Alle normen alle eigenschappen

Uit NORA Online
Naar navigatie springen Naar zoeken springen

Hieronder zijn alle Normen uit de NORA bijeengebracht. Een norm is een actie die nodig is om een Privacyprincipe of Beveiligingsprincipe te realiseren. Normen komen oorspronkelijk voort uit Alle normenkaders van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en zijn eind 2017 in de NORA toegevoegd als onderdeel van de ISOR (Information Security Object Repository). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORA Bindende Architectuurafspraken en de thema's Beveiliging en Privacy.

Normen alle eigenschappen[bewerken]

De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'

NormIDTitelKent element met zelfde titelElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden.Is subnormVersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumToelichtingBeveiligingsaspectStellingConformiteitsindicatorInvalshoekHeeft bronHeeft ouderRealiseert
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingAPO_B.01.01De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingNorm2.1Actueel29 oktober 2021BeleidDe gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingAPO_B.01.02Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingNorm2.1Actueel29 oktober 2021BeleidDe handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareAPO_B.01.03Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareNorm2.1Actueel29 oktober 2021BeleidIn het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  • beveiliging van de ontwikkelomgeving;
  • richtlijnen over de beveiliging in de levenscyclus van softwareontwikkeling:
    • beveiliging in de software-ontwikkelmethodologie;
    • beveiligde coderingsrichtlijnen voor elke gebruikte programmeertaal;
  • beveiligingseisen in de ontwikkelfase;
  • beveiligingscontrolepunten binnen de mijlpalen van het project;
  • beveiliging van de versiecontrole;
  • vereiste kennis over toepassingsbeveiliging;
  • het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Technieken voor beveiligd programmerenAPO_B.01.04Technieken voor beveiligd programmerenNorm2.1Actueel29 oktober 2021BeleidTechnieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieAPO_B.02.01Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieNorm2.1Actueel29 oktober 2021BeleidEen formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).Systeem-ontwikkelmethodeIntentieBIO Thema-uitwerking ApplicatieontwikkelingSysteem-ontwikkelmethode
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenAPO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenNorm2.1Actueel29 oktober 2021BeleidSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Systeem-ontwikkelmethodeIntentieBIO Thema-uitwerking ApplicatieontwikkelingSysteem-ontwikkelmethode
Adoptie van ontwikkelmethodologie wordt gemonitordAPO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitordNorm2.1Actueel29 oktober 2021BeleidAdoptie van ontwikkelmethodologie wordt gemonitord.Systeem-ontwikkelmethodeIntentieBIO Thema-uitwerking ApplicatieontwikkelingSysteem-ontwikkelmethode
Software wordt ontwikkelen conform standaarden en proceduresAPO_B.02.04Software wordt ontwikkelen conform standaarden en proceduresNorm2.1Actueel29 oktober 2021BeleidStandaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van de ontwikkelde applicatie naar de productie-omgeving;
  • de training van softwareontwikkelaars.
    		• Standaarden en proceduresIntentieBIO Thema-uitwerking ApplicatieontwikkelingSysteem-ontwikkelmethode
    De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenAPO_B.02.05De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenNorm2.1Actueel29 oktober 2021BeleidDe systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet- en regelgeving inclusief privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit de business;
  • het classificatiemodel van de organisatie.
    		• Beleid en wet- en regelgevingIntentieBIO Thema-uitwerking ApplicatieontwikkelingSysteem-ontwikkelmethode
    Het softwareontwikkeling wordt projectmatig aangepaktAPO_B.02.06Het softwareontwikkeling wordt projectmatig aangepaktNorm2.1Actueel29 oktober 2021BeleidHet ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid;
  • het creëren van een risicoregister;
  • het registreren van belangrijke details in een bedrijfsapplicatieregister.
    		• Projectmatige aanpakIntentieBIO Thema-uitwerking ApplicatieontwikkelingSysteem-ontwikkelmethode
    Dataclassificatie als uitgangspunt voor softwareontwikkelingAPO_B.03.01Dataclassificatie als uitgangspunt voor softwareontwikkelingNorm2.1Actueel29 oktober 2021BeleidDe handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen.InformatieIntentieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van informatie
    Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdAPO_B.03.02Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdNorm2.1Actueel29 oktober 2021BeleidDe informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.InformatieIntentieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van informatie
    Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaAPO_B.03.03Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaNorm2.1Actueel29 oktober 2021BeleidBij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.InformatieIntentieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van informatie
    Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsAPO_B.03.04Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsNorm2.1Actueel29 oktober 2021BeleidIn het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements.InformatieIntentieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van informatie
    Security by Design als uitgangspunt voor softwareontwikkelingAPO_B.04.01Security by Design als uitgangspunt voor softwareontwikkelingNorm2.1Actueel29 oktober 2021BeleidDe gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.PrincipesIntentieBIO Thema-uitwerking ApplicatieontwikkelingEngineeringsprincipe voor beveiligde systemen
    Principes voor het beveiligen van informatiesystemenAPO_B.04.02Principes voor het beveiligen van informatiesystemenNorm2.1Actueel29 oktober 2021BeleidVoor het beveiligen van informatiesystemen zijn de volgende principes van belang:
  • Defence in depth (beveiliging op verschillende lagen)
  • Secure by default
  • Default deny
  • Fail secure
  • Input van externe applicaties wantrouwen
  • Secure in deployment
  • Bruikbaarheid en beheersbaarheid
    		• PrincipesIntentieBIO Thema-uitwerking ApplicatieontwikkelingEngineeringsprincipe voor beveiligde systemen
    Beveiliging is integraal onderdeel van systeemontwikkelingAPO_B.04.03Beveiliging is integraal onderdeel van systeemontwikkelingNorm2.1Actueel29 oktober 2021BeleidBeveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.PrincipesIntentieBIO Thema-uitwerking ApplicatieontwikkelingEngineeringsprincipe voor beveiligde systemen
    Ontwikkelaars zijn getraind om veilige software te ontwikkelenAPO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelenNorm2.1Actueel29 oktober 2021BeleidOntwikkelaars zijn getraind om veilige software te ontwikkelen.PrincipesIntentieBIO Thema-uitwerking ApplicatieontwikkelingEngineeringsprincipe voor beveiligde systemen
    Perspectieven bij de Business Impact AnalyseAPO_B.05.01Perspectieven bij de Business Impact AnalyseNorm2.1Actueel29 oktober 2021BeleidBij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners, business- en IT-specialisten);
  • de scope van de risico-assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving.
