Eigenschap:Criterium

Voor het beveiligd inrichten en onderhouden van het serverplatform behoren ''regels'' te worden vastgesteld en binnen de organisatie te worden toegepast.  +

Technische serveromgevingen behoren regelmatig te worden beoordeeld op ''naleving'' van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.  +

Eigenaren van bedrijfsmiddelen behoren ''toegangsrechten'' van gebruikers regelmatig te ''beoordelen''.  +

Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er ''procedures'' te zijn vastgesteld.  +

Voor het door gebruikers/ontwikkelaars installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +

Voor het door gebruikers (beheerders) installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +

''Wijzigingen'' aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden ''gecontroleerd''.  +

''Testgegevens'' behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.  +

Opslagfaciliteiten behoren met voldoende '''redundantie''' te worden geïmplementeerd om aan '''beschikbaarheidseisen''' te voldoen.  +

Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde ''inlogprocedure''.  +

Organisaties behoren ''beveiligde ontwikkelomgevingen'' vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.  +

De verwerkingsverantwoordelijke en de verwerker treffen ''technische en organisatorische maatregelen'' voor verwerking van persoonsgegevens op ''een passend beveiligingsniveau''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32</sup>.  +

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van '''onvolledige overdracht''', foutieve routering, '''onbevoegd wijzigen''' van berichten, '''onbevoegd openbaar maken''', onbevoegd vermenigvuldigen of afspelen.  +

''Beveiligingsmechanismen'', ''dienstverleningsniveaus'' en ''beheereisen'' voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.  +

De klant behoort het ''architectuurlandschap'' in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en ''beveiligingsprincipes'' te hebben ontwikkeld.  +

Voor het beveiligen van ruimten behoren ''faciliteiten'' te worden ontworpen en toegepast<sup class="reference smartref" id="cite_ref-toegepast_1-0">[[ISOR:Beveiligingsfaciliteiten ruimten#cite_note-toegepast-1|1]]</sup>.  +

Een gespecialiseerde ''beveiligingsfunctie'' dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.  +

De CSP behoort een ''beveiligingsfunctie'' te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden (TVB)'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

Door het treffen van de ''nodige maatregelen'' hanteert de organisatie voor persoonsgegevens een ''bewaartermijn'' die niet wordt overschreden.  +