richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/c-7.5.md

2.3 KiB
Raw Blame History

7.5 Gedocumenteerde informatie

  1. Algemeen

Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:

a) de gedocumenteerde informatie die dit document vereist; en

b) de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.

OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:

  1. de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;

  2. de complexiteit van de processen en hun interacties; en

  3. de competentie van de mensen.

    1. Creëren en actualiseren

Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor (een) passend(e):

a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);

b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en

c) beoordeling en goedkeuring van geschiktheid en toereikendheid.

1.  **Beheersing van gedocumenteerde informatie**

Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en dit document vereisen, moet worden beheerst om te bewerkstelligen dat:

a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is; en

b) de informatie afdoende is beveiligd (bijv. tegen het verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).

Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:

c) distributie, toegang, het terugvinden alsmede het gebruik;

d) opslag en behoud, inclusief behoud van leesbaarheid;

e) beheersing van wijzigingen (bijv. versiebeheer); en

f) bewaring en vernietiging.

Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging moet bij de situatie passend worden geïdentificeerd, en worden beheerst.

OPMERKING Toegang kan impliceren een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen enz.