    		• PerspectievenIntentieBIO Thema-uitwerking ApplicatieontwikkelingBusiness Impact Analyse (BIA)
    Scenario's voor de Business Impact AnalyseAPO_B.05.02Scenario's voor de Business Impact AnalyseNorm2.1Actueel29 oktober 2021BeleidDe business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
    		• Scenario'sIntentieBIO Thema-uitwerking ApplicatieontwikkelingBusiness Impact Analyse (BIA)
    Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieAPO_B.05.03Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieNorm2.1Actueel29 oktober 2021BeleidMet de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • Verlies van orders en contracten en klanten
  • Verlies van tastbare assets
  • Onvoorziene kosten
  • Verlies van managementcontrol
  • Concurrentie
  • Late leveringen
  • Verlies van productiviteit
  • Compliance
  • Reputatie
    		• Aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheidIntentieBIO Thema-uitwerking ApplicatieontwikkelingBusiness Impact Analyse (BIA)
    GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenAPO_B.06.01GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenNorm2.1Actueel29 oktober 2021BeleidOm privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd.Privacy en bescherming van persoonsgegevensIntentieBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming persoonsgegevens applicatieontwikkeling
    Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomstenAPO_B.06.02Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomstenNorm2.1Actueel29 oktober 2021BeleidVoor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.Privacy en bescherming van persoonsgegevensIntentieBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming persoonsgegevens applicatieontwikkeling
    Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenAPO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenNorm2.1Actueel25 juli 2022BeleidEen tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen.Privacy en bescherming van persoonsgegevensIntentieBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming persoonsgegevens applicatieontwikkeling (ISOR:Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse))
    Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakAPO_B.06.04Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakNorm2.1Actueel29 oktober 2021BeleidPrivacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak.Privacy en bescherming van persoonsgegevensIntentieBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming persoonsgegevens applicatieontwikkeling
    Risicomanagement aanpak aantoonbaar toegepastAPO_B.06.05Risicomanagement aanpak aantoonbaar toegepastNorm2.1Actueel29 oktober 2021BeleidDe risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Privacy en bescherming van persoonsgegevensIntentieBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming persoonsgegevens applicatieontwikkeling
    Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdAPO_B.06.06Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdNorm2.1Actueel29 oktober 2021BeleidConform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd.Wet- en regelgevingIntentieBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming persoonsgegevens applicatieontwikkeling
    De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidAPO_B.07.01De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidNorm2.1Actueel29 oktober 2021BeleidDe doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.Ontwikkel- en onderhoudsbeleidFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    De doelorganisatie beschikt over QA- en KMS-methodiekAPO_B.07.02De doelorganisatie beschikt over QA- en KMS-methodiekNorm2.1Actueel29 oktober 2021BeleidDe doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek.Ontwikkel- en onderhoudsbeleidFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdAPO_B.07.03De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdNorm2.1Actueel29 oktober 2021BeleidDe ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.KwaliteitsmanagementsysteemFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    Voor informatie- en communicatie zijn processen ingerichtAPO_B.07.04Voor informatie- en communicatie zijn processen ingerichtNorm2.1Actueel29 oktober 2021BeleidEr zijn informatie- en communicatieprocessen ingericht.KwaliteitsmanagementsysteemFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdAPO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdNorm2.1Actueel29 oktober 2021BeleidOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd.KwaliteitsmanagementsysteemFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    Aan het management worden evaluatierapportages verstrektAPO_B.07.06Aan het management worden evaluatierapportages verstrektNorm2.1Actueel29 oktober 2021BeleidAan het management worden evaluatierapportages verstrekt.KwaliteitsmanagementsysteemFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMSAPO_B.07.07Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMSNorm2.1Actueel2 november 2021BeleidDe processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.KwaliteitsmanagementsysteemFunctieBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagementsysteem
    Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenAPO_B.08.01Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenNorm2.1Actueel29 oktober 2021BeleidOm de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
  • De broncodebibliotheken worden niet in operationele systemen opgeslagen.
  • De programmacode en de broncodebibliotheek behoren te worden beheerd conform vastgestelde procedures.
  • Ondersteunend personeel heeft geen onbeperkte toegang tot broncodebibliotheken.
  • Het updaten van de programmacode en samenhangende items en het verstrekken van de programmacode aan programmeurs vinden alleen plaats na ontvangst van een passend autorisatiebewijs.
  • Programma-uitdraaien worden in een beveiligde omgeving bewaard.
  • Van elke toegang tot broncodebibliotheken wordt een registratie bijgehouden in een auditlogbestand.
  • Onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    		• ProgrammabroncodebibliothekenGedragBIO Thema-uitwerking ApplicatieontwikkelingToegangsbeveiliging op programmacode
    Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdAPO_B.08.02Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdNorm2.1Actueel29 oktober 2021BeleidAls het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen.ProgrammabroncodebibliothekenGedragBIO Thema-uitwerking ApplicatieontwikkelingToegangsbeveiliging op programmacode
    Taken van de beveiligingsfunctionarisAPO_B.09.01Taken van de beveiligingsfunctionarisNorm2.1Actueel29 oktober 2021BeleidDe beveiligingsfunctionaris zorgt onder andere voor:
  • de actualisatie van beveiligingsbeleid;
  • een afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met onder andere de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen.
