Beveiligingsprincipes
Naar navigatie springen
Naar zoeken springen
Op deze pagina vind u alle Beveiligingsprincipes uit de NORA. Privacyprincipes komen oorspronkelijk voort uit de normenkaders van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en maken onderdeel uit van de ISOR (Information Security Object Repository). Het is de bedoeling dat de Beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORA Basisprincipes en Afgeleide principes en het thema Beveiliging.
Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.
Alle privacyprincipes[bewerken]
De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.
| ID | Naam | Criterium | Doelstelling |
|---|---|---|---|
| APO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. | Het beheersen van het (beveiligd) ontwikkelen van applicaties. |
| APO_B.02 | Systeem-ontwikkelmethode | Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd. | Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten. |
| APO_B.03 | Classificatie van informatie | Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. | Het inzichtelijk maken welke mate van bescherming de informatie nodig heeft. |
| APO_B.04 | Engineeringsprincipe voor beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | Het continue hebben van een toegepaste beveiligingsbasis voor alle verrichtingen voor het implementeren van informatiesystemen. |
| APO_B.05 | Business Impact Analyse (BIA) | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie. | Het vaststellen van een mogelijke bedrijfsimpact die de verantwoordelijke wil accepteren, in het geval de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie wordt aangetast. |
| APO_B.06 | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving. | Het reduceren van privacy-risico’s voor de betrokkene en het vermijden van schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving die betrekking hebben op de bescherming van persoonsgegevens. |
| APO_B.07 | Kwaliteitsmanagementsysteem | De doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. | Het zorgen dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst op het juiste kwaliteitsniveau. |
| APO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmabroncodebibliotheken behoren te worden beperkt. | Het zorgen dat alleen die personen die toegang nodig hebben voor het uitvoeren van hun werkzaamheden toegang krijgen tot de programmabroncodebibliotheken en samenhangende elementen |
| APO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. | Het ondersteunen van de (project-)organisatie voor informatiebeveiliging in het applicatie-ontwikkeltraject. |
| APO_C.01 | Richtlijn evaluatie-ontwikkelactiviteiten | De projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode. | Het adequaat controle-activiteiten en rapportages opstellen gericht op ontwikkelactiviteiten. |
| APO_C.02 | Versiebeheer applicatieontwikkkeling | De projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer procesmatig en efficiënt ingericht te hebben. | Dat eenieder die in rol heeft in het systeem-ontwikkeltraject op ieder moment kan beschikken over de juiste versie van een document, programma e.d. |
| APO_C.03 | Patchmanagement applicatieontwikkeling | Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd. | Zekerstellen dat technische en software kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd. |
| APO_C.04 | (Software)configuratiebeheer | De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. | Het waarborgen dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. |
| APO_C.05 | Quality assurance | De projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen. | Het kunnen vaststellen van de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling. |
| APO_C.06 | Compliance-management | De projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. | Het reduceren van risico’s en het vermijden van (im)materiële schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving, overeenkomsten, beleid en andere verplichtingen. |
| APO_C.07 | Technische beoordeling informatiesystemen | Bij veranderingen van besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie. | Er ontstaat geen nadelige impact op de activiteiten of de beveiliging van de organisatie. |
| APO_C.08 | Beheersorganisatie applicatieontwikkeling | De projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld. | Het invullen, coördineren en borgen van de beheersing van softwareontwikkeling. |
| APO_U.01 | Wijzigingsbeheerprocedure voor applicaties en systemen | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. | Het gecontroleerd laten verlopen van wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling. |
| APO_U.02 | Beperking software-installatie applicatieontwikkeling | Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken zoals het weglekken van informatie, verlies van integriteit of andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten. |
