3.2 KiB
0 Inleiding
- Algemeen
Dit document is opgesteld om te voorzien in eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. De invoering van een managementsysteem voor informatiebeveiliging is een strategische beslissing van de organisatie. Het inrichten en implementeren van het managementsysteem voor informatiebeveiliging van een organisatie wordt beïnvloed door de behoeften en doelstellingen van de organisatie, beveiligingseisen, de organisatieprocessen die worden toegepast en de omvang en structuur van de organisatie. Naar verwachting veranderen al deze factoren die van invloed zijn, in de loop van de tijd.
Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico's afdoende worden beheerst.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is in de processen en algehele managementstructuur van de organisatie en dat informatiebeveiliging in aanmerking wordt genomen tijdens het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de schaalgrootte van een managementsysteem voor informatiebeveiliging wordt afgestemd op de behoeften van de organisatie.
Zowel interne als externe partijen kunnen dit document gebruiken om te beoordelen in welke mate de organisatie in staat is aan haar eigen informatiebeveiligingseisen te voldoen.
De volgorde waarin eisen in dit document worden gepresenteerd, zegt niets over het belang ervan of over de volgorde waarin ze moeten worden geïmplementeerd. De nummering van punten in lijsten is alleen voor referentiedoeleinden.
ISO/IEC 27000 beschrijft het overzicht en het vocabulaire van managementsystemen voor informatiebeveiliging, waarbij wordt verwezen naar de normenfamilie voor managementsystemen voor informatiebeveiliging (waaronder ISO/IEC 27003 [2], ISO/IEC 27004 [3] en ISO/IEC 27005 [4]), met de desbetreffende termen en definities.
- Compatibiliteit met andere managementsysteemnormen
Dit document past de in bijlage SL bij ISO/IEC Directives, Part 1, Consolidated ISO Supplement gedefinieerde hoofdstructuur, identieke paragraaftitels, identieke tekst, gemeenschappelijke termen en kerndefinities toe en behoudt daardoor compatibiliteit met andere managementsysteemnormen waarop bijlage SL is toegepast.
Deze in bijlage SL gedefinieerde gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen één managementsysteem uit te voeren dat aan de eisen van twee of meer managementsysteemnormen voldoet. 1)
]{#_bookmark3 .anchor}1) Nederlandse voetnoot: Om de gebruikers van meerdere managementsysteemnormen van dienst te zijn, is in deze norm de identieke kerntekst door een (kleur)markering onderscheiden van de aanvullende voor informatiebeveiliging specifieke tekst. De [gele markering betreft de identieke kerntekst.
Informatiebeveiliging, cybersecurity en bescherming van de privacy
--- Managementsysteem voor informatiebeveiliging --- Eisen