#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---

In het kader van dit document zijn de volgende termen en definities van toepassing.

ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:

— ISO Online browsing platform: te bereiken op https://www.iso.org/obp
— IEC Electropedia: te bereiken op https://www.electropedia.org/


### 3.1.1 toegangsbeveiliging

middel om te zorgen dat fysieke en logische toegang tot *bedrijfsmiddelen* (32) wordt goedgekeurd en beperkt op basis van de eisen voor bedrijfsvoering en informatiebeveiliging

### 3.1.2 bedrijfsmiddel

alles wat waarde heeft voor de organisatie

Opmerking 1 bij de term: In de context van informatiebeveiliging kunnen twee soorten bedrijfsmiddelen worden onderscheiden:

- de primaire bedrijfsmiddelen:
    - informatie;
    - bedrijfs*processen* (3.1.27) en -activiteiten;
- de ondersteunende bedrijfsmiddelen (waarop de primaire bedrijfsmiddelen steunen) van allerlei soorten, bijvoorbeeld:
    - hardware;
    - software;
    - netwerk;
    - *personeel* (3.1.20);
    - locatie;
    - structuur van de organisatie.

### 3.1.3 aanval

geslaagde of mislukte onbevoegde poging om een *bedrijfsmiddel* (3.1.2) te vernietigen, aan te passen, buiten werking te stellen of er toegang toe te verkrijgen, of een poging om een *bedrijfsmiddel* (3.1.2) openbaar te maken, te stelen of er onbevoegd gebruik van te maken

### 3.1.4 authenticatie

het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek van een *entiteit* (3.1.11)

### 3.1.5 authenticiteit
eigenschap dat een *entiteit* (3.1.11) is wat zij claimt te zijn

### 3.1.6 bewakingsketen

aantoonba(a)r(e) bezit, verplaatsing, behandeling en locatie van materiaal vanaf een bepaald moment tot een ander moment

Opmerking 1 bij de term: Materiaal omvat informatie en andere gerelateerde *bedrijfsmiddelen* (3.1.2) in de context van ISO/IEC 27002.

[BRON: ISO/IEC 27050-1:2019, 3 gewijzigd -- Opmerking 1 bij de term toegevoegd]

### 3.1.7 vertrouwelijke informatie

informatie die niet bedoeld is om beschikbaar of bekend te worden gemaakt aan onbevoegde personen, *entiteiten* (3.1.11) of *processen* (3.1.27)

### 3.1.8 beheersmaatregel

maatregel die risico in stand houdt en/of wijzigt

Opmerking 1 bij de term: Een beheersmaatregel kan onder andere elke vorm van *proces* (3.1.27), *beleid* (3.1.24), voorziening, werkwijze of andere omstandigheid of maatregel zijn waarmee het risico in stand wordt gehouden en/of wordt gewijzigd.

Opmerking 2 bij de term: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde wijzigende effect.

[BRON: ISO 31000:2018, 3.10]

### 3.1.9 verstoring

incident, al dan niet geanticipeerd, dat een niet-geplande, negatieve afwijking van de verwachte levering van producten en diensten volgens de doelstellingen van een organisatie veroorzaakt

[BRON: ISO 22301:2019, 3.10]

### 3.1.10 'endpoint device'

met een netwerk verbonden informatie- en communicatietechnologie (ICT)-hardwareapparaat

Opmerking 1 bij de term: 'Endpoint device' kan verwijzen naar pc\'s, laptops, smartphones, tablets, thin clients, printers of andere specialistische hardware waaronder slimme meters en IoT- ('internet of things') apparaten.

### 3.1.11 entiteit

object dat relevant is voor het uitvoeringsdoel van een domein dat een herkenbaar onderscheiden bestaan heeft

Opmerking 1 bij de term: Een entiteit kan een fysieke of een logische belichaming hebben.

VOORBEELD Een persoon, een organisatie, een apparaat, een groep van dergelijke objecten, een menselijke

abonnee op een telecommunicatiedienst, een simkaart, een paspoort, een netwerkinterfacekaart, een softwaretoepassing, een dienst of een website.