| APO_U.03 | Richtlijn programmacode | Voor het ontwikkelen van de (programma)code zijn specifieke regels van toepassing en behoort gebruik te zijn gemaakt van specifieke best practices. | Het zorgen voor een efficiënt en effectief voortbrengingsproces van de applicatie die effectief onderhoudbaar is. |
| APO_U.04 | Analyse en specificatie informatiesysteem | De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd. | Een basis leggen voor de volgende fases (de ontwerpfase en verder) met geanalyseerde en gespecificeerde functionele eisen. |
| APO_U.05 | Analyse en specificatie informatiebeveiligingseisen | De beveiligingseisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen. | Het waarborgen dat de informatiebeveiligingseisen integraal onderdeel uitmaken van de eisen van informatiesystemen (nieuw en uitgebreid). |
| APO_U.06 | Applicatie-ontwerp | Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: business-vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging. | Het opstellen van een veilig en gedegen/solide applicatieontwerp. |
| APO_U.07 | Applicatiefunctionaliteit | Informatiesystemen behoren zo te worden ontworpen, dat de invoerfuncties, verwerkingsfuncties en uitvoerfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen. | Het bedrijfsproces optimaal te ondersteunen. |
| APO_U.08 | Applicatiebouw | De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met (industrie) good practice en door individuen die beschikken over de juiste vaardigheden en tools en behoort te worden gereviewd. | Het zorgen dat er geen zwakke punten in de veiligheid worden geïntroduceerd en dat applicaties in staat zijn om kwaadaardige aanvallen te weerstaan. |
| APO_U.09 | Testen systeembeveiliging | Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest. | Het nagaan of de applicatie met zijn bedrijfs- en beveiligingsfunctionaliteiten werkt conform de eerder vastgelegde eisen. |
| APO_U.10 | Systeemacceptatietest | Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. | Toetsen of de requirements adequaat in het uiteindelijke product, het nieuwe informatiesysteem, zijn verwerkt. |
| APO_U.11 | Beschermen testgegevens | Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd. | Het vermijden van persoonsgegevens of enige andere vertrouwelijke informatie voor testdoeleinden en de bescherming waarborgen van gegevens die voor het testen van informatiesystemen zijn gebruikt. |
| APO_U.12 | Beveiligde ontwikkelomgeving | Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | De reden waarom de norm gehanteerd wordt. |
| APO_U.13 | Applicatiekoppeling | De koppelingen tussen applicaties behoren te worden uitgevoerd met geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen. | Het kunnen leveren van de juiste services en de informatiebeveiliging van de betrokken applicaties te kunnen waarborgen. |
| APO_U.14 | Logging en monitoring applicatieontwikkeling | Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen. | Ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen. |
| APO_U.15 | Applicatie-architectuur | De functionele en beveiligingseisen behoren in een applicatie-architectuur, conform architectuurvoorschriften, in samenhang te zijn vastgelegd. | Het richting geven aan de te ontwikkelen applicatie en een betrouwbare werking van de applicatie te garanderen. |
| APO_U.16 | Tooling ontwikkelmethode | De ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus. | De ontwikkelcyclus van een applicatie met de continue veranderingen in de onderkende fasen wordt effectief uitgevoerd. |
| CLD_B.01 | Wet- en regelgeving Clouddiensten | Alle relevante wettelijke, statutaire, regelgevende, contractuele eisen en de aanpak van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. | Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en beveiligingseisen. |
| CLD_B.02 | Cloudbeveiligingsstrategie | De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt. | Het vooraf vaststellen wat de CSC wil nastreven met de beveiliging van clouddiensten en hoe dat bereikt gaat worden. |
| CLD_B.03 | Exit-strategie clouddiensten | In de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen1 over exit zijn opgenomen, als een aantal condities1 die aanleiding kunnen geven tot een exit. | Het vooraf vaststellen wat de organisatie wil nastreven bij beëindiging van clouddiensten en hoe dat bereikt gaat worden. |
| CLD_B.04 | Clouddienstenbeleid | De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloud-beveiligingsbeleid om de voorzieningen en het gebruik van cloud-services te adresseren. | Het beheersen van clouddiensten; dat clouddiensten bijdraagt aan het leveren van producten waarmee de organisatie haar doelstellingen kan realiseren. |
| CLD_B.05 | Transparantie | De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd. | De verantwoordelijke functionarissen binnen de CSC en CSP inzicht geven over de status van de implementatie en het functioneren van clouddiensten. |
