Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
6.5 Risicobehandeling en maatregelenselectie
Huidige tekst
Er worden na de risicoanalyse passende beheersmaatregelen geselecteerd om risico’s te beheersen. NEN-EN-ISO/IEC 27001, bijlage A (normatief) Referentie voor beheersmaatregelen voor informatiebeveiliging, biedt een reeks beheersmaatregelen, die nader uitgewerkt zijn in NEN-EN-ISO/IEC 27002. De BIO vult deze aan met verplicht toe te passen overheidsmaatregelen die aansluiten op de context van de overheid. Deze overheidsmaatregelen zijn altijd verplicht en kunnen ongeacht de risico-inschatting van de entiteit niet geaccepteerd worden, tenzij ze niet van toepassing kunnen zijn.
Voorgestelde tekst
Voorstel: verduidelijk dat de beheersmaatregelen uit ISO 27002 niet verplicht zijn, maar meegenomen moeten worden op basis van een risicoanalyse en dat de implementatiewijze uit ISO 27002 wordt gezien als best-practice.
Constatering + argumentatie
/
Verwachte impact
/
Opmerkingen
Dit BIO-wijzigingsverzoek is niet rechtstreeks via GitHub ingediend, maar ontvangen via een alternatieve route. Voor de volledigheid heeft CIP als beheerder van de BIO-repository in GitHub dit verzoek - van een andere indiener - opgenomen in GitHub voor transparantie en een totaaloverzicht.
Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
6.5 Risicobehandeling en maatregelenselectie
Huidige tekst
Er worden na de risicoanalyse passende beheersmaatregelen geselecteerd om risico’s te beheersen. NEN-EN-ISO/IEC 27001, bijlage A (normatief) Referentie voor beheersmaatregelen voor informatiebeveiliging, biedt een reeks beheersmaatregelen, die nader uitgewerkt zijn in NEN-EN-ISO/IEC 27002. De BIO vult deze aan met verplicht toe te passen overheidsmaatregelen die aansluiten op de context van de overheid. Deze overheidsmaatregelen zijn altijd verplicht en kunnen ongeacht de risico-inschatting van de entiteit niet geaccepteerd worden, tenzij ze niet van toepassing kunnen zijn.
Voorgestelde tekst
Voorstel: verduidelijk dat de beheersmaatregelen uit ISO 27002 niet verplicht zijn, maar meegenomen moeten worden op basis van een risicoanalyse en dat de implementatiewijze uit ISO 27002 wordt gezien als best-practice.
Constatering + argumentatie
/
Verwachte impact
/
Opmerkingen
Dit BIO-wijzigingsverzoek is niet rechtstreeks via GitHub ingediend, maar ontvangen via een alternatieve route. Voor de volledigheid heeft CIP als beheerder van de BIO-repository in GitHub dit verzoek - van een andere indiener - opgenomen in GitHub voor transparantie en een totaaloverzicht.