.17"
title: "Beheren van authenticatie-informatie"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Identity_and_access_management]
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.17 Beheren van authenticatie-informatie
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
### Beheersmaatregel
De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het informeren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt.
### Doel
@ -85,4 +94,3 @@ Wachtwoorden of wachtzinnen zijn een algemeen gebruikt type authenticatie-inform
Verplichten dat wachtwoorden vaak worden gewijzigd kan een probleem zijn, aangezien gebruikers geïrriteerd kunnen raken door de frequente wijzigingen, nieuwe wachtwoorden kunnen vergeten, ze op onveilige plaatsen kunnen noteren, of onveilige wachtwoorden kunnen kiezen. Als 'Single Sign On' (SSO) of andere authenticatiebeheerinstrumenten (bijv. wachtwoordkluizen) beschikbaar worden gesteld, vermindert dat de hoeveelheid authenticatie-informatie die gebruikers moeten beschermen, waardoor de doeltreffendheid van deze beheersmaatregel kan toenemen. Echter, deze instrumenten kunnen ook de impact van openbaarmaking van authenticatie-informatie vergroten.
Bepaalde toepassingen vereisen dat wachtwoorden voor gebruikers door een onafhankelijke instantie worden toegewezen. In dergelijke gevallen zijn de punten a), c) en d) van 'Systeem voor wachtwoordbeheer' niet van toepassing.

42
Corpus/Standards/ISO27x/OST/27002/NL/a-5.18-Toegangsrechten.md
View file

@ -1,28 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.18"
title: "Toegangsrechten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Identity_and_access_management]
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.18 Toegangsrechten
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Toegangsrechten met betrekking tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.
**Doel**
### Doel
Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmiddelen wordt vastgesteld en goedgekeurd overeenkomstig de bedrijfseisen.
**Richtlijn**
### Richtlijn
<u>Verlenen en intrekken van toegangsrechten</u>
@ -84,7 +91,7 @@ c) de waarde van de bedrijfsmiddelen die op dat moment toegankelijk zijn.
**Overige informatie**
### Overige informatie
@ -100,4 +107,3 @@ Ingeval het management de beëindiging van het dienstverband heeft geïnitieerd,
Klonen is een doelmatige manier waarop organisaties toegang aan gebruikers kunnen toewijzenit behoort echter met zorg te gebeuren, op basis van door de organisatie vastgestelde onderscheiden rollen, in plaats van een identiteit met alle gerelateerde toegangsrechten zomaar te klonenan het klonen is het inherente risico verbonden dat het leidt tot buitensporige toegangsrechten tot informatie en andere gerelateerde bedrijfsmiddelen.

44
Corpus/Standards/ISO27x/OST/27002/NL/a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md
View file

@ -1,28 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.19"
title: "Informatiebeveiliging in leveranciersrelaties"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Supplier_relationships_security]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
## 5.19 Informatiebeveiliging in leveranciersrelaties
**Beheersmaatregel**
### Beheersmaatregel
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheren.
**Doel**
### Doel
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
**Richtlijn**
### Richtlijn
De organisatie behoort een onderwerpspecifiek beleid inzake leveranciersrelaties vast te stellen en aan alle relevante belanghebbenden mee te delen.
@ -72,7 +81,7 @@ n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt ver
Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijvls gevolg van een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende producten of diensten te voorkomen (bijvoor van tevoren een alternatieve leverancier aan te wijzen of altijd gebruik te maken van alternatieve leveranciers).
**Overige informatie**
### Overige informatie
In gevallen waarin het voor een organisatie niet mogelijk is eisen te stellen aan een leverancier, behoort de organisatie:
@ -89,4 +98,3 @@ Ander voorbeeld vormen risico\'s voor de bescherming van persoonlijke gegevens a
Risico\'s kunnen ook worden veroorzaakt door ontoereikende beheersmaatregelen van door leveranciers geleverde ICT-infrastructuurcomponenten of -dienstenomponenten of diensten met storingen of kwetsbaarheden kunnen inbreuken op de informatiebeveiliging in de organisatie of voor een andere entiteit veroorzaken. Ze kunnen bijvoorbeeld besmetting met malware, aanvallen of andere schade aan andere entiteiten dan de organisatie veroorzaken.
Zie ISO/IEC 27036-2 voor nadere details.

43
Corpus/Standards/ISO27x/OST/27002/NL/a-5.2-Rollen-en-verantwoordelijkheden-bij-informatiebeveiliging.md
View file

@ -1,26 +1,38 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.2"
title: "Rollen en verantwoordelijkheden bij informatiebeveiliging"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Governance]
security_domains:
- Governance_and_Ecosystem
- Protection
- Resilience
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming #Veerkracht |
**Beheersmaatregel**
### Beheersmaatregel
Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie.
**Doel**
### Doel
Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de implementatie, uitvoering en het beheer van informatiebeveiliging binnen de organisatie inrichten.
**Richtlijn**
### Richtlijn
Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie [5.1](a-5.1-Beleidsregels-voor-informatiebeveiliging.md)). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
@ -36,10 +48,9 @@ Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedet
Elk beveiligingsgebied waarvoor personen verantwoordelijk zijn, behoort te worden gedefinieerd, gedocumenteerd en gecommuniceerdutorisatieniveaus behoren te worden gedefinieerd en gedocumenteerdersonen die een specifieke rol op het gebied van informatiebeveiliging op zich nemen, behoren competent te zijn wat betreft de kennis en vaardigheden die de rol vereist en behoren te worden ondersteund bij het op de hoogte blijven van de ontwikkelingen die verband houden met de rol en die vereist zijn om aan de verantwoordelijkheden van de rol te kunnen voldoen.
**Overige informatie**
### Overige informatie
Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van risico\'s en beperkende beheersmaatregelen te ondersteunen.
Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managersen gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan.
Afhankelijk van de omvang en de middelen van een organisatie kan informatiebeveiliging door speciale rollen of door functies die naast bestaande rollen worden uitgevoerd, worden afgedekt.

43
Corpus/Standards/ISO27x/OST/27002/NL/a-5.20-Adresseren-van-informatiebeveiliging-in-leveranciersovereenkomsten.md
View file

@ -1,27 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.20"
title: "Adresseren van informatiebeveiliging in leveranciersovereenkomsten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Supplier_relationships_security]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen.
**Doel**
### Doel
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
**Richtlijn**
### Richtlijn
Leveranciersovereenkomsten behoren te worden vastgesteld en gedocumenteerd om te waarborgen dat er tussen de organisatie en de leverancier duidelijkheid bestaat ten aanzien van de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
@ -81,9 +91,8 @@ z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere levera
De organisatie behoort een register van afspraken met externe partijen (bijv. contracten, een memorandum van overeenstemming, overeenkomsten voor het delen van informatie) op te stellen en te onderhouden om bij te houden waar haar informatie naartoe gaate organisatie behoort ook haar overeenkomsten met externe partijen regelmatig te beoordelen, te valideren en bij te werken om te garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules over informatiebeveiliging bevatten.
**Overige informatie**
### Overige informatie
De overeenkomsten kunnen voor de verschillende organisaties en de verschillende soorten leveranciers aanzienlijk variërenerhalve behoort erop te worden toegezien dat alle relevante eisen voor het oppakken van informatiebeveiligingsrisico's erin worden opgenomen.
Voor gegevens over overeenkomsten met leveranciers, zie de ISO/IEC 27036-reeks. Voor gegevens over overeenkomsten voor clouddiensten, zie de ISO/IEC 19086-reeks.