| CLD_B.06 | Risicomanagement | De Cloud Service Provider (CSP) behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van clouddiensten te hebben opgezet en onderhouden. | Om personen die verantwoordelijk zijn voor clouddiensten in staat te stellen effectief en tijdig belangrijke informatierisico's te identificeren, evalueren en de behandeling te bepalen nodig om deze risico's binnen aanvaardbare grenzen te houden. |
| CLD_B.07 | IT-functionaliteit | IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC). | Zorgen dat IT-functionaliteiten aan de vereiste beveiligingsaspecten voldoen. |
| CLD_B.08 | Bedrijfscontinuïteitsmanagement | De CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra. | Het hervatten van kritieke bedrijfsprocessen binnen kritieke tijdschema’s. |
| CLD_B.09 | Privacy en bescherming persoonsgegevens clouddiensten | De Cloud Service Provider (CSP) behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie. | Het verkrijgen van een gedegen set aan beveiligingsmaatregelen. |
| CLD_B.10 | Beveiligingsorganisatie clouddiensten | De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. | Om een gedefinieerde, goedgekeurde, begrepen en werkende structuur op te zetten voor de opzet, bestaan en werking beheer van informatiebeveiliging binnen de CSP. |
| CLD_B.11 | Clouddienstenarchitectuur | De CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT-functionaliteiten. | Het bieden van een clouddienstenlandschap en daarmee richting geven aan de clouddienst en een betrouwbare werking van de clouddienst garanderen. |
| CLD_C.01 | Servicemanagementbeleid en evaluatierichtlijn | De Cloud Service Provider (CSP) heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages. | Richting geven aan de wijze waarop de beheerorganisatie voor clouddiensten moet zijn ingericht en de wijze waarop deze moet functioneren. |
| CLD_C.02 | Risico-control | Risicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd. | Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment. |
| CLD_C.03 | Compliance en assurance | De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities. | Het voorkomen van het overtreden van wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en zekerheid bieden over het beoogde beveiligingsniveau van de clouddienst. |
| CLD_C.04 | Technische kwetsbaarhedenbeheer clouddiensten | Informatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken. | Het voorkomen van het benutten van technische kwetsbaarheden door onbevoegden. |
| CLD_C.05 | Security-monitoringsrapportage | De performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan verschillende stakeholders. | Gebeurtenissen (performance van de informatiebeveiliging van de cloud-omgeving) vastleggen, bewijs verzamelen en betrokkenen daarvan op de hoogte te stellen. |
| CLD_C.06 | Beheersorganisatie clouddiensten | De CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Het adequaat beheersen en beheren van clouddiensten. |
| CLD_U.01 | Standaarden voor clouddiensten | De CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC. | Het bewerkstelligen van de benodigde coördinatie van activiteiten voor de inrichting, dienstverlening en beheersing van clouddiensten. |
| CLD_U.02 | Risico-assessment | De Cloud Service Provider (CSP) behoort een risico-assessment uit te voeren, bestaande uit een risico-analyse en risico-evaluatie met de criteria en de doelstelling voor clouddiensten van de CSP. | Een beeld krijgen van mogelijke risico’s die van invloed kunnen zijn op clouddiensten en vaststellen op welke wijze de risico's beheerst kunnen worden of teruggebracht tot een aanvaardbaar niveau. |
| CLD_U.03 | Bedrijfscontinuïteitsservices | Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen. | Zorgen tijdens normaal bedrijf en bij voorkomende calamiteiten voor het herstel van de data en de dienstverlening binnen de overeengekomen maximale uitvalsduur, waarbij dataverlies wordt voorkomen. |
| CLD_U.04 | Herstelfunctie voor data en clouddiensten | De herstelfunctie van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest. | Het zeker stellen dat clouddiensten en de data kan worden hersteld, binnen de overeengekomen periode, na onderbreking van de dienstverlening en/of vernietiging van de data. |
| CLD_U.05 | Dataprotectie | Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving. | Het zorgen dat BBN2 of hoger classificeerde data beveiligd is met cryptografische maatregelen en voldoet aan de Nederlandse wetgeving. |
| CLD_U.06 | Dataretentie en gegevensvernietiging | Gearchiveerde data behoort gedurende de overeengekomen bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden vernietigd. | Het beschikbaar blijven van gegevens indien nodig voor bijvoorbeeld verantwoording en indien gegevens niet meer archiefwaardig zijn, ze tijdig wissen/vernietigen. |
| CLD_U.07 | Datascheiding | CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft. | Zorgen dat de data van of in beheer van de CSC alleen toegankelijk is voor deze CSC. |
