Alle normen alle eigenschappen: verschil tussen versies
(aangemaakt naar testversie) |
k (1 versie geïmporteerd) |
||
(4 tussenliggende versies door 4 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
{{Werkversie geïmporteerd Bindende afspraken}}Hieronder zijn alle [[Norm|Normen]] uit de NORA bijeengebracht. Een norm is een actie die nodig is om een [[Privacyprincipe]] of [[Beveiligingsprincipe]] te realiseren. Normen komen oorspronkelijk voort uit [[Normenkaders]] van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] en zijn eind 2017 in de NORA toegevoegd als onderdeel van de [[Information Security Object Repository (ISOR)]]. Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele [[normen]] doorontwikkeld worden in samenhang met de NORA [[Bindende Architectuurafspraken]] en de thema's [[Beveiliging]] en [[Privacy]]. | |||
==Normen alle eigenschappen== | |||
De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als {{#ask: [[Elementtype::Norm]] | De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als {{#ask: [[Elementtype::Norm]] | ||
| ?=Norm | | ?=Norm | ||
Regel 58: | Regel 57: | ||
| sort=ID | | sort=ID | ||
}} | }} | ||
[[Categorie:Overzichten]] [[Categorie:ISOR]] |
Huidige versie van 2 jan 2023 om 13:07
Hieronder zijn alle Normen uit de NORA bijeengebracht. Een norm is een actie die nodig is om een Privacyprincipe of Beveiligingsprincipe te realiseren. Normen komen oorspronkelijk voort uit Alle normenkaders van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en zijn eind 2017 in de NORA toegevoegd als onderdeel van de ISOR (Information Security Object Repository). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORA Bindende Architectuurafspraken en de thema's Beveiliging en Privacy.
Normen alle eigenschappen[bewerken]
De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'
Norm | ID | Titel | Kent element met zelfde titel | ElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden. | Is subnorm | Versieaanduiding | Gebruik in Nederlandse publieke sector | Status actualiteit | Practice | Redactionele wijzigingsdatum | Toelichting | Beveiligingsaspect | Stelling | Conformiteitsindicator | Invalshoek | Heeft bron | Heeft ouder | Realiseert |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | APO_B.01.01 | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | ||||||
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | APO_B.01.02 | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | ||||||
Overwegingen bij het beleid voor beveiligd ontwikkelen van software | APO_B.01.03 | Overwegingen bij het beleid voor beveiligd ontwikkelen van software | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | ||||||
Technieken voor beveiligd programmeren | APO_B.01.04 | Technieken voor beveiligd programmeren | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | ||||||
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | APO_B.02.01 | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling). | Systeem-ontwikkelmethode | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Systeem-ontwikkelmethode | ||||||
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem-ontwikkelmethode | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Systeem-ontwikkelmethode | ||||||
Adoptie van ontwikkelmethodologie wordt gemonitord | APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem-ontwikkelmethode | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Systeem-ontwikkelmethode | ||||||
Software wordt ontwikkelen conform standaarden en procedures | APO_B.02.04 | Software wordt ontwikkelen conform standaarden en procedures | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Standaarden en procedures worden toegepast voor:
| Standaarden en procedures | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Systeem-ontwikkelmethode | ||||||
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | APO_B.02.05 | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| Beleid en wet- en regelgeving | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Systeem-ontwikkelmethode | ||||||
Het softwareontwikkeling wordt projectmatig aangepakt | APO_B.02.06 | Het softwareontwikkeling wordt projectmatig aangepakt | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Projectmatige aanpak | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Systeem-ontwikkelmethode | ||||||
Dataclassificatie als uitgangspunt voor softwareontwikkeling | APO_B.03.01 | Dataclassificatie als uitgangspunt voor softwareontwikkeling | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen. | Informatie | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van informatie | ||||||
Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | APO_B.03.02 | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Informatie | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van informatie | ||||||
Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | APO_B.03.03 | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Informatie | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van informatie | ||||||
Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | APO_B.03.04 | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Informatie | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van informatie | ||||||
Security by Design als uitgangspunt voor softwareontwikkeling | APO_B.04.01 | Security by Design als uitgangspunt voor softwareontwikkeling | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Principes | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringsprincipe voor beveiligde systemen | ||||||
Principes voor het beveiligen van informatiesystemen | APO_B.04.02 | Principes voor het beveiligen van informatiesystemen | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Principes | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringsprincipe voor beveiligde systemen | ||||||
Beveiliging is integraal onderdeel van systeemontwikkeling | APO_B.04.03 | Beveiliging is integraal onderdeel van systeemontwikkeling | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Principes | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringsprincipe voor beveiligde systemen | ||||||
Ontwikkelaars zijn getraind om veilige software te ontwikkelen | APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Principes | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringsprincipe voor beveiligde systemen | ||||||