48
Corpus/Standards/ISO27x/OST/27002/NL/a-5.21-Beheren-van-informatiebeveiliging-in-de-ICT-keten.md
View file

@ -1,32 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.21"
title: "Beheren van informatiebeveiliging in de ICT-keten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Supplier_relationships_security]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
## 5.21 Beheren van informatiebeveiliging in de ICT-keten
**Beheersmaatregel**
### Beheersmaatregel
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten en -diensten te beheren.
**Doel**
### Doel
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
**Richtlijn**
### Richtlijn
In aanvulling op de algemene informatiebeveiligingseisen voor leveranciersrelaties behoren de volgende informatiebeveiligingsonderwerpen in aanmerking te worden genomen binnen de beveiliging van de ITC-toeleveringsketen:
@ -58,7 +63,7 @@ l) regels definiëren voor het delen van informatie met betrekking tot de toelev
m) specifieke processen implementeren voor het beheren van de levenscyclus en beschikbaarheid van ICT-componenten en gerelateerde beveiligingsrisico\'s. Dit omvat het beheren van de risico\'s dat onderdelen niet langer beschikbaar zijn omdat leveranciers hun bedrijf hebben gestaakt of deze onderdelen als gevolg van technologische ontwikkelingen niet meer aanbieden. Het identificeren van een alternatieve leverancier en het proces om software en competentie naar de alternatieve leverancier over te brengen behoren te worden overwogen.
**Overige informatie**
### Overige informatie
De specifieke risicobeheerpraktijken betreffende de ICT-toeleveringsketen komen boven op de algemene praktijken van informatiebeveiliging, kwaliteit, projectmanagement en systeemengineering, maar vervangen deze niet.
@ -76,4 +81,3 @@ c) hostingdiensten, waar de aanbieder op externe servicebalies vertrouwt, met in
Zie ISO/IEC 27036-3 voor nadere details met inbegrip van richtlijnen voor risicobeoordeling.
Software-identificatietags (SWID) kunnen ook bijdragen aan betere informatiebeveiliging in de toeleveringsketen, door informatie te geven over de herkomst van software. Zie ISO/IEC 19770-2 voor nadere details.

47
Corpus/Standards/ISO27x/OST/27002/NL/a-5.22-Monitoren-beoordelen-en-het-beheren-van-wijzigingen-van-leveranciersdiensten.md
View file

@ -1,27 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.22"
title: "Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Supplier_relationships_security]
security_domains:
- Governance_and_Ecosystem
- Protection
- Defence
- Information_security_assurance
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
| Attribuut | Waarde |
| :----------------------------------- | :---------------------------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties #Borging_van_informatiebeveiliging |
| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming #Verdediging |
**Beheersmaatregel**
## 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten
### Beheersmaatregel
De organisatie behoort de informatiebeveiligingspraktijken en de leveranciersdiensten regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren.
**Doel**
### Doel
Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.
**Richtlijn**
### Richtlijn
Het monitoren en beoordelen van, en het beheren van veranderingen aan, leveranciersdiensten behoort te bewerkstelligen dat aan de informatiebeveiligingsvoorwaarden van de overeenkomsten wordt voldaan, informatiebeveiligingsincidenten en -problemen naar behoren worden beheerd en veranderingen in leveranciersdiensten of de bedrijfsstatus niet van invloed zijn op de dienstverlening.
@ -69,6 +81,5 @@ m)regelmatig te evalueren of de leveranciers afdoende informatiebeveiligingsnive
De verantwoordelijkheid voor het beheer van leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of teamm te monitoren dat de eisen van de overeenkomst, in het bijzonder de informatiebeveiligingseisen, worden nagekomen, behoren voldoende technische vaardigheden en middelen beschikbaar te worden gesteldls tekortkomingen in de dienstverlening worden waargenomen behoren passende maatregelen te worden getroffen.
**Overige informatie**
### Overige informatie
Zie ISO/IEC 27036-3 voor nadere details.

35
Corpus/Standards/ISO27x/OST/27002/NL/a-5.23-Informatiebeveiliging-voor-het-gebruik-van-clouddiensten.md
View file

@ -1,17 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.23"
title: "Informatiebeveiliging voor het gebruik van clouddiensten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Supplier_relationships_security]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
**Beheersmaatregel**
## 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
### Beheersmaatregel
Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
**Doel**
### Doel
Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren.
**Richtlijn**
### Richtlijn
De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen.
@ -76,9 +96,8 @@ c) het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers
De organisatie die clouddiensten gebruikt, behoort nauw contact te onderhouden met haar aanbieders van de clouddiensteneze contacten maken wederzijdse uitwisseling mogelijk van informatie over informatiebeveiliging voor het gebruik van de clouddiensten, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie, in haar rol van afnemer van de clouddiensten, om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.
**Overige informatie**
### Overige informatie
Deze beheersmaatregel bekijkt cloudbeveiliging vanuit het oogpunt van de afnemer van de clouddienst(en).
Aanvullende informatie met betrekking tot clouddiensten is te vinden in ISO/IEC 17788, ISO/IEC 17789 en ISO/IEC 22123-1. Specifieke informatie met betrekking tot clouds en overdraagbaarheid bij exitstrategieën is te vinden in ISO/IEC 19941. Specifieke informatie met betrekking tot informatiebeveiliging en publieke clouddiensten wordt beschreven in ISO/IEC 27017. Specifieke informatie met betrekking tot de bescherming van persoonsgegevens in publieke clouds die als verwerker van persoonsgegevens fungeren, wordt beschreven in ISO/IEC 27018. Leveranciers- relaties voor clouddiensten worden behandeld in ISO/IEC 27036-4 en clouddienstovereenkomsten en de inhoud ervan worden behandeld in de ISO/IEC 19086-reeks, waarbij ISO/IEC 19086-4 specifiek ingaat op beveiliging en privacy.

56
Corpus/Standards/ISO27x/OST/27002/NL/a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md
View file

@ -1,36 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.24"
title: "Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten"
theme: Organizational
control_type: [Corrective]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Respond
- Recover
operational_capabilities:
- Governance
- Information_security_event_management
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Reageren |
| Operationele capaciteiten: | #Beheer_van_infor- matiebeveiligings- gebeurtenissen |
| Beveiligingsdomeinen: | #Verdediging |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+====================================================================+=====================+
| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Governance #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Herstellen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten
### Beheersmaatregel
De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren.
**Doel**
### Doel
Een snelle, doeltreffende, consistente en geordende reactie op informatiebeveiligingsincidenten, met inbegrip van communicatie over informatiebeveiligingsgebeurtenissen, bewerkstelligen.
**Richtlijn**
### Richtlijn
<u>Rollen en verantwoordelijkheden</u>
@ -108,8 +111,7 @@ Bij het implementeren van procedures voor incidentenbeheer behoren externe eisen
**Overige informatie**
### Overige informatie
Informatiebeveiligingsincidenten kunnen de grenzen van organisaties en landen overschrijdenm op dergelijke incidenten te kunnen reageren is het nuttig om indien van toepassing opvolging te coördineren en informatie over deze incidenten te delen met externe organisaties.
De ISO/IEC 27035-reeks biedt gedetailleerde richtlijnen over het beheer van informatiebeveiligingsincidenten.