| CLD_U.08 | Scheiding dienstverlening | De cloud-infrastructuur is zodanig ingericht dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden. | Het voorkomen van ongewenste beïnvloeding of communicatie van data tussen de CSC en CSP en andere CSC’s. |
| CLD_U.09 | Malwareprotectie clouddiensten | Ter bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers. | Het zorgen dat informatie in de keten van de CSC en CSP continue beschermd wordt tegen malware. |
| CLD_U.10 | Toegang IT-diensten en data | Gebruikers behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek bevoegd zijn. | Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen. |
| CLD_U.11 | Cryptoservices | Gevoelige data van de CSC behoort conform het overeengekomen beleid inzake cryptografische maatregelen tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld. | Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige data tijdens transport via netwerken en opslag. |
| CLD_U.12 | Koppelvlakken | De onderlinge netwerkconnecties (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken. | Het bewaken en beheersen van koppelvlakken in de keten van de CSP en de CSC. |
| CLD_U.13 | Service-orkestratie | Service-orkestratie biedt coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service die aan de CSC wordt geleverd. | De kwaliteit van de te leveren clouddienst aan de CSC komt overeen met de overeengekomen QoS, informatieveiligheid en kosten. |
| CLD_U.14 | Interoperabiliteit en portabiliteit | Cloud-services zijn bruikbaar (interoperabiliteit) op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s. | Het zorgen dat cloud-services bruikbaar zijn op verschillende IT-platforms en data makkelijk kan worden doorgegeven aan een andere CSP zonder dat de integriteit en vertrouwelijkheid wordt aangetast. |
| CLD_U.15 | Logging en monitoring clouddiensten | Logbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. | Het tijdig detecteren en vastleggen van ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen van IT-functies in de informatieketen. |
| CLD_U.16 | Clouddienstenarchitectuur | De clouddienstenarchitectuur specificeert de samenhang en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data. | Het bieden van een cloud-landschap ter ondersteuning van de CSC-bedrijfsprocessen dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan. |
| CLD_U.17 | Multi-tenantarchitectuur | Bij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines. | Het bieden van een multi-tenantlandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan. |
| CVZ_B.01 | Beleid en procedures voor informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. | Het beheersen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tijdens transport in netwerken. |
| CVZ_B.02 | Overeenkomst voor informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. | Vastgelegde en nagekomen Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden (SMART)-afspraken over het gewenste beveiligingsniveau voor informatietransport over netwerken. |
| CVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. | Het beheersen van cryptografie binnen netwerken en communicatieservices. |
| CVZ_B.04 | Organisatiestructuur netwerkbeheer | In het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan. | Het invullen, coördineren en borgen van het netwerkbeheer. |
| CVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. | Het vaststellen of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid nog steeds effectief zijn. |
| CVZ_C.02 | Compliance-toets netwerkbeveiliging | De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen). | Vast te stellen of de inrichting van de netwerk(diensten) voldoet aan het beveiligingsbeleid. |
| CVZ_C.03 | Evalueren robuustheid netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. | Het vaststellen of de beveiliging van het complete netwerk nog in balans is met de dreigingen. |
| CVZ_C.04 | Evalueren netwerkgebeurtenissen (monitoring) | Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging. | Detectie, vastlegging en onderzoek mogelijk te maken van netwerkgebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging. |
| CVZ_C.05 | Beheersorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. | Het invullen, coördineren en borgen van de beheersing van de netwerkbeveiliging. |
| CVZ_U.01 | Richtlijn voor netwerkbeveiliging | Organisaties behoren hun netwerken te beveiligen met richtlijnen voor ontwerp, implementatie en beheer 1. | Het bewerkstelligen van de benodigde coördinatie van activiteiten binnen netwerkbeveiliging. |
| CVZ_U.02 | Beveiligde inlogprocedure | Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. | Onbevoegde toegang tot (communicatie)systemen en toepassingen voorkomen. |
| CVZ_U.03 | Netwerkbeveiligingsbeheer | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. | Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een bruikbare staat. |
| CVZ_U.04 | Vertrouwelijkheids- of geheimhoudingsovereenkomst | Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. | Het beschermen van vertrouwelijke informatie waaraan dienstverleners en partners worden blootgesteld. |