Perspectieven bij de Business Impact Analyse | APO_B.05.01 | Perspectieven bij de Business Impact Analyse | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
| Perspectieven | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Business Impact Analyse (BIA) | ||||||
Scenario's voor de Business Impact Analyse | APO_B.05.02 | Scenario's voor de Business Impact Analyse | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Scenario's | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Business Impact Analyse (BIA) | ||||||
Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | APO_B.05.03 | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Business Impact Analyse (BIA) | ||||||
GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen | APO_B.06.01 | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | Privacy en bescherming van persoonsgegevens | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming persoonsgegevens applicatieontwikkeling | ||||||
Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten | APO_B.06.02 | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming van persoonsgegevens | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming persoonsgegevens applicatieontwikkeling | ||||||
Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen | APO_B.06.03 | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen | Norm | 2.1 | Actueel | 25 juli 2022 | Beleid | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Privacy en bescherming van persoonsgegevens | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming persoonsgegevens applicatieontwikkeling (ISOR:Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)) | ||||||
Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak | APO_B.06.04 | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy en bescherming van persoonsgegevens | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming persoonsgegevens applicatieontwikkeling | ||||||
Risicomanagement aanpak aantoonbaar toegepast | APO_B.06.05 | Risicomanagement aanpak aantoonbaar toegepast | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming van persoonsgegevens | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming persoonsgegevens applicatieontwikkeling | ||||||
Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd | APO_B.06.06 | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Wet- en regelgeving | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming persoonsgegevens applicatieontwikkeling | ||||||
De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid | APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Ontwikkel- en onderhoudsbeleid | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
De doelorganisatie beschikt over QA- en KMS-methodiek | APO_B.07.02 | De doelorganisatie beschikt over QA- en KMS-methodiek | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | Ontwikkel- en onderhoudsbeleid | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd | APO_B.07.03 | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagementsysteem | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
Voor informatie- en communicatie zijn processen ingericht | APO_B.07.04 | Voor informatie- en communicatie zijn processen ingericht | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagementsysteem | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Kwaliteitsmanagementsysteem | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
Aan het management worden evaluatierapportages verstrekt | APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Aan het management worden evaluatierapportages verstrekt. | Kwaliteitsmanagementsysteem | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS | APO_B.07.07 | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS | Norm | 2.1 | Actueel | 2 november 2021 | Beleid | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Kwaliteitsmanagementsysteem | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagementsysteem | ||||||
Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen | APO_B.08.01 | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
| Programmabroncodebibliotheken | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Toegangsbeveiliging op programmacode | ||||||
Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd | APO_B.08.02 | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. | Programmabroncodebibliotheken | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Toegangsbeveiliging op programmacode | ||||||
Taken van de beveiligingsfunctionaris | APO_B.09.01 | Taken van de beveiligingsfunctionaris | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De beveiligingsfunctionaris zorgt onder andere voor:
| Beveiligingsfunctionaris | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Projectorganisatie | ||||||
Inzicht gegeven door de beveiligingsfunctionaris | APO_B.09.02 | Inzicht gegeven door de beveiligingsfunctionaris | Norm | 2.1 | Actueel | 29 oktober 2021 | Beleid | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Beveiligingsvoorschriften | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Projectorganisatie | ||||||
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien | APO_C.01.01 | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software. | Richtlijnen | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code | APO_C.01.02 | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode. | Richtlijnen | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast | APO_C.01.03 | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten. | Richtlijnen | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen | APO_C.01.04 | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijnen | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd | APO_C.01.05 | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd | Norm | 2.1 | Actueel | 1 november 2021 | Control | De quality assurance-methodiek wordt conform de richtlijnen nageleefd. | Richtlijnen | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | APO_C.01.06 | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Controle-activiteiten en rapportages | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld | APO_C.01.07 | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld | Norm | 2.1 | Actueel | 1 november 2021 | Control | Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Ontwikkelactiviteiten | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn evaluatie-ontwikkelactiviteiten | ||||||
Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris | APO_C.02.01 | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris | Norm | 2.1 | Actueel | 1 november 2021 | Control | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Procesmatig | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Versiebeheer applicatieontwikkkeling | ||||||
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd | APO_C.02.02 | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Control | In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd. | Procesmatig | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Versiebeheer applicatieontwikkkeling | ||||||
Versiemanagement wordt ondersteund met procedures en werkinstructies | APO_C.02.03 | Versiemanagement wordt ondersteund met procedures en werkinstructies | Norm | 2.1 | Actueel | 1 november 2021 | Control | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Procesmatig | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Versiebeheer applicatieontwikkkeling | ||||||
Ondersteuning vanuit het toegepaste versiebeheertool | APO_C.02.04 | Ondersteuning vanuit het toegepaste versiebeheertool | Norm | 2.1 | Actueel | 1 november 2021 | Control | Een versiebeheertool wordt toegepast die onder andere:
| Efficiënt | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Versiebeheer applicatieontwikkkeling | ||||||
Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt | APO_C.03.01 | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt | Norm | 2.1 | Actueel | 1 november 2021 | Control | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Procesmatig en procedureel | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement applicatieontwikkeling | ||||||
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden | APO_C.03.02 | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden | Norm | 2.1 | Actueel | 1 november 2021 | Control | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement. | Procesmatig en procedureel | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement applicatieontwikkeling | ||||||
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd | APO_C.03.03 | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd | Norm | 2.1 | Actueel | 1 november 2021 | Control | Het al dan niet uitvoeren van patches voor programmacode is geregistreerd. | Procesmatig en procedureel | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement applicatieontwikkeling | ||||||
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken | APO_C.03.04 | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken | Norm | 2.1 | Actueel | 1 november 2021 | Control | Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Technische kwetsbaarheden | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement applicatieontwikkeling | ||||||
Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes | APO_C.03.05 | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes | Norm | 2.1 | Actueel | 1 november 2021 | Control | Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Technische kwetsbaarheden | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement applicatieontwikkeling | ||||||
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is | APO_C.03.06 | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is | Norm | 2.1 | Actueel | 1 november 2021 | Control | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd. | Tijdig | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement applicatieontwikkeling | ||||||
Software configuratiescomponenten worden conform procedures vastgelegd | APO_C.04.01 | Software configuratiescomponenten worden conform procedures vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Control | Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd. | Configuratie-administratie (CMDB) | Functie | BIO Thema-uitwerking Applicatieontwikkeling | (Software)configuratiebeheer | ||||||
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | APO_C.04.02 | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | Norm | 2.1 | Actueel | 1 november 2021 | Control | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | Configuratie-administratie (CMDB) | Functie | BIO Thema-uitwerking Applicatieontwikkeling | (Software)configuratiebeheer | ||||||
Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | APO_C.04.03 | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | Norm | 2.1 | Actueel | 1 november 2021 | Control | Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB). | Configuratie-administratie (CMDB) | Functie | BIO Thema-uitwerking Applicatieontwikkeling | (Software)configuratiebeheer | ||||||
Het compliance management proces is gedocumenteerd en vastgesteld | APO_C.05.01 | Het compliance management proces is gedocumenteerd en vastgesteld | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek. | Quality assurance-proces | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | ||||||
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | APO_C.05.02 | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Control | Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
| Quality assurance-proces | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | ||||||
Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken | APO_C.05.03 | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken | Norm | 2.1 | Actueel | 1 november 2021 | Control | De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance-proces | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | ||||||
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd | APO_C.05.04 | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Control | Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd. | Quality assurance-proces | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | ||||||
De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | APO_C.06.01 | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | Norm | 2.1 | Actueel | 1 november 2021 | Control | Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management. | Compliance-managementproces | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Compliance-management | ||||||
