6   Planning

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

6.1   Maatregelen om risico’s te beperken en kansen te benutten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

6.1.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde onderwerpen en de in 4.2 genoemde eisen overwegen, en de risico’s en kansen vaststellen die moeten worden aangepakt om:
  • a) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
  • b) ongewenste effecten te voorkomen of te beperken; en
  • c) continue verbetering te bereiken.
De organisatie moet:
  • d) maatregelen plannen om deze risico’s te beperken en kansen te benutten;
  • e) plannen op welke wijze:
    • 1) de maatregelen in haar managementsysteemprocessen voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en
    • 2) de doeltreffendheid van deze maatregelen moet worden geëvalueerd.

6.1.2   Risicobeoordeling van informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die:
  • a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
    • 1) de risicoacceptatiecriteria; en
    • 2) criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;
  • b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en vergelijkbare resultaten opleveren;
  • c) de informatiebeveiligingsrisico’s identificeert door:
    • 1) het risicobeoordelingsproces voor informatiebeveiliging toe te passen om de risico’s in verband met het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
    • 2) de risico-eigenaren te identificeren;
  • d) de informatiebeveiligingsrisico’s analyseert door:
    • 1) de potentiële gevolgen te beoordelen indien de risico’s die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;
    • 2) de realistische waarschijnlijkheid te beoordelen van het voorkomen van de risico’s die zijn vastgesteld in 6.1.2 c) 1); en
    • 3) de risiconiveaus vast te stellen;
  • e) de informatiebeveiligingsrisico’s evalueert door:
    • 1) de resultaten te vergelijken van risicoanalyses met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
    • 2) de geanalyseerde risico’s te prioriteren voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces van informatiebeveiliging.

6.1.3   Behandeling van informatiebeveiligingsrisico’s

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet een behandelprocedure voor informatiebeveiligingsrisico’s definiëren en toepassen om:
  • a) passende opties voor het behandelen van informatiebeveiligingsrisico’s te kiezen, rekening houdend met de resultaten van de risicobeoordeling;
  • b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor het behandelen van informatiebeveiligingsrisico’s te implementeren;

    OPMERKING Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.

  • c) de beheersmaatregelen die hiervoor in 6.1.3 b) zijn vastgesteld te vergelijken met die in bijlage A, en om te verifiëren dat geen noodzakelijke beheersmaatregelen zijn weggelaten;

    OPMERKING 1 Bijlage A bevat een uitgebreide lijst van beheersdoelstellingen en beheersmaatregelen. Gebruikers van deze norm worden verwezen naar bijlage A om te bewerkstelligen dat geen noodzakelijke beheersmaatregelen over het hoofd worden gezien.

    OPMERKING 2 Bij de gekozen beheersmaatregelen zijn beheersdoelstellingen impliciet begrepen. De in bijlage A opgesomde beheersdoelstellingen en beheersmaatregelen zijn niet uitputtend, en mogelijk zijn aanvullende beheersdoelstellingen en beheersmaatregelen nodig.

  • d) een verklaring van toepasselijkheid op te stellen die bevat:
    • de benodigde beheersmaatregelen (zie 6.1.3 b) en c));
    • een rechtvaardiging voor het opnemen ervan;
    • de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet, en
    • de rechtvaardiging voor het uitsluiten van in bijlage A genoemde beheersmaatregelen.
  • e) een behandelplan voor informatiebeveiligingsrisico te formuleren; en
  • f) van de risico-eigenaren goedkeuring te verkrijgen voor het behandelplan voor informatiebeveiligingsrisico en acceptatie van de overblijvende informatiebeveiligingsrisico’s.
De organisatie moet gedocumenteerde informatie bewaren over de behandelprocedure van informatiebeveiligingsrisico’s.

OPMERKING De beoordelings- en behandelprocedure van informatiebeveiligingsrisico’s in deze norm is in overeenstemming met de principes en algemene richtlijnen in NEN-ISO 31000.

6.2   Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoelstellingen vaststellen.
De informatiebeveiligingsdoelstellingen moeten:
  • a) consistent zijn met het informatiebeveiligingsbeleid;
  • b) meetbaar zijn (indien praktisch uitvoerbaar);
  • c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en resultaten van risicobeoordeling en -behandeling;
  • d) worden gecommuniceerd; en
  • e) indien van toepassing, worden geactualiseerd.
De organisatie moet gedocumenteerde informatie over de informatiebeveiligingsdoelstellingen bewaren.
Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:
  • f) wat er moet worden gedaan;
  • g) welke middelen er nodig zijn;
  • h) wie er verantwoordelijk is;
  • i) wanneer het moet zijn voltooid; en
  • j) hoe de resultaten zullen worden geëvalueerd.