47
Corpus/Standards/ISO27x/OST/27002/NL/a-5.25-Beoordelen-van-en-besluiten-over-informatiebeveiligingsgebeurtenissen.md
View file

@ -1,29 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.25"
title: "Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen"
theme: Organizational
control_type: [Detective]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Detect
- Respond
operational_capabilities: [Information_security_event_management]
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Reageren | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen
### Beheersmaatregel
De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten.
**Doel**
### Doel
Doeltreffende categorisering en prioritering van informatiebeveiligingsgebeurtenissen bewerkstelligen.
**Richtlijn**
### Richtlijn
Er behoort een categoriserings- en prioriteringsschema voor informatiebeveiligingsincidenten te worden overeengekomen voor het identificeren van de gevolgen en prioriteit van een incidentet schema behoort de criteria te omvatten voor het als informatiebeveiligingsincident categoriseren van gebeurtenissenet contactpunt behoort elke informatiebeveiligingsgebeurtenis aan de hand van het overeengekomen schema te beoordelen.
@ -31,6 +39,5 @@ Personeel dat verantwoordelijk is voor het coördineren van en reageren op infor
Resultaten van de beoordeling en het besluit behoren in detail te worden geregistreerd ten behoeve van toekomstige raadpleging en verificatie.
**Overige informatie**
### Overige informatie
De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.

47
Corpus/Standards/ISO27x/OST/27002/NL/a-5.26-Reageren-op-informatiebeveiligingsincidenten.md
View file

@ -1,29 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.26"
title: "Reageren op informatiebeveiligingsincidenten"
theme: Organizational
control_type: [Corrective]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Respond
- Recover
operational_capabilities: [Information_security_event_management]
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Herstellen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.26 Reageren op informatiebeveiligingsincidenten
### Beheersmaatregel
Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
**Doel**
### Doel
Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewerkstelligen.
**Richtlijn**
### Richtlijn
De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen.
@ -64,6 +72,5 @@ wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5.2
j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren.
**Overige informatie**
### Overige informatie
De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.

47
Corpus/Standards/ISO27x/OST/27002/NL/a-5.27-Leren-van-informatiebeveiligingsincidenten.md
View file

@ -1,29 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.27"
title: "Leren van informatiebeveiligingsincidenten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
operational_capabilities: [Information_security_event_management]
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Beschermen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.27 Leren van informatiebeveiligingsincidenten
### Beheersmaatregel
Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren.
**Doel**
### Doel
De waarschijnlijkheid of de gevolgen van toekomstige incidenten verminderen.
**Richtlijn**
### Richtlijn
De organisatie behoort procedures op te stellen om de soorten, volumes en kosten van informatiebeveiligingsincidenten te kwantificeren en te monitoren.
@ -39,6 +47,5 @@ c) de bewustwording en training van gebruikers (zie 6.3) te verbeteren door voor
van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden.
**Overige informatie**
### Overige informatie
De ISO/IEC 27035-reeks geeft verdere richtlijnen.

47
Corpus/Standards/ISO27x/OST/27002/NL/a-5.28-Verzamelen-van-bewijsmateriaal.md
View file

@ -1,29 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.28"
title: "Verzamelen van bewijsmateriaal"
theme: Organizational
control_type: [Corrective]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Detect
- Respond
operational_capabilities: [Information_security_event_management]
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Reageren | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.28 Verzamelen van bewijsmateriaal
### Beheersmaatregel
De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.
**Doel**
### Doel
In het kader van disciplinaire en gerechtelijke stappen consistent en doeltreffend beheer bewerkstelligen van bewijsmateriaal in verband met informatiebeveiligingsincidenten.
**Richtlijn**
### Richtlijn
Bij het in het kader van disciplinaire en gerechtelijke stappen omgaan met bewijs met betrekking tot informatiebeveiligingsgebeurtenissen behoren interne procedures te worden ontwikkeld en gevolgde eisen van verschillende rechtsgebieden behoren in aanmerking te worden genomen om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden.
@ -41,7 +49,7 @@ Indien beschikbaar, behoort certificatie of andere relevante methoden om persone
Digitaal bewijs kan grenzen van organisaties of rechtsgebieden overschrijdenn zulke gevallen behoort te worden gewaarborgd dat de organisatie het recht heeft de vereiste informatie als digitaal bewijs te verzamelen.
**Overige informatie**
### Overige informatie
Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet altijd duidelijk of de gebeurtenis zal leiden tot gerechtelijke stappenet gevaar bestaat dan ook dat noodzakelijk bewijs bewust of toevallig wordt vernietigd voordat de ernst van het incident wordt onderkendet is raadzaam om vroegtijdig juridisch advies of de rechtshandhavers in te schakelen als gerechtelijke stappen worden overwogen en advies in te winnen over het vereiste bewijs.
@ -50,4 +58,3 @@ Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet al
ISO/IEC 27037 biedt definities en richtlijnen voor het identificeren, verzamelen, verkrijgen en bewaren van digitaal bewijs.
De ISO/IEC 27050-reeks behandelt elektronische ontdekking, hetgeen gepaard gaat met het als bewijsmiddel verwerken van elektronisch opgeslagen informatie.

51
Corpus/Standards/ISO27x/OST/27002/NL/a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md
View file

@ -1,29 +1,41 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.29"
title: "Informatiebeveiliging tijdens een verstoring"
theme: Organizational
control_type:
- Preventive
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Protect
- Respond
operational_capabilities: [Continuity]
security_domains:
- Protection
- Resilience
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+====================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Continuïteit | #Bescherming |
| | | | | |
| #Corrigerend | | #Reageren | | #Veerkracht |
+------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
**Beheersmaatregel**
## 5.29 Informatiebeveiliging tijdens een verstoring
### Beheersmaatregel
De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.
**Doel**
### Doel
Informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring beschermen.
**Richtlijn**
### Richtlijn
De organisatie behoort haar eisen vast te stellen voor het tijdens een verstoring aanpassen van beheersmaatregelen voor informatiebeveiligingnformatiebeveiligingseisen behoren te worden opgenomen in de processen voor bedrijfscontinuïteitsbeheer van de organisatie.
@ -43,11 +55,10 @@ c) compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebevei
tijdens een verstoring niet kunnen worden gehandhaafd.
**Overige informatie**
### Overige informatie
In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandighedenls onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen bedrijfscontinuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioriteerd.
Informatie over systemen voor bedrijfscontinuïteitsbeheer is te vinden in ISO 22301 en ISO 22313erdere richtlijnen voor bedrijfsimpactanalyse (BIA) zijn te vinden in ISO/TS 22317.

41
Corpus/Standards/ISO27x/OST/27002/NL/a-5.3-Functiescheiding.md
View file

@ -1,27 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.3"
title: "Functiescheiding"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities:
- Governance
- Identity_and_access_management
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.3 Functiescheiding
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Governance #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem |
**Beheersmaatregel**
### Beheersmaatregel
Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.
**Doel**
### Doel
Het risico op fraude, fouten en het omzeilen van beheersmaatregelen voor informatiebeveiliging verminderen.
**Richtlijn**
### Richtlijn
De functiescheiding en verantwoordelijkheidszones hebben tot doel conflicterende functies te scheiden en onder verschillende personen te verdelen om te voorkomen dat mogelijk conflicterende functies door één persoon alleen worden uitgevoerd.
@ -47,4 +57,3 @@ Bij het gebruik van op functies gebaseerde toegangsbeveiligingssystemen behoort
**Overige informatie**
Geen overige informatie.

