5.1 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+==============================+============================================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en_ Ecosysteem #Bescherming | +------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
Beheersmaatregel
Eisen van wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen behoren te worden vastgesteld, gedocumenteerd en actueel gehouden.
Doel
De naleving bewerkstelligen van wettelijke, statutaire, regelgevende en contractuele eisen in verband met informatiebeveiliging.
Richtlijn
Algemeen
Externe eisen, met inbegrip van wettelijke, statutaire, regelgevende en contractuele eisen behoren in aanmerking te worden genomen bij het:
a) ontwikkelen van informatiebeveiligingsbeleid en -procedures;
b) ontwerpen, implementeren of wijzigen van beheersmaatregelen voor informatiebeveiliging;
c) classificeren van informatie en andere gerelateerde bedrijfsmiddelen in het kader van het proces voor het vaststellen van informatiebeveiligingseisen voor interne behoeften of voor overeenkomsten met leveranciers;
d) uitvoeren van risicobeoordelingen met het oog op informatiebeveiliging en het vaststellen van de
activiteiten voor de behandeling van informatiebeveiligingsrisico's;
e) vaststellen van processen plus de bijbehorende rollen en verantwoordelijkheden met betrekking
tot informatiebeveiliging;
f) vaststellen van de contractuele eisen voor leveranciers die relevant zijn voor de organisatie en de
reikwijdte van de levering van producten en diensten.
Wet- en regelgeving
De organisatie behoort:
a) alle wet- en regelgeving te identificeren die relevant zijn voor de informatiebeveiliging van de
organisatie om op de hoogte te zijn van de eisen voor haar soort bedrijf;
b) het voldoen eraan in alle relevante landen in aanmerking te nemen, indien de organisatie: --- zaken doet in andere landen;
--- producten en diensten gebruikt uit andere landen waar wet- en regelgeving van invloed kunnen
zijn op de organisatie;
--- informatie over de grenzen van rechtsgebieden transporteert waar wet- en regelgeving van
invloed kunnen zijn op de organisatie;
c) de geïdentificeerde wet- en regelgeving regelmatig te beoordelen om op de hoogte te blijven van
wijzigingen en nieuwe wetgeving te identificeren;
d) de specifieke processen en individuele verantwoordelijkheden om aan deze eisen te voldoen te
definiëren en documenteren.
Cryptografie
Cryptografie is een gebied waarvoor vaak specifieke wettelijke eisen geldenet naleven van de relevante overeenkomsten en wet- en regelgeving met betrekking tot de volgende punten behoort in aanmerking te worden genomen:
a) beperkingen op de import of export van computerhardware en -software voor het uitvoeren van
cryptografische functies;
b) beperkingen op de import of export van computerhardware en -software die zo zijn ontworpen dat
er cryptografische functies aan kunnen worden toegevoegd;
c) beperkingen op de toepassing van cryptografie;
d) verplichte of discretionaire methoden voor de toegang van de overheidsinstanties van de landen tot
versleutelde informatie;
e) geldigheid van digitale handtekeningen, zegels en certificaten.
Het wordt aanbevolen juridisch advies in te winnen om ervoor te zorgen dat de relevante wet- en regelgeving wordt nageleefd, vooral wanneer versleutelde informatie of cryptografie-instrumenten tot voorbij de grenzen van rechtsgebieden worden verplaatst.
Contracten
Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omvatten die zijn vermeld in:
a) contracten met klanten;
b) contracten met leveranciers (zie 5.20);
c) verzekeringscontracten.
Overige informatie Geen overige informatie.