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | APO_C.06.02 | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | Norm | 2.1 | Actueel | 1 november 2021 | Control | Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance-managementproces | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Compliance-management | ||||||
Testen bij verandering van besturingssystemen | APO_C.07.01 | Testen bij verandering van besturingssystemen | Norm | 2.1 | Actueel | 1 november 2021 | Control | Bij verandering van besturingssystemen wordt onder andere het volgende getest:
| Veranderingen van besturingsplatforms | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Technische beoordeling informatiesystemen | ||||||
De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd | APO_C.08.01 | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Control | De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd. | Structuur van de beheersprocessen | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Beheersorganisatie applicatieontwikkeling | ||||||
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | APO_C.08.02 | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | Norm | 2.1 | Actueel | 1 november 2021 | Control | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Functionarissen | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Beheersorganisatie applicatieontwikkeling | ||||||
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd | APO_C.08.03 | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Control | De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Taken, verantwoordelijkheden en bevoegdheden | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Beheersorganisatie applicatieontwikkeling | ||||||
De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven | APO_C.08.04 | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven | Norm | 2.1 | Actueel | 1 november 2021 | Control | De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Taken, verantwoordelijkheden en bevoegdheden | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Beheersorganisatie applicatieontwikkeling | ||||||
Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks | APO_U.01.01 | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Wijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD). | Levenscyclus | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Wijzigingsbeheerprocedure voor applicaties en systemen | ||||||
Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren | APO_U.01.02 | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren. | Levenscyclus | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Wijzigingsbeheerprocedure voor applicaties en systemen | ||||||
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | APO_U.01.03 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Formele procedures | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Wijzigingsbeheerprocedure voor applicaties en systemen | ||||||
Elementen van de procedures voor wijzigingsbeheer | APO_U.01.04 | Elementen van de procedures voor wijzigingsbeheer | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Enkele elementen van procedures voor wijzigingsbeheer zijn:
| Formele procedures | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Wijzigingsbeheerprocedure voor applicaties en systemen | ||||||
Beleid ten aanzien van het type software dat mag worden geïnstalleerd | APO_U.02.01 | Beleid ten aanzien van het type software dat mag worden geïnstalleerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beperking software-installatie applicatieontwikkeling | ||||||
Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' | APO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het toekennen van rechten om software te installeren vindt plaats met ‘least privilege’. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beperking software-installatie applicatieontwikkeling | ||||||
De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars | APO_U.02.03 | De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Beperking software-installatie applicatieontwikkeling | ||||||
De programmacode voor functionele specificaties is reproduceerbaar | APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Programmacode wordt aantoonbaar veilig gecreëerd | APO_U.03.02 | Programmacode wordt aantoonbaar veilig gecreëerd | Norm | 2.1 | Actueel | 2 november 2021 | Uitvoering | De (programma)code wordt aantoonbaar veilig gecreëerd. | Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Programmacode is effectief, veranderbaar en testbaar | APO_U.03.03 | Programmacode is effectief, veranderbaar en testbaar | Norm | 2.1 | Actueel | 2 november 2021 | Uitvoering | De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Regels | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | APO_U.03.04 | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt. | Best practices | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. | Best practices | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | APO_U.03.06 | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem. | Best practices | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Gebruik van programmacode uit externe programmabibliotheken | APO_U.03.07 | Gebruik van programmacode uit externe programmabibliotheken | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn. | Best practices | Intentie | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijn programmacode | ||||||
Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | APO_U.04.01 | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp. | Functionele eisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiesysteem | ||||||
Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | APO_U.04.02 | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden. | Functionele eisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiesysteem | ||||||
Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | APO_U.04.03 | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris. | Functionele eisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiesysteem | ||||||