    		• BeveiligingsfunctionarisStructuurBIO Thema-uitwerking ApplicatieontwikkelingProjectorganisatie
    Inzicht gegeven door de beveiligingsfunctionarisAPO_B.09.02Inzicht gegeven door de beveiligingsfunctionarisNorm2.1Actueel29 oktober 2021BeleidDe beveiligingsfunctionaris geeft onder andere inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoudsvoorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
    		• BeveiligingsvoorschriftenStructuurBIO Thema-uitwerking ApplicatieontwikkelingProjectorganisatie
    Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienAPO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienNorm2.1Actueel1 november 2021ControlDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.RichtlijnenIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeAPO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeNorm2.1Actueel1 november 2021ControlDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.RichtlijnenIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastAPO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastNorm2.1Actueel1 november 2021ControlDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.RichtlijnenIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenAPO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenNorm2.1Actueel1 november 2021ControlDe projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.RichtlijnenIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    De Quality Assurance methodiek wordt conform de richtlijnen nageleefdAPO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefdNorm2.1Actueel1 november 2021ControlDe quality assurance-methodiek wordt conform de richtlijnen nageleefd.RichtlijnenIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenAPO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenNorm2.1Actueel1 november 2021ControlDe projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.Controle-activiteiten en rapportagesIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldAPO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldNorm2.1Actueel1 november 2021ControlPeriodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.OntwikkelactiviteitenIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn evaluatie-ontwikkelactiviteiten
    Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisAPO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisNorm2.1Actueel1 november 2021ControlHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.ProcesmatigFunctieBIO Thema-uitwerking ApplicatieontwikkelingVersiebeheer applicatieontwikkkeling
    Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdAPO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdNorm2.1Actueel1 november 2021ControlIn het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd.ProcesmatigFunctieBIO Thema-uitwerking ApplicatieontwikkelingVersiebeheer applicatieontwikkkeling
    Versiemanagement wordt ondersteund met procedures en werkinstructiesAPO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructiesNorm2.1Actueel1 november 2021ControlHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.ProcesmatigFunctieBIO Thema-uitwerking ApplicatieontwikkelingVersiebeheer applicatieontwikkkeling
    Ondersteuning vanuit het toegepaste versiebeheertoolAPO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertoolNorm2.1Actueel1 november 2021ControlEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals Ontwikkel, Test, Acceptatie en Productie (OTAP)) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
    		• EfficiëntFunctieBIO Thema-uitwerking ApplicatieontwikkelingVersiebeheer applicatieontwikkkeling
    Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktAPO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktNorm2.1Actueel1 november 2021ControlHet patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Procesmatig en procedureelFunctieBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement applicatieontwikkeling
    Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenAPO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenNorm2.1Actueel1 november 2021ControlDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement.Procesmatig en procedureelFunctieBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement applicatieontwikkeling
    Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdAPO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdNorm2.1Actueel1 november 2021ControlHet al dan niet uitvoeren van patches voor programmacode is geregistreerd.Procesmatig en procedureelFunctieBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement applicatieontwikkeling
    Het beheer van technische kwetsbaarheden in code uit externe bibliothekenAPO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliothekenNorm2.1Actueel1 november 2021ControlHet beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Technische kwetsbaarhedenFunctieBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement applicatieontwikkeling
    Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesAPO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesNorm2.1Actueel1 november 2021ControlBij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.Technische kwetsbaarhedenFunctieBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement applicatieontwikkeling
    Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isAPO_C.03.06Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isNorm2.1Actueel1 november 2021ControlUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd.TijdigFunctieBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement applicatieontwikkeling
    Software configuratiescomponenten worden conform procedures vastgelegdAPO_C.04.01Software configuratiescomponenten worden conform procedures vastgelegdNorm2.1Actueel1 november 2021ControlSoftwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd.Configuratie-administratie (CMDB)FunctieBIO Thema-uitwerking Applicatieontwikkeling(Software)configuratiebeheer
    De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelAPO_C.04.02De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelNorm2.1Actueel1 november 2021ControlDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.Configuratie-administratie (CMDB)FunctieBIO Thema-uitwerking Applicatieontwikkeling(Software)configuratiebeheer
    Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBAPO_C.04.03Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBNorm2.1Actueel1 november 2021ControlWijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB).Configuratie-administratie (CMDB)FunctieBIO Thema-uitwerking Applicatieontwikkeling(Software)configuratiebeheer
    Het compliance management proces is gedocumenteerd en vastgesteldAPO_C.05.01Het compliance management proces is gedocumenteerd en vastgesteldNorm2.1Actueel1 november 2021ControlDe projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek.Quality assurance-procesFunctieBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    De noodzakelijke eisen voor het compliance proces samengevat en vastgelegdAPO_C.05.02De noodzakelijke eisen voor het compliance proces samengevat en vastgelegdNorm2.1Actueel1 november 2021ControlConform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
  • het evalueren van de requirementsanalyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingscontrols (beleid, methoden en geprogrammeerde mechanismen voor de betrouwbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) zoals overeengekomen tijdens het risico-assessment zijn ontwikkeld en adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
    		• Quality assurance-procesFunctieBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijkenAPO_C.05.03Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijkenNorm2.1Actueel1 november 2021ControlDe resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.Quality assurance-procesFunctieBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegdAPO_C.05.04Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegdNorm2.1Actueel1 november 2021ControlToetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd.Quality assurance-procesFunctieBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefdAPO_C.06.01De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefdNorm2.1Actueel1 november 2021ControlHet compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management.Compliance-managementprocesFunctieBIO Thema-uitwerking ApplicatieontwikkelingCompliance-management
    Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerdAPO_C.06.02Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerdNorm2.1Actueel1 november 2021ControlVoor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (Algemene Verordening Gegevensbescherming (AVG), wet Computercriminaliteit, Encryptie e.d.) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van de wet- en regelgeving en het overeengekomen informatiebeveiligingsbeleid, de architectuur en de standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance-checks op wet- en regelgeving en overeengekomen beleid, architectuur en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen voor security-compliance in een autorisatiematrix.
