12 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
In het kader van dit document zijn de volgende termen en definities van toepassing.
ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
— ISO Online browsing platform: te bereiken op https://www.iso.org/obp — IEC Electropedia: te bereiken op https://www.electropedia.org/
3.1.1 toegangsbeveiliging
middel om te zorgen dat fysieke en logische toegang tot bedrijfsmiddelen (32) wordt goedgekeurd en beperkt op basis van de eisen voor bedrijfsvoering en informatiebeveiliging
3.1.2 bedrijfsmiddel
alles wat waarde heeft voor de organisatie
Opmerking 1 bij de term: In de context van informatiebeveiliging kunnen twee soorten bedrijfsmiddelen worden onderscheiden:
- de primaire bedrijfsmiddelen:
- informatie;
- bedrijfsprocessen (3.1.27) en -activiteiten;
- de ondersteunende bedrijfsmiddelen (waarop de primaire bedrijfsmiddelen steunen) van allerlei soorten, bijvoorbeeld:
- hardware;
- software;
- netwerk;
- personeel (3.1.20);
- locatie;
- structuur van de organisatie.
3.1.3 aanval
geslaagde of mislukte onbevoegde poging om een bedrijfsmiddel (3.1.2) te vernietigen, aan te passen, buiten werking te stellen of er toegang toe te verkrijgen, of een poging om een bedrijfsmiddel (3.1.2) openbaar te maken, te stelen of er onbevoegd gebruik van te maken
3.1.4 authenticatie
het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek van een entiteit (3.1.11)
3.1.5 authenticiteit
eigenschap dat een entiteit (3.1.11) is wat zij claimt te zijn
3.1.6 bewakingsketen
aantoonba(a)r(e) bezit, verplaatsing, behandeling en locatie van materiaal vanaf een bepaald moment tot een ander moment
Opmerking 1 bij de term: Materiaal omvat informatie en andere gerelateerde bedrijfsmiddelen (3.1.2) in de context van ISO/IEC 27002.
[BRON: ISO/IEC 27050-1:2019, 3 gewijzigd -- Opmerking 1 bij de term toegevoegd]
3.1.7 vertrouwelijke informatie
informatie die niet bedoeld is om beschikbaar of bekend te worden gemaakt aan onbevoegde personen, entiteiten (3.1.11) of processen (3.1.27)
3.1.8 beheersmaatregel
maatregel die risico in stand houdt en/of wijzigt
Opmerking 1 bij de term: Een beheersmaatregel kan onder andere elke vorm van proces (3.1.27), beleid (3.1.24), voorziening, werkwijze of andere omstandigheid of maatregel zijn waarmee het risico in stand wordt gehouden en/of wordt gewijzigd.
Opmerking 2 bij de term: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde wijzigende effect.
[BRON: ISO 31000:2018, 3.10]
3.1.9 verstoring
incident, al dan niet geanticipeerd, dat een niet-geplande, negatieve afwijking van de verwachte levering van producten en diensten volgens de doelstellingen van een organisatie veroorzaakt
[BRON: ISO 22301:2019, 3.10]
3.1.10 'endpoint device'
met een netwerk verbonden informatie- en communicatietechnologie (ICT)-hardwareapparaat
Opmerking 1 bij de term: 'Endpoint device' kan verwijzen naar pc's, laptops, smartphones, tablets, thin clients, printers of andere specialistische hardware waaronder slimme meters en IoT- ('internet of things') apparaten.
3.1.11 entiteit
object dat relevant is voor het uitvoeringsdoel van een domein dat een herkenbaar onderscheiden bestaan heeft
Opmerking 1 bij de term: Een entiteit kan een fysieke of een logische belichaming hebben.
VOORBEELD Een persoon, een organisatie, een apparaat, een groep van dergelijke objecten, een menselijke
abonnee op een telecommunicatiedienst, een simkaart, een paspoort, een netwerkinterfacekaart, een softwaretoepassing, een dienst of een website.