40
Corpus/Standards/ISO27x/OST/27002/NL/a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md
View file

@ -1,27 +1,32 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.30"
title: "ICT-gereedheid voor bedrijfscontinuïteit"
theme: Organizational
control_type: [Corrective]
information_security_properties: [Availability]
cybersecurity_concepts: [Respond]
operational_capabilities: [Continuity]
security_domains: [Resilience]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
| Attribuut | Waarde |
| :----------------------------------- | :--------------- |
| Type beheersmaatregel: | #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Beschikbaarheid |
| Cybersecurityconcepten: | #Reageren |
| Operationele capaciteiten: | #Continuïteit |
| Beveiligingsdomeinen: | #Veerkracht |
**Beheersmaatregel**
## 5.30 ICT-gereedheid voor bedrijfscontinuïteit
### Beheersmaatregel
De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
**Doel**
### Doel
De beschikbaarheid van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring waarborgen.
**Richtlijn**
### Richtlijn
De ICT-gereedheid voor bedrijfscontinuïteit is een belangrijk onderdeel van bedrijfscontinuïteitsbeheer en informatiebeveiligingsbeheer om te bewerkstelligen dat ook tijdens een verstoring aan de doelstellingen van de organisatie kan blijven worden voldaan.
@ -49,7 +54,7 @@ c) ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten:
3) de RPO van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om de informatie te herstellen.
**Overige informatie**
### Overige informatie
Het beheer van de ICT-continuïteit vormt een essentieel onderdeel van de bedrijfscontinuïteitseisen met betrekking tot beschikbaarheid om in staat te zijn:
@ -63,4 +68,3 @@ Verdere richtlijnen over de ICT-gereedheid voor bedrijfscontinuïteit zijn te vi
Verdere richtlijnen over een systeem voor bedrijfscontinuïteitsbeheer zijn te vinden in ISO 22301 en ISO 22313.
Verdere richtlijnen over BIA zijn te vinden in ISO/TS 22317.

46
Corpus/Standards/ISO27x/OST/27002/NL/a-5.31-Wettelijke-statutaire-regelgevende-en-contractuele-eisen.md
View file

@ -1,30 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.31"
title: "Wettelijke, statutaire, regelgevende en contractuele eisen"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Legal_and_compliance]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+==============================+============================================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ Ecosysteem #Bescherming |
+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
**Beheersmaatregel**
## 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen
### Beheersmaatregel
Eisen van wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen behoren te worden vastgesteld, gedocumenteerd en actueel gehouden.
**Doel**
### Doel
De naleving bewerkstelligen van wettelijke, statutaire, regelgevende en contractuele eisen in verband met informatiebeveiliging.
**Richtlijn**
### Richtlijn
<u>Algemeen</u>
@ -109,4 +116,3 @@ b) contracten met leveranciers (zie 5.20);
c) verzekeringscontracten.
**Overige informatie** Geen overige informatie.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-5.32-Intellectuele-eigendomsrechten.md
View file

@ -1,32 +1,38 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.32"
title: "Intellectuele-eigendomsrechten"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Legal_and_compliance]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+==============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
**Beheersmaatregel**
## 5.32 Intellectuele-eigendomsrechten
### Beheersmaatregel
De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen.
**Doel**
### Doel
De naleving bewerkstelligen van eisen van wet- en regelgeving, statutaire en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van gepatenteerde producten.
**Richtlijn**
### Richtlijn
De volgende richtlijnen behoren in overweging te worden genomen om materiaal dat kan worden beschouwd als intellectuele eigendom te beschermen:
@ -68,7 +74,7 @@ k) niet dupliceren, naar een ander formaat converteren of een uittreksel maken v
l) geen normen (bijvnternationale normen van ISO/IEC), boeken, artikelen, rapporten of andere documenten geheel of ten dele kopiëren, tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan.
**Overige informatie**
### Overige informatie
Onder intellectuele-eigendomsrechten vallen auteursrechten op software of documenten, ontwerprechten, handelsmerken, patenten en broncodelicenties.
@ -85,4 +91,3 @@ Eisen van wet- en regelgeving, statutaire en contractuele eisen kunnen beperking
tot gerechtelijke stappen, die kunnen resulteren in een geldboete of een strafproces.
Afgezien van het feit dat het nodig is dat de organisatie voldoet aan haar verplichtingen wat betreft de intellectuele-eigendomsrechten van derden, behoren de risico\'s dat personeel en derden de eigen intellectuele-eigendomsrechten van de organisatie niet behartigen ook te worden beheerst.

50
Corpus/Standards/ISO27x/OST/27002/NL/a-5.33-Beschermen-van-registraties.md
View file

@ -1,29 +1,40 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.33"
title: "Beschermen van registraties"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
operational_capabilities:
- Legal_and_compliance
- Asset_management
- Information_protection
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+======================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Beheer_van_bedrijfs- middelen #Informatiebescher- ming | #Verdediging |
| | | | | |
| | | #Beschermen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.33 Beschermen van registraties
### Beheersmaatregel
Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.
**Doel**
### Doel
De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen, alsmede gemeenschaps- of maatschappelijke verwachtingen, met betrekking tot de bescherming en beschikbaarheid van registraties.
**Richtlijn**
### Richtlijn
De organisatie behoort de volgende stappen te ondernemen om de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van registraties te beschermen, aangezien de bedrijfscontext en de eisen voor het beheer ervan na verloop van tijd veranderen:
@ -50,7 +61,7 @@ Als elektronische opslagmedia worden gekozen behoren procedures te worden vastge
Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan.
**Overige informatie**
### Overige informatie
Registraties documenteren individuele gebeurtenissen of transacties of kunnen samenvoegingen zijn van gegevens die ervoor zijn opgezet om arbeidsprocessen, activiteiten of functies te documenterene vormen het bewijs van zowel bedrijfsactiviteiten als van informatiebedrijfsmiddelenlke informatieverzameling, ongeacht structuur of vorm, kan als registratie worden beheerdit omvat informatie in de vorm van een document, een verzameling gegevens of andere soorten digitale of analoge informatie die in het kader van de bedrijfsvoering worden aangemaakt, vastgelegd en beheerd.
@ -58,4 +69,3 @@ In het kader van het beheren van registraties zijn metagegevens gegevens die de
Het kan nodig zijn sommige registraties veilig te bewaren om te voldoen aan eisen van wet- en regelgeving, statutaire en contractuele eisen, en om essentiële bedrijfsactiviteiten te ondersteunene bewaartermijn en de soort informatie die behoort te worden bewaard, kunnen zijn vastgelegd in nationale wet- of regelgevingerdere informatie over beheer van registraties is te vinden in
ISO 15489.

49
Corpus/Standards/ISO27x/OST/27002/NL/a-5.34-Privacy-en-bescherming-van-persoonsgegevens.md
View file

@ -1,29 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.34"
title: "Privacy en bescherming van persoonsgegevens"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
operational_capabilities:
- Information_protection
- Legal_and_compliance
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Informatiebescherming | #Bescherming |
| | | | | |
| | | #Beschermen | #Juridisch_en_compliance | |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
## 5.34 Privacy en bescherming van persoonsgegevens
### Beheersmaatregel
De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.
**Doel**
### Doel
De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot de informatiebeveiligingsaspecten voor de bescherming van persoonsgegevens.
**Richtlijn**
### Richtlijn
De organisatie behoort een onderwerpspecifiek beleid inzake privacy en bescherming van persoonsgegevens vast te stellen en aan alle relevante belanghebbenden mee te delen.
@ -35,7 +45,7 @@ Verantwoordelijkheid voor het omgaan met persoonsgegevens behoort met inachtnemi
Er behoren passende technische en organisatorische maatregelen te worden geïmplementeerd om persoonsgegevens te beschermen.
**Overige informatie**
### Overige informatie
Een aantal landen heeft wetgeving ingevoerd waardoor er beheersmaatregelen zijn ingesteld voor het verzamelen, verwerken, verzenden en wissen van persoonsgegevensfhankelijk van de respectieve nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan personen die persoonsgegevens verzamelen, verwerken en verspreiden, en kunnen zij ook de bevoegdheid voor het versturen van persoonsgegevens naar andere landen beperken.
@ -44,4 +54,3 @@ ISO/IEC 29100 voorziet in een kader op hoog niveau voor de bescherming van perso
ISO/IEC 29134 geeft richtlijnen voor privacy-effectbeoordelingen (PIA) en een voorbeeld van de structuur en inhoud van een PIA-rapportn vergelijking met ISO/IEC 27005 is dit toegespitst op het verwerken van persoonsgegevens en is het relevant voor die organisaties die persoonsgegevens verwerkenit kan helpen bij het identificeren van privacyrisico\'s en mogelijke beperkende maatregelen om deze risico\'s tot een aanvaardbaar niveau terug te brengen.

