Een derdenverklaring gebaseerd op ISO 27k of NEN 7510
Bent u er klaar voor? Nieuws

BIR2017 vereist? ... Advies Baseline Informatiebeveiliging Rijksdienst

BIR2017 - Baseline Informatiebeveiliging Rijksdienst (vastgesteld in 2017) is een tactisch normenkader voor inrichting en toepassing van informatiebeveiliging. De BIR geldt voor de rijksdienst (waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen). De BIR2017 vervangt de BIR:2012 en is per 1 januari 2018 van kracht voor alle nieuwe informatiesystemen. 

De BIR is geheel gestructureerd volgens NEN/ISO 27001, bijlage A en NEN/ISO 27002, de internationale normen voor informatiebeveiliging.


BIR2017 - Fit Gap analyse voor externen

Als de rijkdienst werkzaamheden uitbesteedt aan derden, wordt een Fit Gap analyse vereist. Deze analyse is gestructureerd volgens de bijlage A van NEN / ISO27001 en gebaseerd op het BasisBeveiligingsNiveau BBN 1, 2, 3. De BBN 1 bevat 143 maatregelen ('controls'), waarvan 100 uit ISO27001. BBN 2/3 bevat 199 maatregelen, waarvan 112 uit ISO27001.
Kennis van de ISO27001 is daarvoor nodig, zoals welke documenten verplicht zijn.


Wat zijn nu de verplichte documenten?

De Fit Gap analyse is baseerd op bijlage A (Annex A) uit de ISO 27001. Deze bevat een aantal verplichte documenten. Hieronder staat een overzicht van alle verplichte documenten uit de ISO27001. De documenten uit bijlage A zijn vetgedrukt.


Voorbeelden

Voorbeelden van deze verplichte documenten, evenals een spreadsheet met alle verplichte documenten, staan in deze managementsystemen, ISMS - Information Security Management System: demo ISMS ISO 27001 (UK) en demo ISMS NEN 7510 (NEN7510 is de norm mbt informatiebeveiliging voor de zorg).


Hieronder staat een overzicht verplichte documenten met een verwijzing naar het relevante norm-onderdeel:

  ISO27001:2013
Gedocumenteerde informatie Onderdeel
Scope van het ISMS 4.3
Informatiebeveiligingsbeleid en doelen 5.2, 6.2
Risk analyse, - behandeling en -methode 6.1.2
Verklaring van toepasselijkheid 6.1.3 d
Risicobehandelplan 6.1.3e, 6.2
Procedure gedocumenteerde informatie 7.5.3
Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging A7.1.2, A13.2.4
Eisen mbt vertrouwelijkheid en non-disclosure agreements A7.1.2
Gebruik van bedrijfsmiddelen A8.1.1
Aanvaardbaar gebruik van bedrijfsmiddelen A8.1.3
Logisch toegangsbeleid A9.1.1
Fysieke beveiliging: zones, procedures beveiligde ruimten A11.1
Operationele procedures voor IT management A12.1.1
Procedure back-up and restore A12.3.1
Principes voor engineering  A14.2.5
Beleid informatiebeveiliging toeleveranciers A15.1.1
Incident management procedure A16.1.5
Business continuity procedures A17.1.2
Eisen mbt wet- en regelgeving A18.1.1

 
Registraties van trainingen, skills, ervaring en kwalificaties 7.2
Monitoring and meetresultaten 9.1
Internal audit programma 9.2
Resultaten van internal audits 9.2
Resultaten van management review 9.3
Resultaten van correctieve acties 10.1
Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen A7.1.2
Logging van gebruikers activiteiten, uitzonderingen en security events A12.4.1, A12.4.3

 

QuickScan
Share |