| ID | Conformiteitsindicator | naam | ElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden. |
|---|
| APO_U.08.01 | (Industrie) good practice | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm |
| APO_U.08.02 | (Industrie) good practice | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Norm |
| APO_U.08.03 | (Industrie) good practice | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm |
| APO_U.08.04 | (Industrie) good practice | Geen gebruik van onveilig programmatechnieken | Norm |
| APO_U.08.05 | (Industrie) good practice | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm |
| APO_U.08.06 | (Industrie) good practice | Activiteiten van applicatiebouw worden gereviewd | Norm |
| APO_U.08 | (Industrie) good practice, juiste vaardigheden en tools | Applicatiebouw | Beveiligingsprincipe |
| APO_U.06.03 | (Specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm |
| CLD_B.01.06 | Aanpak | Vaststellen alle van toepassing zijnde wet- en regelgeving | Norm |
| CLD_C.03.06 | Aansluiting | Aansluiten uitkomsten uit diverse rapportages e.d. | Norm |
| APO_U.10 | Acceptatietests | Systeemacceptatietest | Beveiligingsprincipe |
| APO_U.10.01 | Acceptatietests | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Norm |
| APO_U.10.02 | Acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt | Norm |
| APO_U.10.03 | Acceptatietests | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm |
| APO_U.10.04 | Acceptatietests | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Norm |
| APO_U.10.05 | Acceptatietests | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm |
| APO_U.10.06 | Acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm |
| APO_U.10.07 | Acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm |
| SWP_U.01.01 | Adviseren | Afspreken procedure voor tijdig actualiseren verouderde software | Norm |
| APO_U.15.01 | Applicatie-architectuur | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | Norm |
| APO_U.15.02 | Applicatie-architectuur | Het architectuur document wordt actief onderhouden | Norm |
| APO_U.15.03 | Applicatie-architectuur | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | Norm |
| APO_U.15 | Applicatie-architectuur, samenhang | Applicatie-architectuur | Beveiligingsprincipe |
| SVP_B.03.01 | Architectuurdocument | Eisen aan het architectuurdocument van het in te richten van het serverplatform | Norm |
| SVP_B.03.02 | Architectuurdocument | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen | Norm |
| SWP_B.06.01 | Architectuurlandschap | Ondersteunen proces voor beveilgingsmechnismen | Norm |
| HVI_U.12.01 | Architectuurvoorschriften | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden | Norm |
| HVI_U.12.02 | Architectuurvoorschriften | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd | Norm |
| APO_B.05.03 | Aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm |
| CLD_C.03.04 | Assurance | Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten | Norm |
| CLD_C.03.05 | Assurance | Betrekken cloud-omgeving en administratie bij assessment | Norm |
| SWP_C.01.03 | Auditen | Uitvoeren leveranciersaudits | Norm |
| SWP_C.01.04 | Auditen | Geven inzicht in verslaglegging leveranciersaudits | Norm |
| SWP_C.01.05 | Auditen | Oplossen en beheren problemen | Norm |
| CVZ_U.14.01 | Authenticatie van netwerknodes | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd | Norm |
| CVZ_U.14.02 | Authenticatie van netwerknodes | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen | Norm |
| CVZ_U.12.01 | Authenticatie, autorisatie en versleuteling | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken | Norm |
| TBV_B.04.01 | Authenticatie-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling | Norm |
| TBV_U.08.01 | Authenticatie-informatie | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode | Norm |
| TBV_U.08.02 | Authenticatie-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld | Norm |
| SWP_U.05.01 | Authentiek | Niet hergebruiken token-sessies | Norm |
| SWP_U.05.02 | Authentiek | Genereren nieuwe sessie met gebruikersauthenticatie | Norm |
| TBV_U.10.03 | Autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd | Norm |