49
Corpus/Standards/ISO27x/OST/27002/NL/a-5.35-Onafhankelijke-beoordeling-van-informatiebeveiliging.md
View file

@ -1,29 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.35"
title: "Onafhankelijke beoordeling van informatiebeveiliging"
theme: Organizational
control_type:
- Preventive
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
operational_capabilities: [Information_security_assurance]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
| | | | | |
| #Corrigerend | | #Beschermen | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
**Beheersmaatregel**
## 5.35 Onafhankelijke beoordeling van informatiebeveiliging
### Beheersmaatregel
De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
**Doel**
### Doel
Waarborgen dat de organisatie continu een geschikte, toereikende en doeltreffende aanpak voor het beheer van informatiebeveiliging hanteert.
**Richtlijn**
### Richtlijn
De organisatie behoort te beschikken over processen om onafhankelijke beoordelingen uit te voeren.
@ -52,6 +62,5 @@ gebruikt(e) product of dienst wijzigt;
e) de organisatie de beheersmaatregelen en procedures voor informatiebeveiliging significant wijzigt.
**Overige informatie**
### Overige informatie
ISO/IEC 27007 en ISO/IEC TS 27008 voorzien in richtlijnen voor het uitvoeren van onafhankelijke beoordelingen.

49
Corpus/Standards/ISO27x/OST/27002/NL/a-5.36-Naleving-van-beleid-regels-en-normen-voor-informatiebeveiliging.md
View file

@ -1,29 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.36"
title: "Naleving van beleid, regels en normen voor informatiebeveiliging"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
operational_capabilities:
- Legal_and_compliance
- Information_security_assurance
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
| | | | | |
| | | #Beschermen | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
### Beheersmaatregel
De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoort regelmatig te worden beoordeeld.
**Doel**
### Doel
Bewerkstelligen dat informatiebeveiliging in overeenstemming met het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en normen van de organisatie wordt geïmplementeerd en uitgevoerd.
**Richtlijn**
### Richtlijn
Managers of de eigenaren van diensten, producten of informatie behoren vast te stellen op welke manier wordt beoordeeld of aan informatiebeveiligingseisen zoals gedefinieerd in het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels, normen en andere toepasselijke regelgeving, wordt nageleefdoor een doeltreffende regelmatige beoordeling behoort te worden overwogen om automatische meet- en rapportage-instrumenten in te zetten.
@ -48,6 +58,5 @@ Resultaten van door managers of de eigenaren van diensten, producten of informat
Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld.
**Overige informatie**
### Overige informatie
Operationele monitoring van het gebruik van systemen wordt behandeld in 8, 8, 8.

59
Corpus/Standards/ISO27x/OST/27002/NL/a-5.37-Gedocumenteerde-bedieningsprocedures.md
View file

@ -1,32 +1,54 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.37"
title: "Gedocumenteerde bedieningsprocedures"
theme: Organizational
control_type:
- Preventive
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Protect
- Recover
operational_capabilities:
- Asset_management
- Physical_security
- System_and_network_security
- Application_security
- Secure_configuration
- Identity_and_access_management
- Threat_and_vulnerability_management
- Continuity
- Information_security_event_management
security_domains:
- Governance_and_Ecosystem
- Protection
- Defence
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=========================================================================================================================================================================================================================+=========================================================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs\_ middelen #Fysieke_beveiliging #Systeem- \_en_netwerkbeveiliging #Toepassingsbeveili- ging #Veilige_configuratie #Identiteits- \_en_toegangsbeheer #Beheer_van_dreigin- gen_en_kwetsbaar- heden | #Governance_en\_ Ecosysteem #Bescherming #Verdediging |
| | | | | |
| #Corrigerend | | #Herstellen | #Continuïteit #Beheer_van_infor- matiebeveiligings- gebeurtenissen | |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
**Beheersmaatregel**
## 5.37 Gedocumenteerde bedieningsprocedures
### Beheersmaatregel
Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft.
**Doel**
### Doel
De correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
**Richtlijn**
### Richtlijn
Er behoren gedocumenteerde procedures te worden opgesteld voor de operationele activiteiten van de organisatie die verband houden met informatiebeveiliging, bijvoorbeeld:
@ -77,4 +99,3 @@ Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bi
# 6 Mensgerichte beheersmaatregelen

39
Corpus/Standards/ISO27x/OST/27002/NL/a-5.4-Managementverantwoordelijkheden.md
View file

@ -1,27 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.4"
title: "Managementverantwoordelijkheden"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Governance]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.4 Managementverantwoordelijkheden
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------ |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem |
**Beheersmaatregel**
### Beheersmaatregel
Het management behoort van al het personeel te eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie.
**Doel**
### Doel
Bewerkstelligen dat het management zijn rol bij informatiebeveiliging begrijpt en maatregelen neemt om ervoor te zorgen dat al het personeel zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging en deze ook nakomt.
**Richtlijn**
### Richtlijn
Het management behoort er blijk van te geven dat het het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels, procedures en beheersmaatregelen voor informatiebeveiliging ondersteunt.
@ -47,4 +55,3 @@ h) voldoende middelen en tijd voor projectplanning krijgen voor het implementere
Geen overige informatie.
\*) Nederlandse voetnoot: Anders geformuleerd dan in de brontekst,

48
Corpus/Standards/ISO27x/OST/27002/NL/a-5.5-Contact-met-overheidsinstanties.md
View file

@ -1,22 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.5"
title: "Contact met overheidsinstanties"
theme: Organizational
control_type:
- Preventive
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
- Respond
- Recover
operational_capabilities: [Governance]
security_domains:
- Defence
- Resilience
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.5 Contact met overheidsinstanties
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren #Beschermen #Reageren #Herstellen |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Verdediging #Veerkracht |
**Beheersmaatregel**
### Beheersmaatregel
De organisatie behoort contact met de relevante instanties te leggen en te onderhouden.
**Doel**
### Doel
Een passende stroom van informatie met betrekking tot informatiebeveiliging tussen de organisatie en relevante juridische, regelgevende en toezichthoudende instanties bewerkstelligen.
@ -24,14 +41,13 @@ Een passende stroom van informatie met betrekking tot informatiebeveiliging tuss
**27**
**Richtlijn**
### Richtlijn
De organisatie behoort aan te geven wanneer en door wie contact behoort te worden opgenomen met overheidsinstanties (bijvolitie, regelgevende organen, toezichthouders) en hoe geïdentificeerde informatiebeveiligingsincidenten tijdig behoren te worden gemeld.
Contacten met overheidsinstanties behoren ook te worden gebruikt om inzicht mogelijk te maken in de bestaande en toekomstige verwachtingen van deze instanties (bijvoepasselijke regelgeving met betrekking tot informatiebeveiliging).
**Overige informatie**
### Overige informatie
Organisaties die worden aangevallen, kunnen instanties verzoeken om actie te ondernemen tegen de aanvaller.
Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie [5.24](a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md) t/m [5.28](a-5.28-Verzamelen-van-bewijsmateriaal.md)) of de noodplan- en bedrijfscontinuïteitsprocessen (zie [5.29](a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md) en [5.30](a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md)). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].