[BRON: ISO/IEC 24760-1:2019, 3.1.1]
3.1.12 informatieverwerkende faciliteit
elk informatieverwerkend(e) systeem, dienst of infrastructuur of de fysieke locatie waar dit of deze is ondergebracht
[BRON: ISO/IEC 27000:2018, 3.27, gewijzigd -- faciliteiten is vervangen door faciliteit]
3.1.13 inbreuk op de informatiebeveiliging
compromittering van de informatiebeveiliging die leidt tot ongewenst(e) vernietiging, verlies, wijziging, bekendmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte beschermde informatie
3.1.14 informatiebeveiligingsgebeurtenis
voorval dat op een mogelijke inbreuk op de informatiebeveiliging (3.1.13) of een falen van beheersmaatregelen (3.1.8) duidt
[BRON: ISO/IEC 27035-1:2016, 3.3 gewijzigd -- niet relevant voor de Nederlandse vertaling]
3.1.15 informatiebeveiligingsincident
een of meer samenhangende en geïdentificeerde informatiebeveiligingsgebeurtenissen (3.1.14) die de bedrijfsmiddelen (3.1.2) van een organisatie kunnen schaden of haar bedrijfsvoering kunnen compromitteren
[BRON: ISO/IEC 27035-1:2016, 3.4]
3.1.16 beheer van informatiebeveiligingsincidenten
uitoefening van een consequente en doeltreffende aanpak bij het behandelen van informatiebeveiligingsincidenten (3.1.15)
[BRON: ISO/IEC 27035-1:2016, 3.5]
3.1.17 informatiesysteem
stelsel van toepassingen, diensten, informatietechnologische bedrijfsmiddelen (3.1.2) of andere gegevensverwerkende componenten
[BRON: ISO/IEC 27000:2018, 3.35]
3.1.18 belanghebbende
stakeholder
persoon of organisatie die een besluit of activiteit kan beïnvloeden, door een besluit of activiteit kan worden beïnvloed, of zichzelf beschouwt als beïnvloed door een besluit of activiteit
[BRON: ISO/IEC 27000:2018, 3.37]
3.1.19 onweerlegbaarheid
vermogen om te bewijzen dat een geclaimde gebeurtenis of actie zich heeft voorgedaan en welke entiteiten (3.1.11) deze hebben veroorzaakt
3.1.20 personeel
personen die onder leiding van de organisatie werk verrichten
Opmerking 1 bij de term: Het concept van personeel omvat de leden van de organisatie, zoals het bestuursorgaan, de directie, medewerkers, tijdelijke medewerkers, contractanten en vrijwilligers.
3.1.21 persoonsgegevens
alle informatie die a) kan worden gebruikt om een verband te leggen tussen de informatie en de natuurlijke persoon op wie die informatie betrekking heeft, of b) direct of indirect met een natuurlijke persoon in verband wordt of kan worden gebracht
Opmerking 1 bij de term: De 'natuurlijke persoon' in de definitie is de betrokkene (3.1.22) om vast te stellen of een betrokkene geïdentificeerd kan worden, behoort rekening te worden gehouden met alle middelen die redelijkerwijs door de privacystakeholder die de gegevens in bezit heeft of door een andere partij kunnen worden gebruikt om het verband te leggen tussen de verzameling persoonsgegevens en de natuurlijke persoon.
[BRON: ISO/IEC 29100:2011/Amd2018, 2.9]
3.1.22 betrokkene
natuurlijke persoon op wie de persoonsgegevens (3.1.21) betrekking hebben
Opmerking 1 bij de term: Afhankelijk van de jurisdictie en de specifieke databescherming- en privacywetgeving, kan het synoniem 'datasubject' worden gebruikt in plaats van de term 'betrokkene'.
[BRON: ISO/IEC 29100:2011, 2.11]
3.1.23 verwerker van persoonsgegevens
privacystakeholder die persoonsgegevens (3.1.21) namens en volgens de instructies van een verwerkingsverantwoordelijke verwerkt *)
[BRON: ISO/IEC 29100:2011, 2.12]
*) Nederlandse voetnoot: Vgle definitie van Cyberveilig Nederland: 'De partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant)'
3.1.24 beleid
intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
[BRON: ISO/IEC 27000:2018, 3.53]
3.1.25 privacy-effectbeoordeling **)
PEB
algeheel proces (3.1.27) van het identificeren, analyseren, evalueren, raadplegen, communiceren en plannen van de behandeling van mogelijke privacy-effecten met betrekking tot de verwerking van persoonsgegevens (3.1.21), ingekaderd binnen het bredere risicobeheerkader van een organisatie
[BRON: ISO/IEC 29134:2017, 3.7 gewijzigd -- Opmerking 1 bij de term verwijderd.]