    		• Compliance-managementprocesFunctieBIO Thema-uitwerking ApplicatieontwikkelingCompliance-management
    Testen bij verandering van besturingssystemenAPO_C.07.01Testen bij verandering van besturingssystemenNorm2.1Actueel1 november 2021ControlBij verandering van besturingssystemen wordt onder andere het volgende getest:
  • de toepassingscontrole procedures;
  • het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
  • het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en invloed hebben op de beveiliging van de applicatie;
  • het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    		• Veranderingen van besturingsplatformsFunctieBIO Thema-uitwerking ApplicatieontwikkelingTechnische beoordeling informatiesystemen
    De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegdAPO_C.08.01De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegdNorm2.1Actueel1 november 2021ControlDe samenhang van de beheersprocessen wordt met een processtructuur vastgelegd.Structuur van de beheersprocessenStructuurBIO Thema-uitwerking ApplicatieontwikkelingBeheersorganisatie applicatieontwikkeling
    De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkAPO_C.08.02De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkNorm2.1Actueel1 november 2021ControlDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.FunctionarissenStructuurBIO Thema-uitwerking ApplicatieontwikkelingBeheersorganisatie applicatieontwikkeling
    De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegdAPO_C.08.03De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegdNorm2.1Actueel1 november 2021ControlDe taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Taken, verantwoordelijkheden en bevoegdhedenStructuurBIO Thema-uitwerking ApplicatieontwikkelingBeheersorganisatie applicatieontwikkeling
    De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschrevenAPO_C.08.04De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschrevenNorm2.1Actueel1 november 2021ControlDe projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Taken, verantwoordelijkheden en bevoegdhedenStructuurBIO Thema-uitwerking ApplicatieontwikkelingBeheersorganisatie applicatieontwikkeling
    Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworksAPO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworksNorm2.1Actueel29 oktober 2021UitvoeringWijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD).LevenscyclusIntentieBIO Thema-uitwerking ApplicatieontwikkelingWijzigingsbeheerprocedure voor applicaties en systemen
    Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoerenAPO_U.01.02Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoerenNorm2.1Actueel29 oktober 2021UitvoeringHet wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren.LevenscyclusIntentieBIO Thema-uitwerking ApplicatieontwikkelingWijzigingsbeheerprocedure voor applicaties en systemen
    Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesAPO_U.01.03Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesNorm2.1Actueel29 oktober 2021UitvoeringNieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.Formele proceduresIntentieBIO Thema-uitwerking ApplicatieontwikkelingWijzigingsbeheerprocedure voor applicaties en systemen
    Elementen van de procedures voor wijzigingsbeheerAPO_U.01.04Elementen van de procedures voor wijzigingsbeheerNorm2.1Actueel29 oktober 2021UitvoeringEnkele elementen van procedures voor wijzigingsbeheer zijn:
  • Alle wijzigingsverzoeken/Request for Changes (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • Het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • Wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • Van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • Uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • Aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
    		• Formele proceduresIntentieBIO Thema-uitwerking ApplicatieontwikkelingWijzigingsbeheerprocedure voor applicaties en systemen
    Beleid ten aanzien van het type software dat mag worden geïnstalleerdAPO_U.02.01Beleid ten aanzien van het type software dat mag worden geïnstalleerdNorm2.1Actueel29 oktober 2021UitvoeringDe organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeperking software-installatie applicatieontwikkeling
    Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'APO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'Norm2.1Actueel29 oktober 2021UitvoeringHet toekennen van rechten om software te installeren vindt plaats met ‘least privilege’.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeperking software-installatie applicatieontwikkeling
    De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaarsAPO_U.02.03De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaarsNorm2.1Actueel29 oktober 2021UitvoeringDe rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingBeperking software-installatie applicatieontwikkeling
    De programmacode voor functionele specificaties is reproduceerbaarAPO_U.03.01De programmacode voor functionele specificaties is reproduceerbaarNorm2.1Actueel29 oktober 2021UitvoeringDe programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops en gebruikte externe bronnen.
    		• RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Programmacode wordt aantoonbaar veilig gecreëerdAPO_U.03.02Programmacode wordt aantoonbaar veilig gecreëerdNorm2.1Actueel2 november 2021UitvoeringDe (programma)code wordt aantoonbaar veilig gecreëerd.RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Programmacode is effectief, veranderbaar en testbaarAPO_U.03.03Programmacode is effectief, veranderbaar en testbaarNorm2.1Actueel2 november 2021UitvoeringDe (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van bugs in de code;
  • het voorkomen van herintroductie van bugs in de code;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van development en operations (dev/ops) van applicatie (relatie tussen software-objecten);
  • het adequaat documenteren van software-interface, koppelingen en Application Programming Interfaces (API’s).
    		• RegelsIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktAPO_U.03.04Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktNorm2.1Actueel29 oktober 2021UitvoeringOver het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt.Best practicesIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireAPO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireNorm2.1Actueel29 oktober 2021UitvoeringVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models.Best practicesIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenAPO_U.03.06Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenNorm2.1Actueel29 oktober 2021UitvoeringOntwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem.Best practicesIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Gebruik van programmacode uit externe programmabibliothekenAPO_U.03.07Gebruik van programmacode uit externe programmabibliothekenNorm2.1Actueel29 oktober 2021UitvoeringHet gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn.Best practicesIntentieBIO Thema-uitwerking ApplicatieontwikkelingRichtlijn programmacode
    Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdAPO_U.04.01Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdNorm2.1Actueel29 oktober 2021UitvoeringDe functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp.Functionele eisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiesysteem
    Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenAPO_U.04.02Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenNorm2.1Actueel29 oktober 2021UitvoeringHet functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden.Functionele eisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiesysteem
    Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdAPO_U.04.03Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdNorm2.1Actueel29 oktober 2021UitvoeringMet een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris.Functionele eisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiesysteem
    Alle vereisten worden gevalideerd door peer review of prototypingAPO_U.04.04Alle vereisten worden gevalideerd door peer review of prototypingNorm2.1Actueel29 oktober 2021UitvoeringAlle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode).Functionele eisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiesysteem
    Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpAPO_U.04.05Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpNorm2.1Actueel29 oktober 2021UitvoeringParallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd.Functionele eisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiesysteem
    Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenAPO_U.05.01Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenNorm2.1Actueel29 oktober 2021UitvoeringBij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO).BeveiligingseisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiebeveiligingseisen
    De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005APO_U.05.02De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005Norm2.1Actueel29 oktober 2021UitvoeringDe Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.BeveiligingseisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiebeveiligingseisen
    InformatiebeveiligingseisenAPO_U.05.03InformatiebeveiligingseisenNorm2.1Actueel29 oktober 2021UitvoeringInformatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit:
  • beleidsregels en wet- en regelgeving;
  • context- en kwetsbaarheidsanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
    		• BeveiligingseisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiebeveiligingseisen
    Overwogen informatiebeveiligingseisenAPO_U.05.04Overwogen informatiebeveiligingseisenNorm2.1Actueel29 oktober 2021UitvoeringVoor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatie eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen over beschikbaarheid, integriteit en vertrouwelijkheid;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
    		• BeveiligingseisenFunctieBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie informatiebeveiligingseisen
    Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieAPO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieNorm2.1Actueel29 oktober 2021UitvoeringHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikers-, beveiligings- en kwaliteitseisen;
  • business-vereisten (onder andere nut, noodzaak en kosten);
  • eisen die voortvloeien uit risico-assessments, dreigingsanalyse en prioritering ervan en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen die voortvloeien uit de Business Impact Analyse (BIA) en Privacy Impact Assessment (PIA).