43
Corpus/Standards/ISO27x/OST/27002/NL/a-5.6-Contact-met-speciale-belangengroepen.md
View file

@ -1,26 +1,40 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.6"
title: "Contact met speciale belangengroepen"
theme: Organizational
control_type:
- Preventive
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Protect
- Respond
- Recover
operational_capabilities: [Governance]
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.6 Contact met speciale belangengroepen
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen #Reageren #Herstellen |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Verdediging |
**Beheersmaatregel**
### Beheersmaatregel
De organisatie behoort contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen te leggen en te onderhouden.
**Doel**
### Doel
Een passende stroom van informatie met betrekking tot informatiebeveiliging bewerkstelligen.
**Richtlijn**
### Richtlijn
Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om:
@ -37,4 +51,3 @@ e) informatie over nieuwe technologieën, producten, diensten, dreigingen of kwe
f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie [5.24](a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md) t/m [5.28](a-5.28-Verzamelen-van-bewijsmateriaal.md)).
**Overige informatie**
Geen overige informatie.

48
Corpus/Standards/ISO27x/OST/27002/NL/a-5.7-Informatie-en-analyses-over-dreigingen.md
View file

@ -1,26 +1,43 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.7"
title: "Informatie en analyses over dreigingen"
theme: Organizational
control_type:
- Preventive
- Detective
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Detect
- Respond
operational_capabilities: [Threat_and_vulnerability_management]
security_domains:
- Defence
- Resilience
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.7 Informatie en analyses over dreigingen
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief #Detectief #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren #Detecteren #Reageren |
| Operationele capaciteiten: | #Beheer_van_dreigingen_en_kwetsbaarheden |
| Beveiligingsdomeinen: | #Veerkracht |
**Beheersmaatregel**
### Beheersmaatregel
Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd om informatie en analyses over dreigingen te produceren.
**Doel**
### Doel
Bewustwording bieden van de mogelijke dreigingen voor de organisatie zodat de passende mitigerende maatregelen kunnen worden getroffen.
**Richtlijn**
### Richtlijn
Informatie over bestaande of opkomende dreigingen wordt verzameld en geanalyseerd teneinde:
@ -70,10 +87,9 @@ c) als input voor de processen en technieken voor het testen van de informatiebe
De organisatie behoort informatie en analyses over dreigingen op wederzijdse basis met andere organisaties te delen om de algemene informatie en analyses over dreigingen te verbeteren.
**Overige informatie**
### Overige informatie
Organisaties kunnen informatie en analyses over dreigingen gebruiken om dreigingen te voorkomen, detecteren of erop te reagerenrganisaties kunnen zelf informatie en analyses over dreigingen produceren, maar het is gebruikelijker dat ze informatie en analyses over dreigingen ontvangen en gebruiken die door andere bronnen wordt geproduceerd.
Informatie en analyses over dreigingen worden vaak verstrekt door onafhankelijke aanbieders of adviseurs, overheidsinstanties of groepen die gezamenlijk informatie over dreigingen verzamelen en analyseren.
De doeltreffendheid van beheersmaatregelen zoals 5.25, 8.7, 8.16 of 8.23 is afhankelijk van de kwaliteit van de beschikbare informatie en analyses over dreigingen.

44
Corpus/Standards/ISO27x/OST/27002/NL/a-5.8-Informatiebeveiliging-in-projectmanagement.md
View file

@ -1,26 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.8"
title: "Informatiebeveiliging in projectmanagement"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Identify
- Protect
operational_capabilities: [Governance]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.8 Informatiebeveiliging in projectmanagement
| Attribuut | Waarde |
| :----------------------------------- | :------------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren #Beschermen |
| Operationele capaciteiten: | #Governance |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.
**Doel**
### Doel
Ervoor zorgen dat informatiebeveiligingsrisico's binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt.
**Richtlijn**
### Richtlijn
Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement om ervoor te zorgen dat informatiebeveiligingsrisico\'s in het kader van projectmanagement worden aangepaktit kan worden toegepast op elk type project ongeacht de complexiteit, omvang, duur, discipline of het toepassingsgebied (bijv. een project voor een proces voor kernactiviteiten, IT, 'facility management' of andere ondersteunende processen).
@ -62,8 +75,7 @@ h) naleving van de wettelijke, statutaire, regelgevende en contractuele omgeving
i) het vereiste niveau van vertrouwen of zekerheid dat derden zullen voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie, met inbegrip van relevante beveiligingsclausules in overeenkomsten of contracten.
**Overige informatie**
### Overige informatie
De projectontwikkelaanpak, zoals de Waterfall-levenscyclus of de Agile-levenscyclus, behoort gestructureerde informatiebeveiliging te ondersteunen die kan worden aangepast aan de volgens een beoordeling vastgestelde informatiebeveiligingsrisico's, aansluitend bij het karakter van het projectet vroegtijdig nadenken over informatiebeveiligingseisen voor het product of de dienst (bijvijdens de plannings- en ontwerpfasen) kan leiden tot doeltreffender en kostenefficiëntere oplossingen voor kwaliteits- en informatiebeveiliging. ISO 21500 en ISO 21502 geven richtlijnen voor projectmanagementconcepten en -processen die belangrijk zijn voor de prestaties van projecten.
ISO/IEC 27005 geeft richtlijnen voor het gebruik van risicobeheerprocessen om beheersmaatregelen te identificeren die aan informatiebeveiligingseisen voldoen.

44
Corpus/Standards/ISO27x/OST/27002/NL/a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md
View file

@ -1,28 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "5.9"
title: "Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen"
theme: Organizational
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Identify]
operational_capabilities: [Asset_management]
security_domains:
- Governance_and_Ecosystem
- Protection
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Identificeren |
| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen |
| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming |
**Beheersmaatregel**
### Beheersmaatregel
Er behoort een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden.
**Doel**
### Doel
De informatie en andere gerelateerde bedrijfsmiddelen van de organisatie identificeren om de informatiebeveiliging ervan te behouden en passend eigenaarschap toe te wijzen.
**Richtlijn**
### Richtlijn
[Inventarislijst]
@ -68,7 +77,7 @@ h) hij betrokken is bij het identificeren en het beheer van de risico\'s in verb
i) hij het personeel ondersteunt dat de rollen en de verantwoordelijkheden heeft voor het beheren van zijn informatie.
**Overige informatie**
### Overige informatie
Inventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen zijn vaak nodig om de doeltreffende bescherming van informatie zeker te stellen en kunnen voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële redenennventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen ondersteunen ook risicobeheer, auditactiviteiten, kwetsbaarhedenbeheer, incidentrespons- en herstelplanning.
@ -76,4 +85,3 @@ Taken en verantwoordelijkheden kunnen worden gedelegeerd (bijvan een beheerder d
Het kan nuttig zijn om groepen van informatie en andere gerelateerde bedrijfsmiddelen aan te wijzen die samen een bepaalde dienst verlenenn dat geval is de eigenaar van deze dienst verantwoordelijk voor het leveren van de dienst, met inbegrip van de werking van de bedrijfsmiddelen die de dienst verzorgen.
Zie ISO/IEC 19770-1 voor aanvullende informatie over het beheer van IT-bedrijfsmiddelenie ISO 55001 voor aanvullende informatie over het beheer van bedrijfsmiddelen.

