Eigenschap:Criterium

De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de ''configuratie-administratie (CMDB)'' juist en volledig zijn en blijven.  +

De ''beveiligingseisen'' die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen.  +

De ''functionele eisen'' die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.  +

Apparatuur behoort op een ''correcte wijze'' te worden onderhouden.  +

Apparatuur behoort zo te worden ''geplaatst en beschermd'', dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.  +

Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden ''geverifieerd'' om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan ''verwijdering'' of hergebruik zijn ''verwijderd of betrouwbaar veilig zijn overschreven''.  +

De functionele en beveiligingseisen behoren in een ''applicatie-architectuur'', conform architectuurvoorschriften, in ''samenhang'' te zijn vastgelegd.  +

Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: ''business-vereisten en reviews'', ''omgevingsanalyse'' en ''(specifieke) beveiliging.''  +

De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met ''(industrie) good practice'' en door individuen die beschikken over de ''juiste vaardigheden en tools'' en behoort te worden gereviewd.  +

Informatiesystemen behoren zo te worden ontworpen, dat de ''invoerfuncties'', ''verwerkingsfuncties'' en ''uitvoerfuncties'' van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen.  +

De koppelingen tussen applicaties behoren te worden uitgevoerd met geaccordeerde ''koppelingsrichtlijnen'' om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen.  +

Softwarepakketten behoren ''veilige API’s'' te gebruiken voor import en export van gegevens.  +

Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een ''mechanisme voor identificatie en authenticatie''.  +

Toegang (autorisatie) tot ''informatie'' en ''systeemfuncties'' van toepassingen behoren te worden beperkt in overeenstemming met het ''toegangsbeveiligingsbeleid''.  +

De rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat ''autorisaties'' kunnen worden toegewezen aan organisatorische functies en ''scheiding van niet verenigbare autorisaties'' mogelijk is.  +

Een ''formeel autorisatieproces'' dient geïmplementeerd te zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.  +

Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische ''autorisatievoorzieningen'', zoals: een ''personeelsregistratiesysteem'', een ''autorisatiebeheersysteem'' en ''autorisatiefaciliteiten'', beschikbaar zijn.  +

''Bedieningsprocedures'' behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.  +

De noodzakelijke ''bedrijfs- en beveiligingsfuncties'' binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.  +

De leverancier behoort processen, ''procedures'' en beheersmaatregelen te documenteren, te implementeren en te ''handhaven''.  +