Alle vereisten worden gevalideerd door peer review of prototyping | APO_U.04.04 | Alle vereisten worden gevalideerd door peer review of prototyping | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode). | Functionele eisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiesysteem | ||||||
Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | APO_U.04.05 | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd. | Functionele eisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiesysteem | ||||||
Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | APO_U.05.01 | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Beveiligingseisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiebeveiligingseisen | ||||||
De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | APO_U.05.02 | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | Beveiligingseisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiebeveiligingseisen | ||||||
Informatiebeveiligingseisen | APO_U.05.03 | Informatiebeveiligingseisen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Informatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit:
| Beveiligingseisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiebeveiligingseisen | ||||||
Overwogen informatiebeveiligingseisen | APO_U.05.04 | Overwogen informatiebeveiligingseisen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
| Beveiligingseisen | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie informatiebeveiligingseisen | ||||||
Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Business-vereisten en reviews | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-ontwerp | ||||||
Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie | APO_U.06.02 | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
| Omgevingsanalyse | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-ontwerp | ||||||
Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit. | (Specifieke) beveiliging | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-ontwerp | ||||||
Bereikcontroles worden toegepast en gegevens worden gevalideerd | APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Invoerfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Geprogrammeerde controles worden ondersteund | APO_U.07.02 | Geprogrammeerde controles worden ondersteund | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Geprogrammeerde controles worden ondersteund. | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Het uitvoeren van onopzettelijke mutaties wordt tegengegaan | APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar | APO_U.07.04 | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar. | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar | APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail). | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Opgeleverde en over te dragen gegevens worden gevalideerd | APO_U.07.06 | Opgeleverde en over te dragen gegevens worden gevalideerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Opgeleverde/over te dragen gegevens worden gevalideerd. | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens | APO_U.07.07 | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd. | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd | APO_U.07.08 | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Met vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Verwerkingsfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd | APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid. | Uitvoerfuncties | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiefunctionaliteit | ||||||
Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | APO_U.08.01 | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| (Industrie) good practice | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | APO_U.08.02 | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages. | (Industrie) good practice | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
Voor het creëren van programma code wordt gebruik gemaakt van good practices | APO_U.08.03 | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering). | (Industrie) good practice | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
Geen gebruik van onveilig programmatechnieken | APO_U.08.04 | Geen gebruik van onveilig programmatechnieken | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Het gebruik van onveilig programmatechnieken is niet toegestaan. | (Industrie) good practice | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | APO_U.08.05 | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De programmacode is beschermd tegen ongeautoriseerde wijzigingen. | (Industrie) good practice | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
Activiteiten van applicatiebouw worden gereviewd | APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Activiteiten van applicatiebouw worden gereviewd. | (Industrie) good practice | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren | APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Juiste vaardigheden en tools | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | ||||||
Functionarissen testen functionele requirements | APO_U.09.01 | Functionarissen testen functionele requirements | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Vanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules). | Bedrijfsfunctionaliteiten | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Testen systeembeveiliging | ||||||
In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | APO_U.09.02 | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | Beveiligingsfunctionaliteiten | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Testen systeembeveiliging | ||||||
Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | APO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd. | Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Van de resultaten van de testen wordt een verslag gemaakt | APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Van de resultaten van de testen wordt een verslag gemaakt. | Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Testresultaten worden formeel geëvalueerd en beoordeeld | APO_U.10.03 | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | APO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | APO_U.10.05 | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | APO_U.10.07 | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