**) Nederlandse voetnoot: In Nederland wordt een DPIA ('Data Protection Impact Assessment') gehanteerden organisatie onderzoekt vooraf wat de risico's van gegevensverwerking zijn voor de privacy van personenit is vaak verplicht volgens de Algemene verordening gegevensbeschermingBron: Cyberveilig Nederland)
3.1.26 procedure
gespecificeerde wijze van uitvoering van een activiteit of proces (3.1.27)
[BRON: ISO 30000:2009, 3.12]
3.1.27 proces
geheel van samenhangende of elkaar beïnvloedende activiteiten die input gebruiken of omzetten om een resultaat te leveren
[BRON: ISO 9000:2015, 3.4.1, gewijzigd -- Opmerkingen bij de term verwijderd.]
3.1.28 registratie
informatie die als bewijs en als bedrijfsmiddel (3.1.2) wordt aangemaakt, ontvangen en onderhouden door een organisatie of persoon om wettelijke verplichtingen na te komen of voor zakelijke transacties
Opmerking 1 bij de term: Wettelijke verplichtingen omvatten in deze context alle eisen van wet- en regelgeving, statutaire en contractuele eisen.
[BRON: ISO 15489-1:2016, 3.14
3.1.29 RPO
punt in de tijd waarnaar gegevens moeten worden hersteld nadat er zich een verstoring (3.1.9) heeft voorgedaan
[BRON: ISO/IEC 27031:2011, 3.12]
3.1.30 hersteltijddoelstelling
recovery time objective RTO
tijdsperiode waarbinnen minimale niveaus van diensten en/of producten en de ondersteunende systemen, toepassingen of functies moeten worden hersteld nadat er zich een verstoring (3.1.9) heeft voorgedaan
[BRON: ISO/IEC 27031:2011, 3.13]
3.1.31 betrouwbaarheid
eigenschap van consistent beoogd gedrag en consistente beoogde resultaten
3.1.32 regel
aanvaard beginsel of aanvaarde instructie waarin de verwachtingen van de organisatie over welke handelingen vereist zijn, wat is toegestaan of niet is toegestaan uiteen worden gezet
Opmerking 1 bij de term: Regels kunnen formeel kenbaar worden gemaakt in onderwerpspecifieke beleidsregels (3.1.35) en andere soorten documenten.
3.1.33 gevoelige informatie
informatie die dient te worden beschermd tegen het niet-beschikbaar zijn, onbevoegde toegang, wijziging of openbaarmaking vanwege mogelijke nadelige gevolgen voor een persoon, organisatie, de nationale veiligheid of de openbare veiligheid
3.1.34 dreiging *)
potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een organisatie
[BRON: ISO/IEC 27000:2018, 3.74]
*) Nederlandse voetnoot: In NEN-ISO/IEC 27000 vertaald als 'bedreiging', maar tegenwoordig heeft de term 'dreiging' de voorkeur.
3.1.35 onderwerpspecifiek beleid
oogmerken en sturing voor een specifiek onderwerp of thema, zoals formeel kenbaar gemaakt door het passende managementniveau
Opmerking 1 bij de term: Onderwerpspecifieke beleidsregels kunnen formeel regels (3.1.32) of normen van de organisatie kenbaar maken.
Opmerking 2 bij de term: Bepaalde organisaties gebruiken andere termen voor deze onderwerpspecifieke beleidsregels.
Opmerking 3 bij de term: De onderwerpspecifieke beleidsregels waarnaar in dit document wordt verwezen, houden verband met informatiebeveiliging.
VOORBEELD Onderwerpspecifiek beleid inzake toegangsbeveiliging (3.1.1), onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen'.
3.1.36 gebruiker
belanghebbende (3.1.18) met toegang tot de informatiesystemen (3.1.17) van de organisatie
VOORBEELD Personeel (3.1.20), klanten, leveranciers.
3.1.37 'endpoint device' van gebruiker
'endpoint device' (3.1.10) waarmee gebruikers toegang krijgen tot informatieverwerkende diensten
Opmerking 1 bij de term: 'Endpoint device' van gebruiker kan verwijzen naar pc's, laptops, smartphones, tablets, thin clients enz.
3.1.38 kwetsbaarheid
zwak punt van een bedrijfsmiddel (3.1.2) of beheersmaatregel (3.1.8) waar een of meer dreigingen (3.1.34) gebruik van kunnen maken
[BRON: ISO/IEC 27000:2018, 3.77]