| TBV_U.10.04 | Autorisatiefaciliteiten | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties | Norm |
| SWP_U.09.01 | Autorisatiemechanisme | Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak | Norm |
| SWP_U.09.02 | Autorisatiemechanisme | Beschermen beheer(ders)functies | Norm |
| SWP_U.10.01 | Autorisaties | Ordenen rechten voor toegang tot gegevens en functies | Norm |
| TBV_U.10.01 | Autorisatievoorzieningen | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet | Norm |
| MDW_U.10 | Back-upkopieën | Dataherstel | Beveiligingsprincipe |
| SVP_U.01 | Bedieningsprocedures | Bedieningsprocedure | Beveiligingsprincipe |
| SVP_U.01.01 | Bedieningsprocedures | Gedocumenteerde procedures voor bedieningsactiviteiten | Norm |
| SVP_U.01.02 | Bedieningsprocedures | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten | Norm |
| SVP_U.01.03 | Bedieningsprocedures | In de bedieningsprocedures opgenomen bedieningsvoorschriften | Norm |
| SWP_B.04.01 | Bedrijfs- en beveiligingsfuncties | Betrekken stakeholders bij afleiden bedrijfsfuncties | Norm |
| SWP_B.04.02 | Bedrijfs- en beveiligingsfuncties | Toepassen methoden voor gegevensimpactanalyse | Norm |
| SWP_B.04.03 | Bedrijfs- en beveiligingsfuncties | Afdekken organisatie-eisen voor softwarepakketten | Norm |
| SWP_B.04.04 | Bedrijfs- en beveiligingsfuncties | Bieden veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties | Norm |
| SWP_B.04.05 | Bedrijfs- en beveiligingsfuncties | Beschrijven componenten voor beveiligingsfuncties | Norm |
| CLD_B.08.06 | Bedrijfscontinuïteitsplanning | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit | Norm |
| TBV_B.01.02 | Bedrijfseisen | Aandacht voor wetgeving en verplichtingen | Norm |
| TBV_B.01.03 | Bedrijfseisen | Standaard gebruikersprofielen | Norm |
| APO_U.09.01 | Bedrijfsfunctionaliteiten | Functionarissen testen functionele requirements | Norm |
| APO_U.09 | Bedrijfsfunctionaliteiten, beveiligingsfunctionaliteiten | Testen systeembeveiliging | Beveiligingsprincipe |
| HVI_U.09.01 | Bedrijfsmiddelen | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd | Norm |
| HVI_U.09.02 | Bedrijfsmiddelen | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen | Norm |
| HVI_U.09.03 | Bedrijfsmiddelen | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd | Norm |
| HVI_U.09.04 | Bedrijfsmiddelen | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd | Norm |
| HVI_U.09.05 | Bedrijfsmiddelen | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt | Norm |
| CVZ_U.01.06 | Beheer | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | Norm |
| CVZ_U.03.01 | Beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | Norm |
| CVZ_U.03.02 | Beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | Norm |
| CVZ_U.03.03 | Beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd | Norm |
| CVZ_U.03.04 | Beheerd | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | Norm |
| CVZ_U.15.01 | Beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie | Norm |
| CVZ_U.05.05 | Beheereisen | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | Norm |
| CVZ_U.05.06 | Beheereisen | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | Norm |
| CLD_U.07.03 | Beheerfuncties | Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik | Norm |
| CLD_U.09.01 | Beheersmaatregelen | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen | Norm |
| CLD_U.09.02 | Beheersmaatregelen | Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter | Norm |
| CVZ_B.01.07 | Beheersmaatregelen | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | Norm |
| CVZ_U.11.04 | Beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden | Norm |
| CLD_U.09 | Beheersmaatregelen, detectie, preventie en herstel | Malwareprotectie clouddiensten | Beveiligingsprincipe |
| HVI_C.04.01 | Beheersorganisatie | Er zijn functionarissen voor de beheersorganisatie benoemd | Norm |
| HVI_C.04.02 | Beheersorganisatie | Verantwoordelijkheden zijn toegewezen en vastgelegd | Norm |
| HVI_C.04.03 | Beheersorganisatie | Verantwoordelijkheden zijn beschreven en vastgelegd | Norm |
| TBV_U.08.03 | Beheersproces | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden | Norm |