64
Corpus/Standards/ISO27x/OST/27002/NL/a-6.1-Screening.md
View file

@ -1,29 +1,56 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.1"
title: "Screening"
theme: People
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Human_resource_security]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.1"
title: "Screening"
theme: People
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Human_resource_security]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
## 6.1 Screening
### Beheersmaatregel
De achtergrond van alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaaldierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving, voorschriften en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico\'s.
**Doel**
### Doel
Bewerkstelligen dat al het personeel in aanmerking komt en geschikt is voor de functies waarvoor zij worden overwogen en dat zij hiervoor gedurende hun dienstverband in aanmerking blijven komen en geschikt blijven.
**Richtlijn**
### Richtlijn
Al het personeel, met inbegrip van voltijd-, deeltijd- en tijdelijk personeel, behoort te worden gescreendndien deze personen via dienstverleners worden ingehuurd, behoren screeningeisen te worden opgenomen in de contractuele afspraken tussen de organisatie en de dienstverleners.
@ -72,4 +99,3 @@ d) beëindiging van het dienstverband.
Deze controles behoren op gezette tijden te worden herhaald om te bevestigen dat personeel nog altijd geschikt is, afhankelijk van hoe essentieel de rol van een persoon is.
**Overige informatie** Geen overige informatie.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-6.2-Arbeidsovereenkomst.md
View file

@ -1,32 +1,38 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.2"
title: "Arbeidsovereenkomst"
theme: People
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Human_resource_security]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| | | | | ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
## 6.2 Arbeidsovereenkomst
### Beheersmaatregel
In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.
**Doel**
### Doel
Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging voor de rollen waarvoor zij mogelijk in aanmerking komen.
**Richtlijn**
### Richtlijn
In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
@ -46,7 +52,7 @@ De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen
Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5)
**Overige informatie**
### Overige informatie
Er kan een gedragscode worden gebruikt die de verantwoordelijkheden van het personeel in het kader van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, bescherming van persoonsgegevens, ethiek, passend gebruik van de informatie en andere gerelateerde
@ -54,4 +60,3 @@ bedrijfsmiddelen van de organisatie, alsmede ten aanzien van door de organisatie
Een externe partij waarmee personeel van leveranciers is verbonden, kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken.
Indien de organisatie geen rechtspersoon is en geen werknemers heeft, kan het equivalent van een contractuele overeenkomst en van contractuele voorwaarden in aanmerking worden genomen, overeenkomstig de richtlijnen van deze beheersmaatregel.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-6.3-Bewustwording-van-opleiding-en-training-in-informatiebeveiliging.md
View file

@ -1,29 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.3"
title: "Bewustwording van, opleiding en training in informatiebeveiliging"
theme: People
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Human_resource_security]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
## 6.3 Bewustwording van, opleiding en training in informatiebeveiliging
### Beheersmaatregel
Personeel van de organisatie en relevante belanghebbenden behoren een passend(e) bewustwording van, opleiding, training en bijscholing in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen.
**Doel**
### Doel
Ervoor zorgen dat personeel en relevante belanghebbenden zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
**Richtlijn**
### Richtlijn
<u>Algemeen</u>
@ -66,8 +72,7 @@ stand houden van het vereiste beveiligingsniveau voor apparaten, systemen, toepa
Voor het opleidings- en trainingsprogramma behoren verschillende vormen te worden overwogen [bijvessen of zelfstudie, begeleiding door deskundig personeel of consultants (training in de praktijk), het rouleren van personeelsleden om verschillende activiteiten te volgen, mensen met de juiste vaardigheden werven en consultants inhuren]it kan via verschillende middelen worden geleverd, bijvlassikaal, via afstandsonderwijs, via internet, in eigen tempoechnisch personeel behoort zijn kennis op peil te houden door zich te abonneren op nieuwsbrieven en tijdschriften of door conferenties en evenementen te bezoeken die zich richten op technische en professionele verbetering.
**Overige informatie**
### Overige informatie
Bij het opstellen van een bewustwordingsprogramma is het belangrijk niet alleen de aandacht te richten op het 'wat' en 'hoe', maar ook op het 'waarom', indien mogelijket is belangrijk dat personeel het doel van informatiebeveiliging en de mogelijke uitwerking, positief en negatief, van het eigen gedrag op de organisatie begrijpt.
Bewustwording van, opleiding en training in informatiebeveiliging kunnen onderdeel zijn van, of worden gegeven in combinatie met andere activiteiten, bijvoorbeeld algemene informatiemanagement-, ICT-, beveiligings-, privacy- of veiligheidstraining.

49
Corpus/Standards/ISO27x/OST/27002/NL/a-6.4-Disciplinaire-procedure.md
View file

@ -1,29 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.4"
title: "Disciplinaire procedure"
theme: People
control_type:
- Preventive
- Corrective
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts:
- Protect
- Respond
operational_capabilities: [Human_resource_security]
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| #Corrigerend | | #Reageren | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
## 6.4 Disciplinaire procedure
### Beheersmaatregel
Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.
**Doel**
### Doel
Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen begrijpen van schending van het informatiebeveiligingsbeleid, personeel en andere relevante belanghebbenden ervan weerhouden zich schuldig te maken aan een schending, en personeel en andere relevante belanghebbenden die zich schuldig hebben gemaakt aan een schending op de juiste manier aanpakken.
**Richtlijn**
### Richtlijn
De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1).
@ -39,8 +49,7 @@ d) of de overtreder al dan niet naar behoren was opgeleid.
Bij de reactie behoort rekening te worden gehouden met relevante eisen van wet- en regelgeving, statutaire, contractuele en bedrijfseisen evenals andere factoren voor zover vereiste disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat personeel en andere relevante belanghebbenden het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures voor informatiebeveiliging overtredenpzettelijke schendingen van het informatiebeveiligingsbeleid kunnen onmiddellijke maatregelen vereisen.
**Overige informatie**
### Overige informatie
Indien mogelijk behoort de identiteit van personen tegen wie disciplinaire actie wordt ondernomen overeenkomstig de toepasselijke eisen te worden beschermd.
Wanneer personen blijk hebben gegeven van uitstekend gedrag met betrekking tot informatiebeveiliging, kunnen ze worden beloond om de informatiebeveiliging te bevorderen en goed gedrag te stimuleren.

47
Corpus/Standards/ISO27x/OST/27002/NL/a-6.5-Verantwoordelijkheden-na-beeindiging-of-wijziging-van-het-dienstverband.md
View file

@ -1,29 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.5"
title: "Verantwoordelijkheden na beëindiging of wijziging van het dienstverband"
theme: People
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities:
- Human_resource_security
- Asset_management
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===========================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging #Beheer_van_be- drijfsmiddelen | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband
### Beheersmaatregel
Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden.
**Doel**
### Doel
De belangen van de organisatie beschermen als onderdeel van de wijzigings- of beëindigingsprocedure van dienstverband of contracten.
**Richtlijn**
### Richtlijn
Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6.6). Verantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6.2). Andere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden
@ -39,11 +47,10 @@ Het proces voor het beëindigen of wijzigen van een dienstverband behoort ook te
op extern personeel (dzeveranciers) wanneer een dienstverband van personeel, het contract of de functie bij de organisatie wordt beëindigd of wanneer er een verandering van functie binnen de organisatie is.
**Overige informatie**
### Overige informatie
In veel organisaties is de afdeling personeelszaken doorgaans verantwoordelijk voor de totale beëindigingsprocedure en werkt deze afdeling samen met de direct leidinggevende van de persoon die
overstapt om de informatiebeveiligingsaspecten van de relevante procedures af te handelenls het gaat om personeel dat is ingehuurd via een externe partij (bijvia een leverancier), dan wordt deze beëindigingsprocedure uitgevoerd door de externe partij in overeenstemming met het contract tussen de organisatie en de externe partij.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-6.6-Vertrouwelijkheids-of-geheimhoudingsovereenkomsten.md
View file