[BRON: ISO/IEC 24760-1:2019, 3.1.1]

### 3.1.12 informatieverwerkende faciliteit

elk informatieverwerkend(e) systeem, dienst of infrastructuur of de fysieke locatie waar dit of deze is ondergebracht

[BRON: ISO/IEC 27000:2018, 3.27, gewijzigd -- faciliteiten is vervangen door faciliteit]

### 3.1.13 inbreuk op de informatiebeveiliging

compromittering van de informatiebeveiliging die leidt tot ongewenst(e) vernietiging, verlies, wijziging, bekendmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte beschermde informatie

### 3.1.14 informatiebeveiligingsgebeurtenis

voorval dat op een mogelijke *inbreuk op de informatiebeveiliging* (3.1.13) of een falen van *beheersmaatregelen* (3.1.8) duidt

[BRON: ISO/IEC 27035-1:2016, 3.3 gewijzigd -- niet relevant voor de Nederlandse vertaling]

### 3.1.15 informatiebeveiligingsincident

een of meer samenhangende en geïdentificeerde *informatiebeveiligingsgebeurtenissen* (3.1.14) die de *bedrijfsmiddelen* (3.1.2) van een organisatie kunnen schaden of haar bedrijfsvoering kunnen compromitteren

[BRON: ISO/IEC 27035-1:2016, 3.4]

### 3.1.16 beheer van informatiebeveiligingsincidenten

uitoefening van een consequente en doeltreffende aanpak bij het behandelen van *informatiebeveiligingsincidenten* (3.1.15)

[BRON: ISO/IEC 27035-1:2016, 3.5]

### 3.1.17 informatiesysteem

stelsel van toepassingen, diensten, informatietechnologische *bedrijfsmiddelen* (3.1.2) of andere gegevensverwerkende componenten

[BRON: ISO/IEC 27000:2018, 3.35]

### 3.1.18 belanghebbende
stakeholder

persoon of organisatie die een besluit of activiteit kan beïnvloeden, door een besluit of activiteit kan worden beïnvloed, of zichzelf beschouwt als beïnvloed door een besluit of activiteit

[BRON: ISO/IEC 27000:2018, 3.37]

### 3.1.19 onweerlegbaarheid

vermogen om te bewijzen dat een geclaimde gebeurtenis of actie zich heeft voorgedaan en welke *entiteiten* (3.1.11) deze hebben veroorzaakt

### 3.1.20 personeel

personen die onder leiding van de organisatie werk verrichten

Opmerking 1 bij de term: Het concept van personeel omvat de leden van de organisatie, zoals het bestuursorgaan, de directie, medewerkers, tijdelijke medewerkers, contractanten en vrijwilligers.

### 3.1.21 persoonsgegevens

alle informatie die a) kan worden gebruikt om een verband te leggen tussen de informatie en de natuurlijke persoon op wie die informatie betrekking heeft, of b) direct of indirect met een natuurlijke persoon in verband wordt of kan worden gebracht

Opmerking 1 bij de term: De 'natuurlijke persoon' in de definitie is de *betrokkene* (3.1.22) om vast te stellen of een betrokkene geïdentificeerd kan worden, behoort rekening te worden gehouden met alle middelen die redelijkerwijs door de privacystakeholder die de gegevens in bezit heeft of door een andere partij kunnen worden gebruikt om het verband te leggen tussen de verzameling persoonsgegevens en de natuurlijke persoon.

[BRON: ISO/IEC 29100:2011/Amd2018, 2.9]

### 3.1.22 betrokkene

natuurlijke persoon op wie de *persoonsgegevens* (3.1.21) betrekking hebben

Opmerking 1 bij de term: Afhankelijk van de jurisdictie en de specifieke databescherming- en privacywetgeving, kan het synoniem 'datasubject' worden gebruikt in plaats van de term 'betrokkene'.

[BRON: ISO/IEC 29100:2011, 2.11]

### 3.1.23 verwerker van persoonsgegevens

privacystakeholder die *persoonsgegevens* (3.1.21) namens en volgens de instructies van een verwerkingsverantwoordelijke verwerkt *)

[BRON: ISO/IEC 29100:2011, 2.12]

\*) Nederlandse voetnoot: Vgle definitie van Cyberveilig Nederland: 'De partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant)'

### 3.1.24 beleid

intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt

[BRON: ISO/IEC 27000:2018, 3.53]

### 3.1.25 privacy-effectbeoordeling **)
**PEB**

algeheel *proces* (3.1.27) van het identificeren, analyseren, evalueren, raadplegen, communiceren en plannen van de behandeling van mogelijke privacy-effecten met betrekking tot de verwerking van *persoonsgegevens* (3.1.21), ingekaderd binnen het bredere risicobeheerkader van een organisatie

[BRON: ISO/IEC 29134:2017, 3.7 gewijzigd -- Opmerking 1 bij de term verwijderd.]