| TBV_U.08.04 | Beheersproces | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens | Norm |
| CLD_U.12.07 | Beheerst | Delen nieuwe dreigingen binnen overheid | Norm |
| CVZ_U.03.05 | Beheerst | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | Norm |
| CVZ_U.03.06 | Beheerst | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | Norm |
| CVZ_U.15.02 | Beheerst | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken | Norm |
| TBV_U.06.03 | Beheerst | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld | Norm |
| CLD_U.11.01 | Beleid | Uitwerken cryptografiebeleid | Norm |
| CLD_B.08.05 | Beleid en procedures | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices | Norm |
| APO_B.02.05 | Beleid en wet- en regelgeving | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | Norm |
| MDW_B.01 | Beleid, Classificatie | Beleid middlewarecomponenten | Beveiligingsprincipe |
| CLD_U.11 | Beleid, cryptografische maatregelen, versleuteld | Cryptoservices | Beveiligingsprincipe |
| CVZ_B.01.01 | Beleidsregels | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | Norm |
| CVZ_B.01.02 | Beleidsregels | Beleid of richtlijnen omschrijven het toepassen van cryptografie | Norm |
| CVZ_B.01.03 | Beleidsregels | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | Norm |
| HVI_B.01.02 | Beleidsregels | Beleidsregels huisvesting informatievoorzieningen | Norm |
| HVI_B.01.03 | Beleidsregels | Beleidsregels verwijzen naar specifieke huisvesting onderwerpen | Norm |
| CVZ_U.16.02 | Beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen | Norm |
| TBV_C.03.07 | Beoordeeld | De logbestanden worden gedurende een overeengekomen periode bewaard | Norm |
| SWP_C.01.02 | Beoordelen | Beoordelen rapporten over dienstverlening | Norm |
| TBV_C.02.06 | Beoordelen | Het beoordelen vind plaats op basis van een formeel proces | Norm |
| TBV_C.02.07 | Beoordelen | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting | Norm |
| CLD_B.03.01 | Bepalingen | Vastleggen bepalingen over exit-regeling | Norm |
| SWP_B.03.01 | Bepalingen | Vastleggen exit-bepalingen in overeenkomst | Norm |
| CLD_B.03 | Bepalingen, condities | Exit-strategie clouddiensten | Beveiligingsprincipe |
| APO_U.03.04 | Best practices | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | Norm |
| APO_U.03.05 | Best practices | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | Norm |
| APO_U.03.06 | Best practices | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | Norm |
| APO_U.03.07 | Best practices | Gebruik van programmacode uit externe programmabibliotheken | Norm |
| SWP_U.11.04 | Beveiligd | Vaststellen bewaartermijn voor logging | Norm |
| TBV_U.11.01 | Beveiligde gebieden | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen | Norm |
| TBV_U.03 | Beveiligde inlogprocedure | Inlogprocedure | Beveiligingsprincipe |
| TBV_U.03.01 | Beveiligde inlogprocedure | Minimaal 2-factor authenticatie | Norm |
| TBV_U.03.02 | Beveiligde inlogprocedure | Risicoafweging bij toegang tot netwerk | Norm |
| TBV_U.03.03 | Beveiligde inlogprocedure | Een risicoafweging bepaalt de voorwaarden voor toegang | Norm |
| APO_U.12.01 | Beveiligde ontwikkelomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Norm |
| APO_U.12.02 | Beveiligde ontwikkelomgevingen | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | Norm |
| APO_U.12.03 | Beveiligde ontwikkelomgevingen | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | Norm |
| APO_U.12.05 | Beveiligde ontwikkelomgevingen | Ontwikkelaars hebben geen toegang tot productieomgeving | Norm |
| APO_U.12.06 | Beveiligde ontwikkelomgevingen | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | Norm |
| APO_U.12.07 | Beveiligde ontwikkelomgevingen | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | Norm |
| APO_U.12.08 | Beveiligde ontwikkelomgevingen | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | Norm |
| APO_U.12.09 | Beveiligde ontwikkelomgevingen | De overdracht naar de Productieomgeving vindt gecontroleerd plaats | Norm |
| CLD_B.09.01 | Beveiligingsaspecten en stadia | Treffen maatregelen voor opslag, verwerking en transport van data | Norm |