| Acceptatietests | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Systeemacceptatietest | ||||||
Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen | APO_U.11.01 | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
| Testgegevens | Functie | BIO Thema-uitwerking Applicatieontwikkeling | Beschermen testgegevens | ||||||
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | APO_U.12.01 | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | APO_U.12.02 | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | APO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
Voor remote werkzaamheden is een werkwijze vastgelegd | APO_U.12.04 | Voor remote werkzaamheden is een werkwijze vastgelegd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voor remote-werkzaamheden is een werkwijze vastgelegd. | beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
Ontwikkelaars hebben geen toegang tot productieomgeving | APO_U.12.05 | Ontwikkelaars hebben geen toegang tot productieomgeving | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Ontwikkelaars hebben geen toegang tot de productieomgeving. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | APO_U.12.06 | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | APO_U.12.07 | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | APO_U.12.08 | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Beveiligde ontwikkelomgevingen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | ||||||
De overdracht naar de Productieomgeving vindt gecontroleerd plaats | APO_U.12.09 | De overdracht naar de Productieomgeving vindt gecontroleerd plaats | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | Beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkelomgeving | |||||||
Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen | APO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Koppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen. | Koppelingsrichtlijnen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppeling | ||||||
Van het type koppelingen is een overzicht aanwezig | APO_U.13.02 | Van het type koppelingen is een overzicht aanwezig | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Van het type koppelingen is een overzicht aanwezig. | Koppelingsrichtlijnen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppeling | ||||||
Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten | APO_U.13.03 | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | Koppelingen worden uitgevoerd via geautoriseerde opdrachten. | Koppelingsrichtlijnen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppeling | ||||||
De uitgevoerde koppelingen worden geregistreerd | APO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd | Norm | 2.1 | Actueel | 29 oktober 2021 | Uitvoering | De uitgevoerde koppelingen worden geregistreerd. | koppelingsrichtlijnen | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppeling | ||||||
Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden | APO_U.14.01 | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd. | Logging | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring applicatieontwikkeling | ||||||
Informatie ten aanzien van autorisatie(s) wordt vastgelegd | APO_U.14.02 | Informatie ten aanzien van autorisatie(s) wordt vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Informatie over autorisatie(s) wordt vastgelegd. | Logging | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring applicatieontwikkeling | ||||||
De loggegevens zijn beveiligd | APO_U.14.03 | De loggegevens zijn beveiligd | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De loggegevens zijn beveiligd. | Logging | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring applicatieontwikkeling | ||||||
De locatie van de vastlegging van de loggegevens is vastgesteld | APO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring applicatieontwikkeling | ||||||
De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden | APO_U.14.05 | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Monitoring | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring applicatieontwikkeling | ||||||
De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd | APO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Monitoring | Gedrag | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring applicatieontwikkeling | ||||||
De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | APO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
| Applicatie-architectuur | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-architectuur | ||||||
Het architectuur document wordt actief onderhouden | APO_U.15.02 | Het architectuur document wordt actief onderhouden | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het architectuurdocument wordt actief onderhouden. | Applicatie-architectuur | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-architectuur | ||||||
De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | APO_U.15.03 | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast. | Applicatie-architectuur | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-architectuur | ||||||
Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten | APO_U.15.04 | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Samenhang | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-architectuur | ||||||
Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar | APO_U.15.05 | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten). | Samenhang | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-architectuur | ||||||
De relatie tussen de persoonsgegevens is inzichtelijk | APO_U.15.06 | De relatie tussen de persoonsgegevens is inzichtelijk | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk. | Samenhang | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie-architectuur | ||||||
Het tool ondersteunt alle fasen van het ontwikkelproces | APO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Faciliteiten | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | ||||||
Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | APO_U.16.02 | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Faciliteiten | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | ||||||