| CVZ_U.05 | Beveiliging netwerkdiensten | Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. | Bij uitval van netwerkdiensten kan de continuïteit van de bedrijfsvoering optimaal gecontinueerd worden; een contante beschikbaarheid en continuïteit garanderen. |
| CVZ_U.06 | Zonering en filtering | Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen). | Veilig communiceren vanuit het ene naar het andere netwerk. |
| CVZ_U.07 | Elektronische berichten | Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd. | Elektronisch berichtenverkeer blijft beschikbaar, integer en vertrouwelijk. |
| CVZ_U.08 | Toepassingen via openbare netwerken | Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. | Het effectief beveiligen van het netwerkverkeer via openbare netwerken. |
| CVZ_U.09 | Gateways en firewalls | De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten. | Ongeautoriseerd inkomend en uitgaand dataverkeer te detecteren en blokkeren. |
| CVZ_U.10 | Virtual Private Network (VPN) | Een VPN behoort een strikt gescheiden end-to-end-connectie te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt. | Het zorgen voor een veilige verbinding, waarbij getransporteerde informatie over netwerken vertrouwelijk blijft. |
| CVZ_U.11 | Cryptografische services | Ter bescherming van de vertrouwelijkheid en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet. | Het behouden van de vertrouwelijkheid en integriteit van de getransporteerde informatie. |
| CVZ_U.12 | Draadloze toegang | Draadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatie van gebruikers en versleuteling van de communicatie. | Het zorgen dat onbevoegden geen gebruik kunnen maken van devices waartoe ze niet gemachtigd zijn en dat het draadloze verkeer beschikbaar, integer en vertrouwelijk blijft. |
| CVZ_U.13 | Netwerkconnectie | Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt. | Bij beheer, storingen en calamiteiten weten wat er aan gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk aanwezig is. De uitval wordt geminimaliseerd. |
| CVZ_U.14 | Netwerkauthenticatie | Authenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen. | Dat alleen vooraf toegestane netwerkdevices op het netwerk worden toegelaten. |
| CVZ_U.15 | Netwerkbeheeractiviteiten | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. | Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een buikbare staat. |
| CVZ_U.16 | Logging en monitoring communicatievoorzieningen | Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden gemaakt en bewaard en regelmatig te worden beoordeeld (op de ernst van de risico’s). | Het achteraf kunnen vaststellen of de beveiliging van het netwerk niet is verstoord en bij verstoring kan de situatie hersteld worden. |
| CVZ_U.17 | Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden. | Het bieden van een netwerkbeveiligingslandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan. |
| HVI_B.01 | Huisvesting informatievoorzieningenbeleid | Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. | Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren. |
| HVI_B.02 | Wet- en regelgeving Huisvesting IV | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. | Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen. |
| HVI_B.03 | Eigenaarschap Huisvesting IV | Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben. | Het bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. |
| HVI_B.04 | Certificering | Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. | Het bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet. |
| HVI_B.05 | Contractmanagement | Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. | Het zorgen dat huisvesting IV voldoet aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau. |
| HVI_B.06 | Service Level Management | Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement). | Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd). |
| HVI_B.07 | In- en externe bedreigingen | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. | Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV. |
| HVI_B.08 | Training en bewustwording | Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. | Het bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
|
| HVI_B.09 | Organisatiestructuur huisvesting IV | De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen. | Het invullen, coördineren en borgen van huisvesting IV. |
| HVI_C.01 | Controle-richtlijnen huisvesting IV | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. | Het effectief beheersen van de bedrijfsmiddelen binnen huisvesting IV. |
| HVI_C.02 | Onderhoudsplan | Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen. | Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken. |
| HVI_C.03 | Continuïteitsbeheer | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. | Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten, waardoor bedrijfsdoelstellingen niet worden gehaald. |
