4.6 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
4.2 Thema's en attributen
De categorieën waarin beheersmaatregelen kunnen worden ingedeeld volgens de hoofdstukken 5 t/m 8 worden aangeduid als thema's.
Beheersmaatregelen worden ingedeeld in de categorieën:
a) mensgericht, als ze betrekking hebben op individuele personen;
b) fysiek, als ze betrekking hebben op fysieke objecten;
c) technologisch, als ze betrekking hebben op technologie;
d) organisatorisch, in de overige gevallen.
De organisatie kan attributen gebruiken om verschillende overzichten te creëren. Dit zijn verschillende indelingen in categorieën van beheersmaatregelen, gezien vanuit een ander perspectief op de thema's. Attributen kunnen worden gebruikt om beheersmaatregelen in verschillende overzichten te filteren, sorteren of presenteren voor verschillende doelgroepen. In bijlage A wordt uitgelegd hoe dit kan worden bereikt en wordt een voorbeeld van een overzicht gegeven.
Bij wijze van voorbeeld is elke beheersmaatregel in dit document gerelateerd aan vijf attributen met bijbehorende attribuutwaarden (voorafgegaan door '#' om ze opzoekbaar te maken) *). Dit is als volgt opgebouwd:
*) Nederlandse voetnoot: In deze vertaling zijn ook in 4.2 de attribuutwaarden van een '#' voorzien.
a) Type beheersmaatregel
Type beheersmaatregel is een attribuut om beheersmaatregelen te bezien vanuit het oogpunt van wanneer en hoe de beheersmaatregel tot veranderingen van het risico leidt met betrekking tot het zich voordoen van een informatiebeveiligingsincidente attribuutwaarden bestaan uit #Preventief (de beheersmaatregel is ervoor bedoeld te voorkomen dat er zich een informatiebeveiligingsincident voordoet), #Detectief (de beheersmaatregel treedt in werking wanneer er zich een informatiebeveiligingsincident voordoet) en #Corrigerend (de beheersmaatregel treedt in werking nadat er zich een informatiebeveiligingsincident heeft voorgedaan).
b) Informatiebeveiligingseigenschappen
Informatiebeveiligingseigenschappen is een attribuut om beheersmaatregelen te bezien vanuit het oogpunt: aan het behoud van welk kenmerk van informatie draagt de beheersmaatregel bij? De attribuutwaarden bestaan uit #Vertrouwelijkheid, #Integriteit en #Beschikbaarheid.
c) Cybersecurityconcepten
Cybersecurityconcepten is een attribuut om beheersmaatregelen te bekijken vanuit het oogpunt van het verband tussen beheersmaatregelen en de in het in ISO/IEC TS 27110 beschreven cybersecuritykader gedefinieerde cybersecurityconcepteneze attribuutwaarden bestaan uit #Identificeren, #Beschermen, #Detecteren, #Reageren en #Herstellen.
d) Operationele capaciteiten
Operationele capaciteiten is een attribuut om beheersmaatregelen te bekijken vanuit het perspectief van beroepsbeoefenaren op informatiebeveiligingscapaciteitene attribuutwaarden bestaan uit #Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen en #Borging_van_informatiebeveiliging.
e) Beveiligingsdomeinen
Beveiligingsdomeinen is een attribuut om beheersmaatregelen te bekijken vanuit het oogpunt van vier informatiebeveiligingsdomeinen: 'Governance_en_Ecosysteem' omvat 'Information System Security Governance & Risk Management' en 'Ecosystem cybersecurity management' (inclusief interne en externe belanghebbenden); 'Bescherming' omvat 'IT-beveiligingsarchitectuur', 'IT- beveiligingsbeheer', 'Identiteits- en toegangsbeheer', 'IT-beveiligingsonderhoud' en 'Fysieke en omgevingsbeveiliging'; 'Verdediging' omvat 'Detectie' en 'Computer Security Incident Management'; onder 'Veerkracht' (Resilience) wordt verstaan 'Continuïteit van de bedrijfsvoering' en 'Crisisbeheersing'e attribuutwaarden bestaan uit #Governance_en_Ecosysteem, #Bescherming, #Verdediging en #Veerkracht.
De in dit document vermelde attributen zijn gekozen op basis van het feit dat ze als generiek genoeg worden beschouwd om door verschillende soorten organisaties te worden gebruiktrganisaties kunnen ervoor kiezen een of meer van de in dit document vermelde attributen buiten beschouwing te latene kunnen ook zelf attributen (met de bijbehorende attribuutwaarden) aanmaken om hun eigen organisatieoverzichten te maken. Hoofdstuk A.2 bevat voorbeelden van dergelijke attributen.
Zie ook: ISO_27002_NL_Template_Attribuuttabel