| CLD_B.09 | Beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie | Privacy en bescherming persoonsgegevens clouddiensten | Beveiligingsprincipe |
| SVP_C.06.02 | Beveiligingsbeleid | Inhoud van het beveiligingsbeleid | Norm |
| APO_U.05 | Beveiligingseisen | Analyse en specificatie informatiebeveiligingseisen | Beveiligingsprincipe |
| APO_U.05.01 | Beveiligingseisen | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | Norm |
| APO_U.05.02 | Beveiligingseisen | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | Norm |
| APO_U.05.03 | Beveiligingseisen | Informatiebeveiligingseisen | Norm |
| APO_U.05.04 | Beveiligingseisen | Overwogen informatiebeveiligingseisen | Norm |
| CLD_B.10.01 | Beveiligingsfunctie | Bewerkstelligen en promoten cloudbeveiligingsbeleid | Norm |
| CLD_B.10.02 | Beveiligingsfunctie | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen | Norm |
| TBV_B.03 | Beveiligingsfunctie | Beveiligingsfunctie | Beveiligingsprincipe |
| TBV_B.03.01 | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie zijn benoemd | Norm |
| TBV_B.03.02 | Beveiligingsfunctie | Het toegangbeveiligingssysteem wordt periodiek geevalueerd | Norm |
| CLD_B.10 | Beveiligingsfunctie, organisatorische positie, taken verantwoordelijkheden en bevoegdheden, functionarissen, rapportagelijnen | Beveiligingsorganisatie clouddiensten | Beveiligingsprincipe |
| APO_U.09.02 | Beveiligingsfunctionaliteiten | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | Norm |
| APO_B.09.01 | Beveiligingsfunctionaris | Taken van de beveiligingsfunctionaris | Norm |
| SVP_C.06.01 | Beveiligingsfunctionaris | Activiteiten van de beveiligingsfunctionaris | Norm |
| SVP_C.06 | Beveiligingsfunctionaris, Beveiligingsbeleid | Beheersorganisatie servers en serverplatforms | Beveiligingsprincipe |
| APO_B.09 | Beveiligingsfunctionaris, beveiligingsvoorschriften | Projectorganisatie | Beveiligingsprincipe |
| CVZ_U.05.01 | Beveiligingsmechanismen | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Norm |
| CVZ_U.05.02 | Beveiligingsmechanismen | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | Norm |
| CVZ_U.05.03 | Beveiligingsmechanismen | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | Norm |
| SWP_B.06.02 | Beveiligingsprincipes | Voorschrijven beveiligingsprincipes | Norm |
| APO_B.09.02 | Beveiligingsvoorschriften | Inzicht gegeven door de beveiligingsfunctionaris | Norm |
| HVI_U.03 | Beveiligingszones | Fysieke zonering | Beveiligingsprincipe |
| HVI_U.03.01 | Beveilingszones | Voorschriften voor het inrichten van beveiligde zones | Norm |
| HVI_U.03.02 | Beveilingszones | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen | Norm |
| HVI_U.03.03 | Beveilingszones | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten | Norm |
| HVI_U.03.04 | Beveilingszones | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel | Norm |
| HVI_U.03.05 | Beveilingszones | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd | Norm |
| CLD_U.10.04 | Bevoegd | Toekennen bevoegdheden voor gebruikers via formele procedures | Norm |
| CLD_U.10.05 | Bevoegd | Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren | Norm |
| CLD_U.12.05 | Bewaakt | Bewaken en analyseren dataverkeer op kwaadaardige elementen | Norm |
| CLD_U.12.06 | Bewaakt | Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM | Norm |
| CVZ_U.13.02 | Bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd | Norm |
| TBV_C.03.04 | Bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld | Norm |
| TBV_C.03.05 | Bewaard | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd | Norm |
| TBV_C.03.06 | Bewaard | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. | Norm |
| CLD_U.06.01 | Bewaartermijn | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet | Norm |
| CLD_U.06 | Bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar, vernietigd | Dataretentie en gegevensvernietiging | Beveiligingsprincipe |
| HVI_B.08.01 | Bewustzijnsopleiding, -training en bijscholing | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers | Norm |
| HVI_B.08.02 | Bewustzijnsopleiding, -training en bijscholing | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging | Norm |
| APO_U.06.01 | Business-vereisten en reviews | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | Norm |