@ -1,29 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.6"
title: "Vertrouwelijkheids- of geheimhoudingsovereenkomsten"
theme: People
control_type: [Preventive]
information_security_properties: [Confidentiality]
cybersecurity_concepts: [Protect]
operational_capabilities:
- Human_resource_security
- Information_protection
- Supplier_relationships_security
security_domains: [Governance_and_Ecosystem]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele capaciteiten** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+=======================================================================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Personeelsbeveiliging #Informatiebescherming #Leveranciersrelaties | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
### Beheersmaatregel
Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.
**Doel**
### Doel
De vertrouwelijkheid van informatie waartoe personeel of externe partijen toegang hebben handhaven.
**Richtlijn**
### Richtlijn
Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren de eis van bescherming van vertrouwelijke informatie te behandelen binnen juridisch afdwingbare voorwaardenertrouwelijkheids- of geheimhoudingsovereenkomsten zijn van toepassing op belanghebbenden en personeel van de organisatiep basis van de informatiebeveiligingseisen van een organisatie behoren de voorwaarden in de overeenkomsten te worden vastgesteld door te kijken naar de soort informatie waarmee de belanghebbenden of het personeel zullen omgaan, het classificatieniveau en het gebruik ervan en de toegestane toegang door de andere partijij het vaststellen van eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten, behoren de volgende elementen in overweging te worden genomen:
@ -68,6 +74,5 @@ De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsover
Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
**Overige informatie**
### Overige informatie
Vertrouwelijkheids- en geheimhoudingsovereenkomsten beschermen informatie van de organisatie en informeren de ondertekenaars over hun verantwoordelijkheid om informatie op een verantwoordelijke en bevoegde manier te beschermen, te gebruiken en openbaar te maken.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-6.7-Werken-op-afstand.md
View file

@ -1,27 +1,39 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.7"
title: "Werken op afstand"
theme: People
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities:
- Asset_management
- Information_protection
- Physical_security
- System_and_network_security
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===================================================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescher- ming #Fysieke_beveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 6.7 Werken op afstand
### Beheersmaatregel
Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.
**Doel**
### Doel
De beveiliging van informatie waarborgen wanneer personeel op afstand werkt.
**Richtlijn**
### Richtlijn
Er is sprake van werken op afstand telkens wanneer personeel van de organisatie vanaf een locatie buiten het gebouw en/of terrein van de organisatie werkt en toegang maakt tot informatie, hetzij in gedrukte vorm of elektronisch via ICT-apparatuurmgevingen voor werken op afstand zijn onder andere omgevingen die worden aangeduid als 'telewerken', 'teleforenzen', 'flexibele werkplek', 'virtuele werkomgevingen' en 'onderhoud op afstand'.
@ -95,4 +107,3 @@ k) intrekking van bevoegdheid en toegangsrechten en het inleveren van apparatuur
van de werkactiviteiten op afstand.
**Overige informatie** Geen overige informatie.

43
Corpus/Standards/ISO27x/OST/27002/NL/a-6.8-Melden-van-informatiebeveiligingsgebeurtenissen.md
View file

@ -1,27 +1,35 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "6.8"
title: "Melden van informatiebeveiligingsgebeurtenissen"
theme: People
control_type: [Detective]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Detect]
operational_capabilities: [Information_security_event_management]
security_domains: [Defence]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 6.8 Melden van informatiebeveiligingsgebeurtenissen
### Beheersmaatregel
De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.
**Doel**
### Doel
Tijdige, consistente en doeltreffende melding ondersteunen van informatiebeveiligingsgebeurtenissen die door personeel kunnen worden geïdentificeerd.
**Richtlijn**
### Richtlijn
Al het personeel en alle gebruikers behoren bewust te worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te melden om het effect van informatiebeveiligingsincidenten te voorkomen of tot het minimum te beperkenij behoren ook te worden geïnformeerd over de procedure voor het melden van informatiebeveiligingsgebeurtenissen en het contactpunt waar de gebeurtenissen behoren te worden gemeldet meldmechanisme behoort zo eenvoudig, toegankelijk en beschikbaar mogelijk te zijnnformatiebeveiligingsgebeurtenissen zijn onder andere incidenten, inbreuken en kwetsbaarheden.
@ -54,8 +62,7 @@ j) vermoedelijke besmetting door malware.
Personeel en gebruikers behoort te worden geadviseerd niet te proberen om de vermeende aanwezigheid van kwetsbaarheden op het gebied van informatiebeveiliging aan te tonenet testen op kwetsbaarheden kan worden uitgelegd als potentieel misbruik van het systeem en kan ook schade veroorzaken aan het informatiesysteem en het kan digitaal bewijs corrumperen of aan het oog onttrekkeniteindelijk kan dit leiden tot wettelijke aansprakelijkheid voor de persoon die de tests uitvoert.
**Overige informatie**
### Overige informatie
Zie de ISO/IEC 27035-reeks voor aanvullende informatie.
# 7 Fysieke beheersmaatregelen

43
Corpus/Standards/ISO27x/OST/27002/NL/a-7.1-Fysieke-beveiligingszones.md
View file

@ -1,30 +1,38 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "7.1"
title: "Fysieke beveiligingszones"
theme: Physical
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities: [Physical_security]
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
## 7.1 Fysieke beveiligingszones
### Beheersmaatregel
Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiëren en te gebruiken.
**Doel**
### Doel
Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie voorkomen.
**Richtlijn**
### Richtlijn
Voor zover van toepassing behoren de volgende richtlijnen voor fysieke beveiligingszones te worden overwogen:
@ -36,8 +44,7 @@ b) beschikken over fysiek solide buitengrenzen voor een gebouw of locatie met in
c) alle branddeuren die deel uitmaken van een beveiligingszone, van alarmsystemen voorzien en ze in combinatie met de muren monitoren en testen om vast te stellen of ze het vereiste weerstandsniveau, overeenkomstig geschikte normen, biedene behoren faalveilig te werken.
**Overige informatie**
### Overige informatie
Fysieke bescherming kan worden verkregen door een of meer fysieke barrières rond het gebouw en/of terrein en de informatieverwerkende faciliteiten van de organisatie aan te brengen.
Een beveiligd gebied kan een afsluitbaar kantoor zijn of diverse ruimten omgeven door een ononderbroken interne fysieke beveiligingsbarrièreussen zones met verschillende beveiligingseisen binnen de beveiligingszone kunnen extra barrières en buitengrenzen nodig zijn om fysieke toegang te beheersene organisatie behoort te overwegen fysieke beveiligingsmaatregelen in te voeren die tijdens situaties waar er sprake is van een verhoogd dreigingsniveau kunnen worden versterkt.

45
Corpus/Standards/ISO27x/OST/27002/NL/a-7.10-Opslagmedia.md
View file

@ -1,30 +1,40 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
notetype: sourcetext
standard: ISO 27002
version: 2022
language: NL
type: control
id: "7.10"
title: "Opslagmedia"
theme: Physical
control_type: [Preventive]
information_security_properties:
- Confidentiality
- Integrity
- Availability
cybersecurity_concepts: [Protect]
operational_capabilities:
- Physical_security
- Asset_management
security_domains: [Protection]
tags:
- iso27002/2022/NL
- iso27002/2022/EN
status: active
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
## 7.10 Opslagmedia
### Beheersmaatregel
Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.
**Doel**
### Doel
Uitsluitend geoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van informatie op opslagmedia bewerkstelligen.
**Richtlijn**
### Richtlijn
<u>Verwijderbare opslagmedia</u>
@ -91,6 +101,5 @@ waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14).
**Overige informatie**
### Overige informatie
Als vertrouwelijke informatie op opslagmedia niet versleuteld is, behoort aanvullende fysieke bescherming van de opslagmedia te worden overwogen.

Some files were not shown because too many files have changed in this diff Show more