\*\*) Nederlandse voetnoot: In Nederland wordt een DPIA ('Data Protection Impact Assessment') gehanteerden organisatie onderzoekt vooraf wat de risico\'s van gegevensverwerking zijn voor de privacy van personenit is vaak verplicht volgens de Algemene verordening gegevensbeschermingBron: Cyberveilig Nederland)

### 3.1.26 procedure

gespecificeerde wijze van uitvoering van een activiteit of *proces* (3.1.27)

[BRON: ISO 30000:2009, 3.12]

### 3.1.27 proces

geheel van samenhangende of elkaar beïnvloedende activiteiten die input gebruiken of omzetten om een resultaat te leveren

[BRON: ISO 9000:2015, 3.4.1, gewijzigd -- Opmerkingen bij de term verwijderd.]

### 3.1.28 registratie

informatie die als bewijs en als *bedrijfsmiddel* (3.1.2) wordt aangemaakt, ontvangen en onderhouden door een organisatie of persoon om wettelijke verplichtingen na te komen of voor zakelijke transacties

Opmerking 1 bij de term: Wettelijke verplichtingen omvatten in deze context alle eisen van wet- en regelgeving, statutaire en contractuele eisen.

[BRON: ISO 15489-1:2016, 3.14

### 3.1.29 RPO

punt in de tijd waarnaar gegevens moeten worden hersteld nadat er zich een *verstoring* (3.1.9) heeft voorgedaan

[BRON: ISO/IEC 27031:2011, 3.12]

### 3.1.30 hersteltijddoelstelling
recovery time objective
**RTO**

tijdsperiode waarbinnen minimale niveaus van diensten en/of producten en de ondersteunende systemen, toepassingen of functies moeten worden hersteld nadat er zich een *verstoring* (3.1.9) heeft voorgedaan

[BRON: ISO/IEC 27031:2011, 3.13]

### 3.1.31 betrouwbaarheid

eigenschap van consistent beoogd gedrag en consistente beoogde resultaten

### 3.1.32 regel

aanvaard beginsel of aanvaarde instructie waarin de verwachtingen van de organisatie over welke handelingen vereist zijn, wat is toegestaan of niet is toegestaan uiteen worden gezet

Opmerking 1 bij de term: Regels kunnen formeel kenbaar worden gemaakt in *onderwerpspecifieke beleidsregels* (3.1.35) en andere soorten documenten.

### 3.1.33 gevoelige informatie

informatie die dient te worden beschermd tegen het niet-beschikbaar zijn, onbevoegde toegang, wijziging of openbaarmaking vanwege mogelijke nadelige gevolgen voor een persoon, organisatie, de nationale veiligheid of de openbare veiligheid

### 3.1.34 dreiging \*)

potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een organisatie

[BRON: ISO/IEC 27000:2018, 3.74]

\*) Nederlandse voetnoot: In NEN-ISO/IEC 27000 vertaald als 'bedreiging', maar tegenwoordig heeft de term 'dreiging' de voorkeur.

### 3.1.35 onderwerpspecifiek beleid

oogmerken en sturing voor een specifiek onderwerp of thema, zoals formeel kenbaar gemaakt door het passende managementniveau

Opmerking 1 bij de term: Onderwerpspecifieke beleidsregels kunnen formeel *regels* (3.1.32) of normen van de organisatie kenbaar maken.

Opmerking 2 bij de term: Bepaalde organisaties gebruiken andere termen voor deze onderwerpspecifieke beleidsregels.

Opmerking 3 bij de term: De onderwerpspecifieke beleidsregels waarnaar in dit document wordt verwezen, houden verband met informatiebeveiliging.

VOORBEELD Onderwerpspecifiek beleid inzake *toegangsbeveiliging* (3.1.1), onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen'.

### 3.1.36 gebruiker

*belanghebbende* (3.1.18) met toegang tot de *informatiesystemen* (3.1.17) van de organisatie

VOORBEELD *Personeel* (3.1.20), klanten, leveranciers.

### 3.1.37 'endpoint device' van gebruiker

*'endpoint device'* (3.1.10) waarmee gebruikers toegang krijgen tot informatieverwerkende diensten

Opmerking 1 bij de term: 'Endpoint device' van gebruiker kan verwijzen naar pc's, laptops, smartphones, tablets, thin clients enz.

### 3.1.38 kwetsbaarheid

zwak punt van een *bedrijfsmiddel* (3.1.2) of *beheersmaatregel* (3.1.8) waar een of meer *dreigingen* (3.1.34) gebruik van kunnen maken

[BRON: ISO/IEC 27000:2018, 3.77]