| APO_U.06 | Business-vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging. | Applicatie-ontwerp | Beveiligingsprincipe |
| CLD_B.05.04 | Certificaten | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten | Norm |
| CLD_B.09.03 | Classificatie/labelen | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt | Norm |
| CLD_B.09.04 | Classificatie/labelen | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken | Norm |
| CLD_B.09.05 | Classificatie/labelen | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten | Norm |
| CLD_B.04.01 | Cloud-beveiligingsbeleid | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid | Norm |
| CLD_B.04 | Cloudbeveiligingsbeleid | Clouddienstenbeleid | Beveiligingsprincipe |
| CLD_B.02.01 | Cloudbeveiligingsstrategie | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt | Norm |
| CLD_B.02.02 | Cloudbeveiligingsstrategie | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext | Norm |
| CLD_B.02 | Cloudbeveiligingsstrategie, samenhangt | Cloudbeveiligingsstrategie | Beveiligingsprincipe |
| SWP_B.05.01 | Communicatie en opslag | Passende gegevensclassificatie bij informatiecommunicatie en -opslag | Norm |
| APO_C.06 | Compliance-managementproces | Compliance-management | Beveiligingsprincipe |
| APO_C.06.01 | Compliance-managementproces | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | Norm |
| APO_C.06.02 | Compliance-managementproces | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | Norm |
| CLD_C.03.01 | Compliancy | Inrichten compliance-proces voor governance van clouddienstverlening | Norm |
| CLD_C.03.02 | Compliancy | Registreren reguliere rapportages in administratie | Norm |
| CLD_C.03.03 | Compliancy | Aansluiten compliance-proces op ISMS | Norm |
| CLD_C.03 | Compliancy, assurance, aansluiting | Compliance en assurance | Beveiligingsprincipe |
| CLD_B.08.09 | Computercentra | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen | Norm |
| CLD_B.03.02 | Condities | Overgaan tot exit buiten verstrijken contractperiode | Norm |
| SWP_B.03.02 | Condities | Besluiten over te gaan tot exit | Norm |
| APO_C.04 | Configuratie-administratie | (Software)configuratiebeheer | Beveiligingsprincipe |
| APO_C.04.01 | Configuratie-administratie (CMDB) | Software configuratiescomponenten worden conform procedures vastgelegd | Norm |
| APO_C.04.02 | Configuratie-administratie (CMDB) | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | Norm |
| APO_C.04.03 | Configuratie-administratie (CMDB) | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | Norm |
| CLD_U.03.02 | Continuïteitseisen | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen | Norm |
| CLD_B.01.05 | Contractuele eisen | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen | Norm |
| APO_C.01.06 | Controle-activiteiten en rapportages | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | Norm |
| CLD_C.01.03 | Controle-activiteiten en rapportages | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties | Norm |
| SWP_U.07.04 | Controleert | Zorgen voor certificaatverificatie | Norm |
| SWP_U.07.05 | Controleert | Configureren versleutelde communicatie softwarepakket | Norm |
| HVI_U.07.01 | Correcte wijze | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden | Norm |
| HVI_U.07.02 | Correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel | Norm |
| HVI_U.07.03 | Correcte wijze | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel | Norm |
| HVI_U.07.04 | Correcte wijze | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd | Norm |
| HVI_U.07.05 | Correcte wijze | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd | Norm |
| HVI_U.07.06 | Correcte wijze | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd | Norm |
| CLD_U.13.01 | Coördinatie | Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie | Norm |
| CVZ_B.03 | Cryptografiebeleid | Cryptografiebeleid voor communicatie | Beveiligingsprincipe |
| CVZ_B.03.01 | Cryptografiebeleid | In het cryptografiebeleid uitgewerkte onderwerpen | Norm |
| CVZ_B.03.02 | Cryptografiebeleid | Aanvullende onderdelen in het cryptografiebeleid | Norm |
