BIO Thema Huisvesting Informatievoorziening/alle normen alle eigenschappen
Naar navigatie springen
Naar zoeken springen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Toegangsbeveiliging, met het unieke ID, het
trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
en via BIO Thema-uitwerking Toegangsbeveiliging per aspect Beleid, Uitvoering of Control
| ID | trefwoord | Stelling |
|---|---|---|
| TBV_B.01.01 | Toegangsbeveiligingsbeleid | Het toegangvoorzieningsbeleid:
|
| TBV_B.01.02 | Bedrijfseisen | Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. |
| TBV_B.01.03 | Bedrijfseisen | Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. |
| TBV_B.01.04 | Informatiebeveiligingseisen | Informatiespreiding en autorisatie tot informatie worden uitgevoerd met need-to-know- en need-to-use- principes. |
| TBV_B.01.05 | Informatiebeveiligingseisen | Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). |
| TBV_B.02.01 | Eigenaarschap | Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers). |
| TBV_B.02.02 | Eigenaarschap | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem. |
| TBV_B.02.03 | Verantwoordelijkheden voor logische toegangsbeveiligingssystemen | De eigenaar is verantwoordelijk voor:
|
| TBV_B.02.04 | Verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen | De eigenaar is verantwoordelijk voor:
|
| TBV_B.03.01 | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: Human Resource Management (HRM), Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid. |
| TBV_B.03.02 | Beveiligingsfunctie | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem. |
| TBV_B.04.01 | Authenticatie-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling. |
| TBV_B.04.02 | Cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen aan:
|
| TBV_B.05.01 | Organisatorische positie | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. |
| TBV_B.05.02 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. |
| TBV_B.05.03 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix. |
| TBV_B.05.04 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. |
| TBV_B.05.05 | Rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. |
| TBV_B.05.06 | Rapportagelijnen | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. |
| TBV_B.06.01 | Technische inrichting | De technische inrichting van de toegangsbeveiliging is met organisatorische eisen vormgegeven aangaande:
|
| TBV_B.06.02 | Toegangsbeveiligingsarchitectuur | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. |
| TBV_C.01.01 | Procedures | De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data). |
| TBV_C.01.02 | Procedures | De organisatie beschikt over een beschrijving van de relevante controleprocessen. |
| TBV_C.01.03 | Procedures | De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. |
| TBV_C.01.04 | Procedures | De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. |
| TBV_C.02.01 | Toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld. |
| TBV_C.02.02 | Toegangsrechten | Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld. |
| TBV_C.02.03 | Toegangsrechten | Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. |
| TBV_C.02.04 | Toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. |
| TBV_C.02.05 | Toegangsrechten | De opvolging van bevindingen is gedocumenteerd. |
| TBV_C.02.06 | Beoordelen | Het beoordelen vindt plaats met een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. |
| TBV_C.02.07 | Beoordelen | Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging. |
| TBV_C.03.01 | Log-bestanden | Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip). |
| TBV_C.03.02 | Log-bestanden | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals wachtwoorden en inbelnummers). |
| TBV_C.03.03 | Gebruikersactiviteiten | De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt dankzij een Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC), die wordt ingezet door een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd. |
| TBV_C.03.04 | Bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen de geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen. |
| TBV_C.03.05 | Bewaard | De Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC) hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd. |
| TBV_C.03.06 | Bewaard | Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de Algemene Verordening Gegevensbescherming (AVG), een verwerkingsactiviteitenregister bijgehouden. |
| TBV_C.03.07 | Beoordeeld | De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole. |
| TBV_C.04.01 | Processtructuur | De samenhang van de processen wordt met een processtructuur vastgelegd. |
| TBV_C.04.02 | Taken, verantwoordelijkheden en bevoegdheden | De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. |
| TBV_C.04.03 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. |
| TBV_U.01.01 | Formele registratie- en afmeldprocedure | Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (vanaf de eerste registratie tot en met de beëindiging). |
| TBV_U.01.02 | Formele registratie- en afmeldprocedure | Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. |
| TBV_U.01.03 | Formele registratie- en afmeldprocedure | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. |
| TBV_U.01.04 | Toegangsrechten | Gebruikers worden met juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know- en need-to-have-principes). |
| TBV_U.01.05 | Toegangsrechten | Een bevoegdhedenmatrix is beschikbaar waarmee gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. |
| TBV_U.02.01 | Gebruikers toegangverleningsprocedure | Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris. |
| TBV_U.02.02 | Gebruikers toegangverleningsprocedure | Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. |
| TBV_U.02.03 | Gebruikers toegangverleningsprocedure | Er is een actueel mandaatregister of er zijn functieprofielen waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten. |
| TBV_U.03.01 | Beveiligde inlogprocedure | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen of op basis van minimaal twee-factorauthenticatie. |
| TBV_U.03.02 | Beveiligde inlogprocedure | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. |
| TBV_U.03.03 | Beveiligde inlogprocedure | De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. |
| TBV_U.04.01 | Formeel autorisatieproces | Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties. |
| TBV_U.04.02 | Formeel autorisatieproces | Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris. |
| TBV_U.04.03 | Formeel autorisatieproces | De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. |
| TBV_U.04.04 | Toegangsrechten | Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken. |
| TBV_U.04.05 | Toegangsrechten | Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. |
| TBV_U.04.06 | Toegangsrechten | Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren. |
| TBV_U.05.01 | Sterke wachtwoorden | Als geen gebruik wordt gemaakt van twee-factorauthenticatie:
|
| TBV_U.05.02 | Sterke wachtwoorden | In situaties waar geen twee-factorauthenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. |
| TBV_U.06.01 | Toewijzen | Het toewijzen van speciale toegangsrechten vindt plaats door een risicoafweging en met richtlijnen en procedures. |
| TBV_U.06.02 | Speciale toegangsrechten | Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use). |
| TBV_U.06.03 | Beheerst | De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. |
| TBV_U.07.01 | Taken | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. |
| TBV_U.07.02 | Verantwoordelijkheden | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. |
| TBV_U.07.03 | Gescheiden | Een risicoafweging bepaalt waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. |
| TBV_U.07.04 | Gescheiden | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen. |
| TBV_U.07.05 | Onbedoeld | Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen. |
| TBV_U.08.01 | Authenticatie-informatie | Elke gebruiker wordt geïdentificeerd met een identificatiecode. |
| TBV_U.08.02 | Authenticatie-informatie | Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld. |
| TBV_U.08.03 | Beheersproces | Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden. |
| TBV_U.08.04 | Beheersproces | Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. |
| TBV_U.09.01 | Informatie | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. |
| TBV_U.09.02 | Systeemfuncties | Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. |
| TBV_U.09.03 | Toegangbeveiligingsbeleid | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. |
| TBV_U.09.04 | Toegangbeveiligingsbeleid | Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. |
| TBV_U.10.01 | Autorisatievoorzieningen | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. |
| TBV_U.10.02 | Personeelsregistratiesysteem | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. |
| TBV_U.10.03 | Autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. |
| TBV_U.10.04 | Autorisatiefaciliteiten | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. |
| TBV_U.11.01 | Beveiligde gebieden | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. |
| TBV_U.11.02 | Passende toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd. |
| TBV_U.11.03 | Passende toegangsbeveiliging | Medewerkers, contractanten en externen dragen zichtbare identificatie. |
| TBV_U.11.04 | Passende toegangsbeveiliging | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. |