| HVI_C.04 | Beheersorganisatie huisvesting IV | De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Het invullen, coördineren en borgen van de beheersing van de huisvesting IV-dienstverlening. |
| HVI_U.01 | Richtlijn gebieden en ruimten | Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast1. | Het bewerkstelligen van de juiste coördinatie van activiteiten binnen de beveiligde ruimten. |
| HVI_U.02 | Bedrijfsmiddelen-inventaris | Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden. | Het bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is. |
| HVI_U.03 | Fysieke zonering | Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. | Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie. |
| HVI_U.04 | Beveiligingsfaciliteiten | Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast1. | Het voorkomen van onbevoegde toegang tot ruimten. |
| HVI_U.05 | Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening. |
| HVI_U.06 | Apparatuur-positionering | Apparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. | Het voorkomen van verlies, schade, diefstal en/of compromitering van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten. |
| HVI_U.07 | Apparatuur-onderhoud | Apparatuur behoort op een correcte wijze te worden onderhouden. | Het waarborging dat apparatuur continue beschikbaar en integer is. |
| HVI_U.08 | Apparatuur-verwijdering | Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| HVI_U.09 | Bedrijfsmiddelenverwijdering | Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring. | Het bewerkstelligen van een gecontroleerde verwijdering en afvoer van bedrijfsmiddelen. |
| HVI_U.10 | Laad- en loslocatie | Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen. | Het voorkomen van onbevoegde toegang tot huisvesting Informatievoorzieningen (IV), zoals terreinen en gebouwen. |
| HVI_U.11 | Bekabeling | Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade. | Het bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet. |
| HVI_U.12 | Huisvesting IV-architectuur | Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn. | Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen. |
| LTV_C.04 | Toegangbeveiliging beheers(ings)organisatie | De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. |
| MDW_B.01 | Beleid middlewarecomponenten | De leverancier behoort in overeenstemming met een overeengekomen middlewarecomponentenbeleid adequate maatregelen, zoals classificatie, te treffen om deze diensten te kunnen leveren. | Het beheersen van beveiliging van data in middlewarecomponenten. |
| MDW_B.02 | Beleid informatietransport | Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. | Beleidskeuzes over welke informatie, in welke vorm via integratiefuncties uitgewisseld mag worden. |
| MDW_B.03 | Data en privacy | Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en versleuteling van data, voor transformatie en aggregatie, voor toegang en privacy, classificatie en labelen en bescherming tegen verlies van gegevens. | De wijze waarop middleware de bedrijfs- en persoonsgebonden data mag verwerken is geformaliseerd. |
| MDW_B.04 | Middlewarearchitectuur en certificering | De leverancier hanteert relevante industriestandaarden voor de structuur en beheersing van haar IT dienstverlening en draagt zorg voor relevante periodieke certificeringen van haar dienstverlening. | Het gewenste niveau van zekerheid bieden aan klant-organisaties, voor de mate waarin IT-leveranciers hun processen en technologie, betreffende middeleware en data, betrouwbaar en veilig hebben ingericht, deze beheersen en periodiek laten certificeren aan relevante standaarden. |
| MDW_U.01 | Richtlijnen en procedures middlewarefunctionaliteit | Richtlijnen en procedures ten aanzien van middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben. | Het bewerkstelligen dat uitsluitend de juiste en gedocumenteerde activiteiten worden uitgevoerd. |
| MDW_U.02 | Rollen en verantwoordelijkheden middlewarefunctionaliteit | Alle rollen en verantwoordelijkheden voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen. | Het bewerkstelligen dat de juiste verantwoordelijkheden worden gedefinieerd en toegewezen. |
| MDW_U.03 | Toegang tot middlewarefunctionaliteit | Het toewijzen en gebruik van speciale toegangsrechten tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden beperkt en beheerst. | Onbevoegde toegang tot middlewarefuncties en beheerinterfaces voorkomen. |
| MDW_U.04 | Hardening middlewarecomponenten | Voor het beveiligen van middlewarecomponenten behoren overbodige functies en ongeoorloofde toegang te worden uitgeschakeld. | Verlagen van de kans op misbruik van standaard functionaliteit. |
| MDW_U.05 | Configuratie middlewarecomponenten | De leverancier heeft conform richtlijnen en procedures de middlewarecomponenten geconfigureerd. | Voorspelbaar, gedocumenteerd gedrag van middlewarefuncties. |