| CVZ_U.11.03 | Cryptografische | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden | Norm |
| SWP_B.05.02 | Cryptografische beheersmaatregelen | Uitwerken cryptografiebeleid | Norm |
| TBV_B.04.02 | Cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen | Norm |
| CLD_U.05 | Cryptografische maatregelen | Dataprotectie | Beveiligingsprincipe |
| CLD_U.05.01 | Cryptografische maatregelen | ‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer | Norm |
| CLD_U.05.02 | Cryptografische maatregelen | ‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie | Norm |
| CLD_U.11.02 | Cryptografische maatregelen | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer | Norm |
| SVP_U.03.06 | Detectie | Servers en hiervoor gebruikte media worden routinematig gescand op malware | Norm |
| SVP_U.03.07 | Detectie | De malware scan wordt op alle omgevingen uitgevoerd | Norm |
| CLD_U.09.03 | Detectie, preventie en herstel | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie | Norm |
| CVZ_U.05.04 | Dienstverleningsniveaus | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | Norm |
| HVI_U.12.03 | Documentatie | Aan het architectuurdocument gestelde eisen | Norm |
| APO_C.02.04 | Efficiënt | Ondersteuning vanuit het toegepaste versiebeheertool | Norm |
| HVI_B.03.01 | Eigenaar | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd | Norm |
| HVI_B.03.02 | Eigenaar | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel | Norm |
| HVI_B.03.03 | Eigenaar | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus | Norm |
| HVI_B.03.04 | Eigenaar | Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen | Norm |
| CLD_B.09.06 | Eigenaarschap | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten | Norm |
| CLD_B.09.07 | Eigenaarschap | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst | Norm |
| TBV_B.02.01 | Eigenaarschap | Het eigenaarschap is specifiek toegekend | Norm |
| TBV_B.02.02 | Eigenaarschap | De eigenaar beschikt over kennis, middelen, mensen en autoriteit | Norm |
| APO_U.16 | Faciliteiten | Tooling ontwikkelmethode | Beveiligingsprincipe |
| APO_U.16.01 | Faciliteiten | Het tool ondersteunt alle fasen van het ontwikkelproces | Norm |
| APO_U.16.02 | Faciliteiten | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | Norm |
| APO_U.16.03 | Faciliteiten | Het tool beschikt over faciliteiten voor versie- en releasebeheer | Norm |
| APO_U.16.04 | Faciliteiten | Faciliteiten van het tool | Norm |
| APO_U.16.05 | Faciliteiten | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | Norm |
| HVI_U.04.01 | Faciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn | Norm |
| HVI_U.04.02 | Faciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar | Norm |
| HVI_U.04.03 | Faciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk | Norm |
| HVI_U.04.04 | Faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan | Norm |
| CVZ_U.09.01 | Filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument | Norm |
| CVZ_U.09.02 | Filterfunctie | De filterfunctie van gateways en firewalls is instelbaar | Norm |
| CVZ_U.09.03 | Filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM | Norm |
| TBV_U.04 | Formeel autorisatieproces | Autorisatieproces | Beveiligingsprincipe |
| TBV_U.04.01 | Formeel autorisatieproces | Formeel proces voor verwerken van autorisaties | Norm |
| TBV_U.04.02 | Formeel autorisatieproces | Formele autorisatieopdracht | Norm |
| TBV_U.04.03 | Formeel autorisatieproces | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd | Norm |
| MDW_B.02 | Formele beleidsregels, Beheersmaatregelen voor transport | Beleid informatietransport | Beveiligingsprincipe |
| APO_U.01.03 | Formele procedures | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | Norm |
| APO_U.01.04 | Formele procedures | Elementen van de procedures voor wijzigingsbeheer | Norm |
| TBV_U.01.01 | Formele registratie- en afmeldprocedure | Een sluitende formele registratie- en afmeldprocedure | Norm |
| TBV_U.01.02 | Formele registratie- en afmeldprocedure | Groepsaccounts niet toegestaan tenzij | Norm |
| TBV_U.01.03 | Formele registratie- en afmeldprocedure | Autorisaties worden gecontroleerd | Norm |
| SVP_U.09.01 | Functies | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld | Norm |