    		• Business-vereisten en reviewsFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-ontwerp
    Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatieAPO_U.06.02Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatieNorm2.1Actueel29 oktober 2021UitvoeringBij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
  • mogelijke invoerbronnen voor data en connecties met andere applicaties (componenten);
  • connecties tussen modules binnen de applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
    		• OmgevingsanalyseFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-ontwerp
    Het ontwerp is mede gebaseerd op een beveiligingsarchitectuurAPO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuurNorm2.1Actueel29 oktober 2021UitvoeringHet ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit.(Specifieke) beveiligingFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-ontwerp
    Bereikcontroles worden toegepast en gegevens worden gevalideerdAPO_U.07.01Bereikcontroles worden toegepast en gegevens worden gevalideerdNorm2.1Actueel29 oktober 2021UitvoeringBereikcontroles worden toegepast en gegevens worden gevalideerd.InvoerfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Geprogrammeerde controles worden ondersteundAPO_U.07.02Geprogrammeerde controles worden ondersteundNorm2.1Actueel29 oktober 2021UitvoeringGeprogrammeerde controles worden ondersteund.VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Het uitvoeren van onopzettelijke mutaties wordt tegengegaanAPO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaanNorm2.1Actueel29 oktober 2021UitvoeringHet uitvoeren van onopzettelijke mutaties wordt tegengegaan.VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaarAPO_U.07.04Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaarNorm2.1Actueel29 oktober 2021UitvoeringVoorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar.VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaarAPO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaarNorm2.1Actueel29 oktober 2021UitvoeringVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail).VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Opgeleverde en over te dragen gegevens worden gevalideerdAPO_U.07.06Opgeleverde en over te dragen gegevens worden gevalideerdNorm2.1Actueel29 oktober 2021UitvoeringOpgeleverde/over te dragen gegevens worden gevalideerd.VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevensAPO_U.07.07Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevensNorm2.1Actueel29 oktober 2021UitvoeringDe controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd.VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderdAPO_U.07.08Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderdNorm2.1Actueel29 oktober 2021UitvoeringMet vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.VerwerkingsfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Gegevens worden conform vastgestelde beveiligingsklasse gevalideerdAPO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerdNorm2.1Actueel29 oktober 2021UitvoeringGegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid.UitvoerfunctiesFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiefunctionaliteit
    Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldAPO_U.08.01Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldNorm2.1Actueel29 oktober 2021UitvoeringGedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt waarmee zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
    		• (Industrie) good practiceFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Veilige methodes ter voorkoming van veranderingen in basis code of in software packagesAPO_U.08.02Veilige methodes ter voorkoming van veranderingen in basis code of in software packagesNorm2.1Actueel29 oktober 2021UitvoeringVeilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages.(Industrie) good practiceFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Voor het creëren van programma code wordt gebruik gemaakt van good practicesAPO_U.08.03Voor het creëren van programma code wordt gebruik gemaakt van good practicesNorm2.1Actueel29 oktober 2021UitvoeringVoor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering).(Industrie) good practiceFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Geen gebruik van onveilig programmatechniekenAPO_U.08.04Geen gebruik van onveilig programmatechniekenNorm2.1Actueel29 oktober 2021UitvoeringHet gebruik van onveilig programmatechnieken is niet toegestaan.(Industrie) good practiceFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenAPO_U.08.05(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenNorm2.1Actueel29 oktober 2021UitvoeringDe programmacode is beschermd tegen ongeautoriseerde wijzigingen.(Industrie) good practiceFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Activiteiten van applicatiebouw worden gereviewdAPO_U.08.06Activiteiten van applicatiebouw worden gereviewdNorm2.1Actueel29 oktober 2021UitvoeringActiviteiten van applicatiebouw worden gereviewd.(Industrie) good practiceFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanterenAPO_U.08.07De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanterenNorm2.1Actueel29 oktober 2021UitvoeringDe ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.Juiste vaardigheden en toolsFunctieBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Functionarissen testen functionele requirementsAPO_U.09.01Functionarissen testen functionele requirementsNorm2.1Actueel29 oktober 2021UitvoeringVanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules).BedrijfsfunctionaliteitenFunctieBIO Thema-uitwerking ApplicatieontwikkelingTesten systeembeveiliging
    In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekAPO_U.09.02In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekNorm2.1Actueel29 oktober 2021UitvoeringDe functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.BeveiligingsfunctionaliteitenFunctieBIO Thema-uitwerking ApplicatieontwikkelingTesten systeembeveiliging
    Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktAPO_U.10.01Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktNorm2.1Actueel29 oktober 2021UitvoeringVoor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd.AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Van de resultaten van de testen wordt een verslag gemaaktAPO_U.10.02Van de resultaten van de testen wordt een verslag gemaaktNorm2.1Actueel29 oktober 2021UitvoeringVan de resultaten van de testen wordt een verslag gemaakt.AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Testresultaten worden formeel geëvalueerd en beoordeeldAPO_U.10.03Testresultaten worden formeel geëvalueerd en beoordeeldNorm2.1Actueel29 oktober 2021UitvoeringTestresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingAPO_U.10.04Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingNorm2.1Actueel29 oktober 2021UitvoeringAcceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving.AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangAPO_U.10.05Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangNorm2.1Actueel29 oktober 2021UitvoeringVoordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensAPO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensNorm2.1Actueel29 oktober 2021UitvoeringTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenAPO_U.10.07Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenNorm2.1Actueel29 oktober 2021UitvoeringBij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
  • het testen van de functionele requirements;
  • het testen van de business rules voor de betrokken bedrijfsprocessen;
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
    		• AcceptatietestsFunctieBIO Thema-uitwerking ApplicatieontwikkelingSysteemacceptatietest
    Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermenAPO_U.11.01Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermenNorm2.1Actueel29 oktober 2021UitvoeringDe volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatie verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
    		• TestgegevensFunctieBIO Thema-uitwerking ApplicatieontwikkelingBeschermen testgegevens
    Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingAPO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingNorm2.1Actueel29 oktober 2021UitvoeringSysteemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenAPO_U.12.02Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenNorm2.1Actueel29 oktober 2021UitvoeringDe organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenAPO_U.12.03De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenNorm2.1Actueel29 oktober 2021UitvoeringDe taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    Voor remote werkzaamheden is een werkwijze vastgelegdAPO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegdNorm2.1Actueel29 oktober 2021UitvoeringVoor remote-werkzaamheden is een werkwijze vastgelegd.beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    Ontwikkelaars hebben geen toegang tot productieomgevingAPO_U.12.05Ontwikkelaars hebben geen toegang tot productieomgevingNorm2.1Actueel29 oktober 2021UitvoeringOntwikkelaars hebben geen toegang tot de productieomgeving.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenAPO_U.12.06Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenNorm2.1Actueel29 oktober 2021UitvoeringVoor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsAPO_U.12.07De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsNorm2.1Actueel29 oktober 2021UitvoeringDe overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsAPO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsNorm2.1Actueel29 oktober 2021UitvoeringDe overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats.Beveiligde ontwikkelomgevingenGedragBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    De overdracht naar de Productieomgeving vindt gecontroleerd plaatsAPO_U.12.09De overdracht naar de Productieomgeving vindt gecontroleerd plaatsNorm2.1Actueel29 oktober 2021UitvoeringDe overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.Beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkelomgeving
    Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnenAPO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnenNorm2.1Actueel29 oktober 2021UitvoeringKoppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen.KoppelingsrichtlijnenGedragBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppeling
    Van het type koppelingen is een overzicht aanwezigAPO_U.13.02Van het type koppelingen is een overzicht aanwezigNorm2.1Actueel29 oktober 2021UitvoeringVan het type koppelingen is een overzicht aanwezig.KoppelingsrichtlijnenGedragBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppeling
    Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachtenAPO_U.13.03Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachtenNorm2.1Actueel29 oktober 2021UitvoeringKoppelingen worden uitgevoerd via geautoriseerde opdrachten.KoppelingsrichtlijnenGedragBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppeling
    De uitgevoerde koppelingen worden geregistreerdAPO_U.13.04De uitgevoerde koppelingen worden geregistreerdNorm2.1Actueel29 oktober 2021UitvoeringDe uitgevoerde koppelingen worden geregistreerd.koppelingsrichtlijnenGedragBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppeling
    Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten wordenAPO_U.14.01Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten wordenNorm2.1Actueel1 november 2021UitvoeringWelke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd.LoggingGedragBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring applicatieontwikkeling
    Informatie ten aanzien van autorisatie(s) wordt vastgelegdAPO_U.14.02Informatie ten aanzien van autorisatie(s) wordt vastgelegdNorm2.1Actueel1 november 2021UitvoeringInformatie over autorisatie(s) wordt vastgelegd.LoggingGedragBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring applicatieontwikkeling
    De loggegevens zijn beveiligdAPO_U.14.03De loggegevens zijn beveiligdNorm2.1Actueel1 november 2021UitvoeringDe loggegevens zijn beveiligd.LoggingGedragBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring applicatieontwikkeling
    De locatie van de vastlegging van de loggegevens is vastgesteldAPO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteldNorm2.1Actueel1 november 2021UitvoeringDe locatie van de vastlegging van de loggegevens is vastgesteld.LoggingGedragBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring applicatieontwikkeling
    De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet wordenAPO_U.14.05De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet wordenNorm2.1Actueel1 november 2021UitvoeringDe applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.MonitoringGedragBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring applicatieontwikkeling
    De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegdAPO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegdNorm2.1Actueel1 november 2021UitvoeringDe frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.MonitoringGedragBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring applicatieontwikkeling
    De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldAPO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldNorm2.1Actueel1 november 2021UitvoeringDe architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
    		• Applicatie-architectuurStructuurBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-architectuur
    Het architectuur document wordt actief onderhoudenAPO_U.15.02Het architectuur document wordt actief onderhoudenNorm2.1Actueel1 november 2021UitvoeringHet architectuurdocument wordt actief onderhouden.Applicatie-architectuurStructuurBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-architectuur
    De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepastAPO_U.15.03De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepastNorm2.1Actueel1 november 2021UitvoeringDe voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast.Applicatie-architectuurStructuurBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-architectuur
    Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichtenAPO_U.15.04Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichtenNorm2.1Actueel1 november 2021UitvoeringTussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.SamenhangStructuurBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-architectuur
    Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaarAPO_U.15.05Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaarNorm2.1Actueel1 november 2021UitvoeringHet is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten).SamenhangStructuurBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-architectuur
    De relatie tussen de persoonsgegevens is inzichtelijkAPO_U.15.06De relatie tussen de persoonsgegevens is inzichtelijkNorm2.1Actueel1 november 2021UitvoeringDe relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk.SamenhangStructuurBIO Thema-uitwerking ApplicatieontwikkelingApplicatie-architectuur
    Het tool ondersteunt alle fasen van het ontwikkelprocesAPO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelprocesNorm2.1Actueel1 november 2021UitvoeringHet tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages.FaciliteitenStructuurBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenAPO_U.16.02Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenNorm2.1Actueel1 november 2021UitvoeringHet tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.FaciliteitenStructuurBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Het tool beschikt over faciliteiten voor versie- en releasebeheerAPO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheerNorm2.1Actueel1 november 2021UitvoeringHet tool beschikt over faciliteiten voor versie- en releasebeheer.FaciliteitenStructuurBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Faciliteiten van het toolAPO_U.16.04Faciliteiten van het toolNorm2.1Actueel1 november 2021UitvoeringHet tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
    		• FaciliteitenStructuurBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Het tool beschikt over faciliteiten voor de koppelingen met externe bronnenAPO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnenNorm2.1Actueel1 november 2021UitvoeringHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen.FaciliteitenStructuurBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Informeren welke wet- en regelgeving van toepassing is op clouddienstenCLD_B.01.01Informeren welke wet- en regelgeving van toepassing is op clouddienstenNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten.Wettelijke, statutaire en regelgevende eisenIntentieBIO Thema-uitwerking ClouddienstenWet- en regelgeving Clouddiensten
    Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevensCLD_B.01.02Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevensNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen.Wettelijke, statutaire en regelgevende eisenIntentieBIO Thema-uitwerking ClouddienstenWet- en regelgeving Clouddiensten
    Identificeren vereisten die van toepassing zijnCLD_B.01.03Identificeren vereisten die van toepassing zijnNorm2.1Actueel6 december 2021BeleidDe voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).Wettelijke, statutaire en regelgevende eisenIntentieBIO Thema-uitwerking ClouddienstenWet- en regelgeving Clouddiensten
    Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereistenCLD_B.01.04Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereistenNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Wettelijke, statutaire en regelgevende eisenIntentieBIO Thema-uitwerking ClouddienstenWet- en regelgeving Clouddiensten
    Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisenCLD_B.01.05Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisenNorm2.1Actueel10 november 2021BeleidVoor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Contractuele eisenIntentieBIO Thema-uitwerking ClouddienstenWet- en regelgeving Clouddiensten
    Vaststellen alle van toepassing zijnde wet- en regelgevingCLD_B.01.06Vaststellen alle van toepassing zijnde wet- en regelgevingNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.AanpakIntentieBIO Thema-uitwerking ClouddienstenWet- en regelgeving Clouddiensten
    Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteuntCLD_B.02.01Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteuntNorm2.1Actueel17 januari 2022BeleidDe cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt.