| MDW_U.06 | Logging en monitoring middleware | Middleware biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht. | Het verzamelen van bewijs over gebeurtenissen en de continue bewaking van het nakomen van beleidsuitgangspunten. |
| MDW_U.07 | Ontwerpdocumentatie | Het ontwerp van middleware behoort te zijn gedocumenteerd. | Inzicht en overzicht van functionele en technische relaties tussen middlewarecomponenten en hun actuele configuraties. |
| MDW_U.08 | Vertrouwelijkheid en integriteit data | Gevoelige data behoort conform het overeengekomen beleid inzake maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn gemaskeerd of versleuteld. | Zorgen voor een correct en doeltreffend gebruik van maskeringstechnieken, om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen. |
| MDW_U.09 | Betrouwbare dataopslag | Opslagfaciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. | Implementeren van maatregelen die naar de behoefte van de klant zorgen voor een ononderbroken toegang tot de data. |
| MDW_U.10 | Dataherstel | Regelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. | Beschermen tegen het verlies van gegevens. |
| MDW_U.11 | Schonen data en media | Media behoren op een veilige en beveiligde manier te worden verwijderd en geschoond als ze niet langer nodig zijn, overeenkomstig formele procedures. | Onbevoegde openbaarmaking en misbruik van data, die op (niet meer gebruikte) media is opgeslagen, voorkomen. |
| MDW_U.12 | Beveiliging berichtenverkeer | Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. | Het handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit. |
| MDW_U.13 | Capaciteitsbeheer | Het gebruik van middelen behoort te worden gemonitord en beoordeeld, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. | Het voorkomen van overbelasting van de keten en het bieden van een ‘eerlijke’ verdeling van de beschikbare capaciteit over de afnemers van de services. |
| SVP_B.01 | Beleid voor beveiligde inrichting en onderhoud | Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast. | Het beheersen van de beveiligde inrichting en onderhoud van het serverplatform. |
| SVP_B.02 | Inrichtingsprincipes voor serverplatform | Principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers. | Het zorgen dat servers betrouwbaar zijn gedurende alle inrichtingsverrichtingen van servers. |
| SVP_B.03 | Serverplatform-architectuur | De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd. | Een landschap bieden voor een serverplatform dat in samenhang beveiligd is en inzicht geeft in de inrichting van het serverplatform. |
| SVP_C.01 | Richtlijn evaluatie ontwikkelactiviteiten | Richtlijnen behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd. | Het adequaat controle-activiteiten en rapportages opstellen gericht op de implementatie en beveiliging van servers en besturingssystemen. |
| SVP_C.02 | Beoordeling technische serveromgeving | Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen. | Het vaststellen of de technische serveromgevingen voor servers en besturingssystemen afdoende zijn beveiligd. |
| SVP_C.03 | Logbestanden beheerders | Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. | Achteraf kunnen fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd. |
| SVP_C.04 | Logging | Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. | Het verzamelen van bewijs om achteraf te kunnen beoordelen of er ongeoorloofde acties hebben plaatsgevonden op servers en besturingssystemen. |
| SVP_C.05 | Monitoring | De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren. | Het vaststellen van onjuist gebruik en verdachte activiteiten op servers en besturingssystemen waarmee het management tijdig kan bijsturen. |
| SVP_C.06 | Beheersorganisatie servers en serverplatforms | Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform. | Het invullen, coördineren en borgen van de beheersing van servers en serverplatforms. |
| SVP_U.01 | Bedieningsprocedure | Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben. | Het waarborgen van een correcte en veilige bediening van serverplatforms. |
| SVP_U.02 | Standaarden voor serverconfiguratie | Het serverplatform is geconfigureerd volgens gedocumenteerde standaarden. | Dat een serverplatform correct werkt met de vereiste beveiligingsinstellingen, dat de configuratie niet wordt gewijzigd door ongeautoriseerden en het voorkomen van onjuiste wijzigingen. |
| SVP_U.03 | Malwareprotectie serverplatform | Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers. | Het zorgen dat informatie op servers wordt beschermd tegen malware. |
| SVP_U.04 | Technische kwetsbaarhedenbeheer serverplatform | Informatie over technische serverkwetsbaarheden1 behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. | Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen. |
| SVP_U.05 | Patchmanagement serverplatform | Patchmanagement is procesmatig en procedureel opgezet en wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. | Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd. |
| ... meer resultaten | |||