| SVP_U.09.02 | Functies | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt | Norm |
| MDW_U.04 | Functies, Toegang | Hardening middlewarecomponenten | Beveiligingsprincipe |
| SVP_U.09 | Functies, Toegang | Hardenen server | Beveiligingsprincipe |
| APO_C.08.02 | Functionarissen | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | Norm |
| CLD_B.10.06 | Functionarissen | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix | Norm |
| CLD_C.06.03 | Functionarissen | Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties | Norm |
| HVI_B.09.03 | Functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie | Norm |
| TBV_B.05.04 | Functionarissen | Functionarissen zijn benoemd | Norm |
| TBV_C.04.03 | Functionarissen | De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd | Norm |
| APO_U.04 | Functionele eisen | Analyse en specificatie informatiesysteem | Beveiligingsprincipe |
| APO_U.04.01 | Functionele eisen | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | Norm |
| APO_U.04.02 | Functionele eisen | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | Norm |
| APO_U.04.03 | Functionele eisen | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | Norm |
| APO_U.04.04 | Functionele eisen | Alle vereisten worden gevalideerd door peer review of prototyping | Norm |
| APO_U.04.05 | Functionele eisen | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | Norm |
| SVP_U.11.01 | Fysieke servers | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd | Norm |
| HVI_B.04.01 | Gangbare standaarden | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen | Norm |
| HVI_B.04.02 | Gangbare standaarden | Certificeringseisen van de ingezette Huisvesting Informatievoorziening | Norm |
| CLD_U.15.01 | Gebeurtenissen geregistreerd | Vastleggen beleidsregel-overtreding | Norm |
| CLD_U.15.02 | Gebeurtenissen geregistreerd | Hebben SIEM- en/of SOC-regels over te rapporteren incident | Norm |
| CLD_U.15.03 | Gebeurtenissen geregistreerd | Hanteren en beoordelen lijst van alle kritische activa | Norm |
| CLD_U.15.04 | Gebeurtenissen geregistreerd | Stellen eisen aan logboeken en bewaking | Norm |
| CLD_U.15.05 | Gebeurtenissen geregistreerd | Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers | Norm |
| CLD_U.15.06 | Gebeurtenissen geregistreerd | Controleren wijzigingen in logging en monitoring | Norm |
| CLD_U.10.01 | Gebruikers | Bieden toegang tot bevoegde services, IT-diensten en data | Norm |
| CLD_U.10.02 | Gebruikers | Verlenen toegang aan beheerders | Norm |
| CLD_U.10.03 | Gebruikers | Krijgen toegang tot IT-diensten en data | Norm |
| TBV_U.02.01 | Gebruikers toegangverleningsprocedure | Uitsluitend toegang na autorisatie | Norm |
| TBV_U.02.02 | Gebruikers toegangverleningsprocedure | Risicoafweging voor functiescheiding en toegangsrechten | Norm |
| TBV_U.02.03 | Gebruikers toegangverleningsprocedure | Mandaatregister voor toekennen van toegangsrechten en functieprofielen | Norm |
| CLD_U.10 | Gebruikers, bevoegd | Toegang IT-diensten en data | Beveiligingsprincipe |
| TBV_C.03.03 | Gebruikersactiviteiten | De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC | Norm |
| TBV_U.02 | Gebruikerstoegangsverlening procedure | Toegangsverleningsprocedure | Beveiligingsprincipe |
| SVP_U.10.01 | Geconfigureerd | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures | Norm |
| SVP_U.10.02 | Geconfigureerd | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage | Norm |
| SVP_U.10 | Geconfigureerd, Ongeautoriseerd | Serverconfiguratie | Beveiligingsprincipe |
| SWP_U.02.03 | Gecontroleerd | Testen en valideren van wijzigingen | Norm |
| MDW_U.07 | Gedocumenteerd | Ontwerpdocumentatie | Beveiligingsprincipe |
| SVP_U.13.01 | Gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd | Norm |
| SVP_U.13 | Gedocumenteerd, Gesynchroniseerd | Kloksynchronisatie | Beveiligingsprincipe |
| CLD_U.17.03 | Gehardende | Hardenen virtuele machine-platforms | Norm |
| CVZ_U.16.01 | Gemaakt en bewaard | Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs | Norm |
| MDW_U.08 | Gemaskeerd of versleuteld | Vertrouwelijkheid en integriteit data | Beveiligingsprincipe |