    		• CloudbeveiligingsstrategieIntentieBIO Thema-uitwerking ClouddienstenCloudbeveiligingsstrategie
    Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontextCLD_B.02.02Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontextNorm2.1Actueel6 december 2021BeleidDe cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
  • geeft onder andere aan hoe zij Cloud Service Consumers (CSC’s) tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie.
    		• CloudbeveiligingsstrategieIntentieBIO Thema-uitwerking ClouddienstenCloudbeveiligingsstrategie
    Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelenCLD_B.02.03Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelenNorm2.1Actueel6 december 2021BeleidDe samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloud-beveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
    		• SamenhangtIntentieBIO Thema-uitwerking ClouddienstenCloudbeveiligingsstrategie
    Vastleggen bepalingen over exit-regelingCLD_B.03.01Vastleggen bepalingen over exit-regelingNorm2.1Actueel6 december 2021BeleidDe Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie conformiteitsindicator Condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn geeft voldoende tijd om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
    		• BepalingenIntentieBIO Thema-uitwerking ClouddienstenExit-strategie clouddiensten
    Overgaan tot exit buiten verstrijken contractperiodeCLD_B.03.02Overgaan tot exit buiten verstrijken contractperiodeNorm2.1Actueel6 december 2021BeleidDe Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
  • Contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de Cloud Service Provider (CSP) van de Service Level Agreement (SLA);
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of-life van clouddienst(en);
    • achterwege blijvende features.
    		• ConditiesIntentieBIO Thema-uitwerking ClouddienstenExit-strategie clouddiensten
    Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleidCLD_B.04.01Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleidNorm2.1Actueel5 januari 2022BeleidHet cloud-beveiligingsbeleid bevat:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services;
    • communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy-maatregelen op wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van de CSC;
    • toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services;
    • toegang tot en protectie van de data van de CSC;
    • levenscyclusmanagement van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
    		• Cloud-beveiligingsbeleidIntentieBIO Thema-uitwerking ClouddienstenClouddienstenbeleid
    Bevatten diverse aspecten in systeembeschrijvingCLD_B.05.01Bevatten diverse aspecten in systeembeschrijvingNorm2.1Actueel5 januari 2022BeleidDe systeembeschrijving bevat de volgende aspecten:
  • typen en scope van clouddiensten weergegeven met Service Level Agreements (SLA’s);
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de Cloud Service Provider (CSP) en Cloud Service Consumer (CSC), inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.
    		• SysteembeschrijvingIntentieBIO Thema-uitwerking ClouddienstenTransparantie
    SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatieCLD_B.05.02SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatieNorm2.1Actueel6 december 2021BeleidDe Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.JurisdictieIntentieBIO Thema-uitwerking ClouddienstenTransparantie
    SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkhedenCLD_B.05.03SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkhedenNorm2.1Actueel6 december 2021BeleidDe Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden.OnderzoeksmogelijkhedenIntentieBIO Thema-uitwerking ClouddienstenTransparantie
    SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificatenCLD_B.05.04SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificatenNorm2.1Actueel6 december 2021BeleidDe Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten.CertificatenIntentieBIO Thema-uitwerking ClouddienstenTransparantie
    Hebben CSP-verantwoordelijkhedenCLD_B.06.01Hebben CSP-verantwoordelijkhedenNorm2.1Actueel6 december 2021BeleidDe verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
  • ontwikkelen van het risicomanagementproces voor informatiebeveiliging dat toegespitst is op de omgeving van de CSP;
  • identificeren van analyses van de stakeholders;
  • definiëren van de rollen en verantwoordelijkheden van in- en externe partijen;
  • vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders en de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
    		• VerantwoordelijkhedenIntentieBIO Thema-uitwerking ClouddienstenRisicomanagement
    Goedkeuren organisatie van risicomanagementprocesCLD_B.06.02Goedkeuren organisatie van risicomanagementprocesNorm2.1Actueel6 december 2021BeleidDe organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP).VerantwoordelijkhedenIntentieBIO Thema-uitwerking ClouddienstenRisicomanagement
    Beschrijven risicomanagementprocesCLD_B.06.03Beschrijven risicomanagementprocesNorm2.1Actueel10 november 2021BeleidHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.RisicomanagementprocesIntentieBIO Thema-uitwerking ClouddienstenRisicomanagement
    Treffen maatregelen voor beveiliging IT-functionaliteitenCLD_B.07.01Treffen maatregelen voor beveiliging IT-functionaliteitenNorm2.1Actueel10 november 2021BeleidVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.IT-functionaliteitenFunctieBIO Thema-uitwerking ClouddienstenIT-functionaliteit
    Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuurCLD_B.07.02Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuurNorm2.1Actueel6 december 2021BeleidTechnische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur.IT-functionaliteitenFunctieBIO Thema-uitwerking ClouddienstenIT-functionaliteit
    Bewaken en beheersen IT-infrastructuurCLD_B.07.03Bewaken en beheersen IT-infrastructuurNorm2.1Actueel6 december 2021BeleidDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.IT-functionaliteitenFunctieBIO Thema-uitwerking ClouddienstenIT-functionaliteit
    Inrichten infrastructuur met betrouwbare hardware- en software-componentenCLD_B.07.04Inrichten infrastructuur met betrouwbare hardware- en software-componentenNorm2.1Actueel10 november 2021BeleidDe infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten.Robuuste en beveiligde systeemketenFunctieBIO Thema-uitwerking ClouddienstenIT-functionaliteit
    Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallenCLD_B.07.05Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallenNorm2.1Actueel10 november 2021BeleidEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.Robuuste en beveiligde systeemketenFunctieBIO Thema-uitwerking ClouddienstenIT-functionaliteit
    Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkhedenCLD_B.08.01Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkhedenNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Verantwoordelijkheid voor BCMFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Zeker stellen adequate resources voor uitvoeren van BCM-procesCLD_B.08.02Zeker stellen adequate resources voor uitvoeren van BCM-procesNorm2.1Actueel6 december 2021BeleidDe verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Verantwoordelijkheid voor BCMFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Committeren aan vastgestelde BCM-vereistenCLD_B.08.03Committeren aan vastgestelde BCM-vereistenNorm2.1Actueel6 december 2021BeleidHet management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten.Verantwoordelijkheid voor BCMFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Vaststellen en communiceren BCM- en BIA-beleidCLD_B.08.04Vaststellen en communiceren BCM- en BIA-beleidNorm2.1Actueel6 december 2021BeleidHet bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd.Verantwoordelijkheid voor BCMFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservicesCLD_B.08.05Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservicesNorm2.1Actueel10 november 2021BeleidHet beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere Cloud Service Providers (CSP's) of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatie van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
    		• Beleid en proceduresFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteitCLD_B.08.06Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteitNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
  • definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor de review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
    		• BedrijfscontinuïteitsplanningFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannenCLD_B.08.07Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannenNorm2.1Actueel5 januari 2022BeleidBusiness impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Verificatie en updatenFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testenCLD_B.08.08Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testenNorm2.1Actueel6 december 2021BeleidBij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen.Verificatie en updatenFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningenCLD_B.08.09Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningenNorm2.1Actueel6 december 2021BeleidDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.ComputercentraFunctieBIO Thema-uitwerking ClouddienstenBedrijfscontinuïteitsmanagement
    Treffen maatregelen voor opslag, verwerking en transport van dataCLD_B.09.01Treffen maatregelen voor opslag, verwerking en transport van dataNorm2.1Actueel12 november 2021BeleidVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Beveiligingsaspecten en stadiaGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptieCLD_B.09.02Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptieNorm2.1Actueel6 december 2021BeleidTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie.Toegang en privacyGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Toekennen classificatie aan data en middelen waarin/waarop zich data bevindtCLD_B.09.03Toekennen classificatie aan data en middelen waarin/waarop zich data bevindtNorm2.1Actueel12 november 2021BeleidAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie.Classificatie/labelenGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerkenCLD_B.09.04Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerkenNorm2.1Actueel12 november 2021BeleidData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Classificatie/labelenGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddienstenCLD_B.09.05Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddienstenNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten.Classificatie/labelenGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Vaststellen eigenaarschap van middelen die deel uitmaken van clouddienstenCLD_B.09.06Vaststellen eigenaarschap van middelen die deel uitmaken van clouddienstenNorm2.1Actueel12 november 2021BeleidHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.EigenaarschapGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienstCLD_B.09.07Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienstNorm2.1Actueel6 december 2021BeleidIn de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.EigenaarschapGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Specificeren en documenteren opslag op welke locatie dataCLD_B.09.08Specificeren en documenteren opslag op welke locatie dataNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.LocatieGedragBIO Thema-uitwerking ClouddienstenPrivacy en bescherming persoonsgegevens clouddiensten
    Bewerkstelligen en promoten cloudbeveiligingsbeleidCLD_B.10.01Bewerkstelligen en promoten cloudbeveiligingsbeleidNorm2.1Actueel6 december 2021BeleidDe beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
  • ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid;
  • ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • definiëren van een set beveiligingsdiensten;
  • coördineren van beveiliging door de gehele organisatie;
  • monitoren van de effectiviteit van clouddienstreglementen;
  • bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
    		• BeveiligingsfunctieStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelenCLD_B.10.02Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelenNorm2.1Actueel10 november 2021BeleidDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • activiteiten van cloud-risicoassessment;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiligen van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
    		• BeveiligingsfunctieStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Geven positie van informatiebeveiligingsorganisatie binnen organisatieCLD_B.10.03Geven positie van informatiebeveiligingsorganisatie binnen organisatieNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven.Organisatorische positieStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk makenCLD_B.10.04Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk makenNorm2.1Actueel6 december 2021BeleidDe Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.Taken, verantwoordelijkheden en bevoegdhedenStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiligingCLD_B.10.05Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiligingNorm2.1Actueel10 november 2021BeleidDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Taken, verantwoordelijkheden en bevoegdhedenStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrixCLD_B.10.06Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrixNorm2.1Actueel10 november 2021BeleidDe belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.FunctionarissenStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissenCLD_B.10.07Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissenNorm2.1Actueel10 november 2021BeleidDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.RapportagelijnenStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    Vaststellen type, frequentie en eisen voor inhoudelijke rapportagesCLD_B.10.08Vaststellen type, frequentie en eisen voor inhoudelijke rapportagesNorm2.1Actueel10 november 2021BeleidHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.RapportagelijnenStructuurBIO Thema-uitwerking ClouddienstenBeveiligingsorganisatie clouddiensten
    ... meer resultaten

    Nederlandse Overheid Referentie Architectuur.

    Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

    Betekenisvolle gegevens.

    Betekenisvolle gegevens.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

    Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

    Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

    Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Houdt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is.

    Overgenomen van "https://www.noraonline.nl/index.php?title=Alle_normen_alle_eigenschappen&oldid=64931"