Het tool beschikt over faciliteiten voor versie- en releasebeheer | APO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Faciliteiten | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | ||||||
Faciliteiten van het tool | APO_U.16.04 | Faciliteiten van het tool | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het tool beschikt over faciliteiten voor:
| Faciliteiten | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | ||||||
Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | APO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | Norm | 2.1 | Actueel | 1 november 2021 | Uitvoering | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Faciliteiten | Structuur | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | ||||||
Informeren welke wet- en regelgeving van toepassing is op clouddiensten | CLD_B.01.01 | Informeren welke wet- en regelgeving van toepassing is op clouddiensten | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten. | Wettelijke, statutaire en regelgevende eisen | Intentie | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving Clouddiensten | ||||||
Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens | CLD_B.01.02 | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen. | Wettelijke, statutaire en regelgevende eisen | Intentie | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving Clouddiensten | ||||||
Identificeren vereisten die van toepassing zijn | CLD_B.01.03 | Identificeren vereisten die van toepassing zijn | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). | Wettelijke, statutaire en regelgevende eisen | Intentie | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving Clouddiensten | ||||||
Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten | CLD_B.01.04 | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wettelijke, statutaire en regelgevende eisen | Intentie | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving Clouddiensten | ||||||
Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen | CLD_B.01.05 | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Contractuele eisen | Intentie | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving Clouddiensten | ||||||
Vaststellen alle van toepassing zijnde wet- en regelgeving | CLD_B.01.06 | Vaststellen alle van toepassing zijnde wet- en regelgeving | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Aanpak | Intentie | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving Clouddiensten | ||||||
Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt | CLD_B.02.01 | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt | Norm | 2.1 | Actueel | 17 januari 2022 | Beleid | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Intentie | BIO Thema-uitwerking Clouddiensten | Cloudbeveiligingsstrategie | ||||||
Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext | CLD_B.02.02 | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
| Cloudbeveiligingsstrategie | Intentie | BIO Thema-uitwerking Clouddiensten | Cloudbeveiligingsstrategie | ||||||
Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen | CLD_B.02.03 | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
| Samenhangt | Intentie | BIO Thema-uitwerking Clouddiensten | Cloudbeveiligingsstrategie | ||||||
Vastleggen bepalingen over exit-regeling | CLD_B.03.01 | Vastleggen bepalingen over exit-regeling | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
| Bepalingen | Intentie | BIO Thema-uitwerking Clouddiensten | Exit-strategie clouddiensten | ||||||
Overgaan tot exit buiten verstrijken contractperiode | CLD_B.03.02 | Overgaan tot exit buiten verstrijken contractperiode | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
| Condities | Intentie | BIO Thema-uitwerking Clouddiensten | Exit-strategie clouddiensten | ||||||
Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid | CLD_B.04.01 | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid | Norm | 2.1 | Actueel | 5 januari 2022 | Beleid | Het cloud-beveiligingsbeleid bevat:
| Cloud-beveiligingsbeleid | Intentie | BIO Thema-uitwerking Clouddiensten | Clouddienstenbeleid | ||||||
Bevatten diverse aspecten in systeembeschrijving | CLD_B.05.01 | Bevatten diverse aspecten in systeembeschrijving | Norm | 2.1 | Actueel | 5 januari 2022 | Beleid | De systeembeschrijving bevat de volgende aspecten:
| Systeembeschrijving | Intentie | BIO Thema-uitwerking Clouddiensten | Transparantie | ||||||
SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie | CLD_B.05.02 | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Jurisdictie | Intentie | BIO Thema-uitwerking Clouddiensten | Transparantie | ||||||
SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden | CLD_B.05.03 | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden. | Onderzoeksmogelijkheden | Intentie | BIO Thema-uitwerking Clouddiensten | Transparantie | ||||||
SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten | CLD_B.05.04 | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten. | Certificaten | Intentie | BIO Thema-uitwerking Clouddiensten | Transparantie | ||||||
Hebben CSP-verantwoordelijkheden | CLD_B.06.01 | Hebben CSP-verantwoordelijkheden | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
| Verantwoordelijkheden | Intentie | BIO Thema-uitwerking Clouddiensten | Risicomanagement | ||||||
Goedkeuren organisatie van risicomanagementproces | CLD_B.06.02 | Goedkeuren organisatie van risicomanagementproces | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP). | Verantwoordelijkheden | Intentie | BIO Thema-uitwerking Clouddiensten | Risicomanagement | ||||||
Beschrijven risicomanagementproces | CLD_B.06.03 | Beschrijven risicomanagementproces | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagementproces | Intentie | BIO Thema-uitwerking Clouddiensten | Risicomanagement | ||||||
Treffen maatregelen voor beveiliging IT-functionaliteiten | CLD_B.07.01 | Treffen maatregelen voor beveiliging IT-functionaliteiten | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteiten | Functie | BIO Thema-uitwerking Clouddiensten | IT-functionaliteit | ||||||
Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur | CLD_B.07.02 | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur. | IT-functionaliteiten | Functie | BIO Thema-uitwerking Clouddiensten | IT-functionaliteit | ||||||
