Categorie:Normen
Naar navigatie springen
Naar zoeken springen
Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren. In veel gevallen zijn meerdere normen nodig om een principe volledig te realiseren. Conformiteitsindicatoren zijn oorspronkelijk ontwikkeld binnen het CIP (Centrum Informatiebeveiliging en Privacybescherming) en beschreven via de SIVA-methodiek.
Om een nieuw element van type Norm te maken, vul de naam in en klik op de button:
Pagina’s in categorie "Normen"
Deze categorie bevat de volgende 200 pagina’s, van de 872 in totaal.
(vorige pagina) (volgende pagina)I
- De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
- De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
- De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
- De doelorganisatie beschikt over QA- en KMS-methodiek
- De eigenaar beschikt over kennis, middelen, mensen en autoriteit
- De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
- De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
- De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
- De end-to-end
- De filterfunctie van gateways en firewalls is instelbaar
- De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
- Frequentie en eisen voor rapportages
- De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
- De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
- De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
- De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
- De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
- De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
- De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
- De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC
- De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
- Er is een toegangbeveiligingsarchitectuur
- Evalueren levering van voorzieningen
- De locatie van de vastlegging van de loggegevens is vastgesteld
- De logbestanden worden gedurende een overeengekomen periode bewaard
- De loggegevens zijn beveiligd
- De malware scan wordt op alle omgevingen uitgevoerd
- De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
- De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden
- De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
- De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
- De nutsvoorzieningen
- De onderlinge verantwoordelijkheden
- De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
- De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
- De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd
- De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
- De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
- De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
- De overdracht naar de Productieomgeving vindt gecontroleerd plaats
- De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
- De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
- De Patchmanagement procedure is actueel en beschikbaar
- De programmacode voor functionele specificaties is reproduceerbaar
- De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
- De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
- De rechten van beheerders worden verleend op basis van rollen
- De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars
- De relatie tussen de persoonsgegevens is inzichtelijk
- De risico’s verbonden aan het installeren van de patch worden beoordeeld
- De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
- De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
- Er zijn functionarissen voor de beheersorganisatie benoemd
- De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd
- De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
- De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
- De opvolging van bevindingen is gedocumenteerd.
- De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
- De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
- De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
- De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
- De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven
- De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
- De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
- De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen
- De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
- De uitgevoerde koppelingen worden geregistreerd
- De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
- De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
- De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
- Verantwoordings- en rapportagelijnen zijn vastgesteld
- De verzamelde loginformatie wordt in samenhang geanalyseerd
- Certificeringseisen van de ingezette Huisvesting Informatievoorziening
- Vaststellen toepasselijkheid wetgeving
- De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast
- Definiëren en vaststellen rollen en verantwoordelijkheden
- Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
- Delen nieuwe dreigingen binnen overheid
- De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
- Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
- Registratie en documentatie van de inbreuken
- Kennisgeving vastleggen
- Naleving controleren op basis van documentatie
- Noodzakelijke gegevens in de documentatie
- Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
- Doeleinden; transparant, behoorlijk en veilig
- Doeleinden; rechtmatigheid
- Doeleinden; toereikend, ter zake dienend en beperkt
- Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
- Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
- E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
- Systeemprivileges op basis van een bevoegdhedenmatrix
- Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
- Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
- Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
- Een procedure beschrijft het omgaan met verdachte brieven en pakketten
- Een scheiding is aangebracht tussen beheertaken en gebruikstaken
- Een technisch mechanisme zorgt voor (semi-)automatische updates
- Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
- Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
- Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend
- Eisen aan de "gedocumenteerde standaarden"
- Eisen aan de inhoud en verspreiding van de loganalyse
- Eisen aan de inhoud van de logbestanden van gebeurtenissen
- Eisen aan de laad- en loslocatie
- Eisen aan de periodieke beoordeling van de logbestanden
- Eisen aan de periodieke rapportage over de analyse van de logbestanden
- Eisen aan het architectuurdocument van het in te richten van het serverplatform
- Eisen aan het beoordelen van technische naleving
- Eisen aan het beschermen van de logbestanden
- Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
- Eisen aan het Patchmanagement
- Eisen aan het Toegangvoorzieningsbeleid
- Eisen aan het vervaardigen en interpreteren van technische naleving
- Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang
- Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen
- Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
- Elementen in overeenkomsten over informatietransport
- Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
- Elementen van de procedures voor wijzigingsbeheer
- Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd
- Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
- Er is een Huisvestingsorganisatieschema beschikbaar
- Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
- Toezien op het voldoen aan de wettelijke verplichtingen
- Planmatige controle op compliancy
- Evaluatierapportage bij niet voldoen
- Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
- Evalueren risico’s op basis van risico-acceptatiecriteria
- Faciliteiten van het tool
- Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet
- Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
- Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
- Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
- Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast
- Functionaris Gegevensbescherming
- Functionarissen testen functionele requirements
- Verantwoordelijkheden zijn toegewezen en vastgelegd
- Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd
- Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie
- Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
- Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
- Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
- Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data
- Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
- Geautomatiseerde besluitvorming; niet, tenzij
- Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen
- GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
- Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
- Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
- Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
- Gebruik van programmacode uit externe programmabibliotheken
- Gebruiken beveiligde netwerkprotocollen voor import en export van data
- Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken
- Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken
- Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen
- Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
- Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
- Maatregelen na openbaarmaking van persoonsgegevens
- Beperking van de verwerking op verzoek van de betrokkene
- Rechtstreekse overdracht
- Recht op ongehinderde overdracht van gegevens
- Rectificatie op verzoek van betrokkene
- Staken van de verwerking op verzoek van betrokkene
- Aanvulling op verzoek van betrokkene
- Gegevens wissen op verzoek van de betrokkene
- Gedocumenteerde procedures voor bedieningsactiviteiten
- Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
- Geen gebruik van onveilig programmatechnieken
- Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd
- Geprogrammeerde controles worden ondersteund
- Gescheiden inrichten virtuele machine-platforms voor CSC’s
- Geven positie van informatiebeveiligingsorganisatie binnen organisatie
- Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt
- Informatie over afwikkeling correctieverzoek
- Elektronische verwerking van het verzoek
- Identificatie van betrokkene
- Geïnformeerd, schriftelijk of op andere wijze
- Informatie over geen gevolg geven aan het correctieverzoek
- Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking
- Goedkeuren organisatie van risicomanagementproces
- Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
- Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
- Hanteren en beoordelen lijst van alle kritische activa
- Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
- Hardenen virtuele machine-platforms
- Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen
- Hebben CSP-verantwoordelijkheden
- Hebben SIEM- en/of SOC-regels over te rapporteren incident
- Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
- Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen
- Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
- Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
- Het architectuur document wordt actief onderhouden
- Formeel proces voor verwerken van autorisaties
- Het autorisatiebeheer is procesmatig ingericht
- Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management
- Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
- Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
- Het beoordelen van de privacyrisico's, advies van FG