Bewaken en beheersen IT-infrastructuur | CLD_B.07.03 | Bewaken en beheersen IT-infrastructuur | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteiten | Functie | BIO Thema-uitwerking Clouddiensten | IT-functionaliteit | ||||||
Inrichten infrastructuur met betrouwbare hardware- en software-componenten | CLD_B.07.04 | Inrichten infrastructuur met betrouwbare hardware- en software-componenten | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten. | Robuuste en beveiligde systeemketen | Functie | BIO Thema-uitwerking Clouddiensten | IT-functionaliteit | ||||||
Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen | CLD_B.07.05 | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | Robuuste en beveiligde systeemketen | Functie | BIO Thema-uitwerking Clouddiensten | IT-functionaliteit | ||||||
Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden | CLD_B.08.01 | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Verantwoordelijkheid voor BCM | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Zeker stellen adequate resources voor uitvoeren van BCM-proces | CLD_B.08.02 | Zeker stellen adequate resources voor uitvoeren van BCM-proces | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Verantwoordelijkheid voor BCM | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Committeren aan vastgestelde BCM-vereisten | CLD_B.08.03 | Committeren aan vastgestelde BCM-vereisten | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Verantwoordelijkheid voor BCM | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Vaststellen en communiceren BCM- en BIA-beleid | CLD_B.08.04 | Vaststellen en communiceren BCM- en BIA-beleid | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Verantwoordelijkheid voor BCM | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices | CLD_B.08.05 | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Beleid en procedures | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit | CLD_B.08.06 | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsplanning | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen | CLD_B.08.07 | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen | Norm | 2.1 | Actueel | 5 januari 2022 | Beleid | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Verificatie en updaten | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen | CLD_B.08.08 | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Verificatie en updaten | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen | CLD_B.08.09 | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Computercentra | Functie | BIO Thema-uitwerking Clouddiensten | Bedrijfscontinuïteitsmanagement | ||||||
Treffen maatregelen voor opslag, verwerking en transport van data | CLD_B.09.01 | Treffen maatregelen voor opslag, verwerking en transport van data | Norm | 2.1 | Actueel | 12 november 2021 | Beleid | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Beveiligingsaspecten en stadia | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie | CLD_B.09.02 | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Toegang en privacy | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt | CLD_B.09.03 | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt | Norm | 2.1 | Actueel | 12 november 2021 | Beleid | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Classificatie/labelen | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken | CLD_B.09.04 | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken | Norm | 2.1 | Actueel | 12 november 2021 | Beleid | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Classificatie/labelen | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten | CLD_B.09.05 | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Classificatie/labelen | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten | CLD_B.09.06 | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten | Norm | 2.1 | Actueel | 12 november 2021 | Beleid | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Eigenaarschap | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst | CLD_B.09.07 | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Eigenaarschap | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Specificeren en documenteren opslag op welke locatie data | CLD_B.09.08 | Specificeren en documenteren opslag op welke locatie data | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Locatie | Gedrag | BIO Thema-uitwerking Clouddiensten | Privacy en bescherming persoonsgegevens clouddiensten | ||||||
Bewerkstelligen en promoten cloudbeveiligingsbeleid | CLD_B.10.01 | Bewerkstelligen en promoten cloudbeveiligingsbeleid | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Beveiligingsfunctie | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen | CLD_B.10.02 | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsfunctie | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Geven positie van informatiebeveiligingsorganisatie binnen organisatie | CLD_B.10.03 | Geven positie van informatiebeveiligingsorganisatie binnen organisatie | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Organisatorische positie | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken | CLD_B.10.04 | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken | Norm | 2.1 | Actueel | 6 december 2021 | Beleid | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Taken, verantwoordelijkheden en bevoegdheden | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging | CLD_B.10.05 | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Taken, verantwoordelijkheden en bevoegdheden | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix | CLD_B.10.06 | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Functionarissen | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen | CLD_B.10.07 | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Rapportagelijnen | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
Vaststellen type, frequentie en eisen voor inhoudelijke rapportages | CLD_B.10.08 | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages | Norm | 2.1 | Actueel | 10 november 2021 | Beleid | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Rapportagelijnen | Structuur | BIO Thema-uitwerking Clouddiensten | Beveiligingsorganisatie clouddiensten | ||||||
... meer resultaten |