Eigenschap:Criterium

De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de ''configuratie-administratie (CMDB)'' juist en volledig zijn en blijven.  +

De ''beveiligingseisen'' die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen.  +

De ''functionele eisen'' die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.  +

Apparatuur behoort op een ''correcte wijze'' te worden onderhouden.  +

Apparatuur behoort zo te worden ''geplaatst en beschermd'', dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.  +

Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden ''geverifieerd'' om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan ''verwijdering'' of hergebruik zijn ''verwijderd of betrouwbaar veilig zijn overschreven''.  +

De functionele en beveiligingseisen behoren in een ''applicatie-architectuur'', conform architectuurvoorschriften, in ''samenhang'' te zijn vastgelegd.  +

Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: ''business-vereisten en reviews'', ''omgevingsanalyse'' en ''(specifieke) beveiliging.''  +

De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met ''(industrie) good practice'' en door individuen die beschikken over de ''juiste vaardigheden en tools'' en behoort te worden gereviewd.  +

Informatiesystemen behoren zo te worden ontworpen, dat de ''invoerfuncties'', ''verwerkingsfuncties'' en ''uitvoerfuncties'' van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen.  +

De koppelingen tussen applicaties behoren te worden uitgevoerd met geaccordeerde ''koppelingsrichtlijnen'' om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen.  +

Softwarepakketten behoren ''veilige API’s'' te gebruiken voor import en export van gegevens.  +

Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een ''mechanisme voor identificatie en authenticatie''.  +

Toegang (autorisatie) tot ''informatie'' en ''systeemfuncties'' van toepassingen behoren te worden beperkt in overeenstemming met het ''toegangsbeveiligingsbeleid''.  +

De rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat ''autorisaties'' kunnen worden toegewezen aan organisatorische functies en ''scheiding van niet verenigbare autorisaties'' mogelijk is.  +

Een ''formeel autorisatieproces'' dient geïmplementeerd te zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.  +

Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische ''autorisatievoorzieningen'', zoals: een ''personeelsregistratiesysteem'', een ''autorisatiebeheersysteem'' en ''autorisatiefaciliteiten'', beschikbaar zijn.  +

''Bedieningsprocedures'' behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.  +

De noodzakelijke ''bedrijfs- en beveiligingsfuncties'' binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.  +

De leverancier behoort processen, ''procedures'' en beheersmaatregelen te documenteren, te implementeren en te ''handhaven''.  +

De CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: ''verantwoordelijkheid voor BCM'', ''beleid en procedures'', ''bedrijfscontinuïteitsplanning'', ''verificatie en updaten'' en ''computercentra.''  +

Informatie verwerkende faciliteiten behoren met voldoende ''redundantie'' te worden geïmplementeerd om aan ''continuïteitseisen'' te voldoen.  +

Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een ''inventaris'' te worden opgesteld en onderhouden.  +

Informatieverwerkende ''bedrijfsmiddelen'', uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.  +

''Richtlijnen'' en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.  +

De projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de ''structuur van de beheersprocessen'' en van de betrokken ''functionarissen'' de ''taken, verantwoordelijkheden en bevoegdheden'' zijn vastgesteld.  +

De CSP heeft een beheersorganisatie ingericht waarin de ''processtructuur'' en de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +

De stakeholder van huisvesting IV behoort een ''beheersorganisatie'' te hebben ingericht waarin de ''processtructuur'', de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.  +

Alle ''verantwoordelijkheden'' bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.  +

Binnen de beheerorganisatie is een ''beveiligingsfunctionaris'' benoemd die de organisatie ondersteunt in de vorm van het bewaken van ''beveiligingsbeleid'' en die inzicht verschaft in de inrichting van de servers en het serverplatform.  +

De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de ''processtructuur'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +

''Voedings-'' en telecommunicatie''kabels'' voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.  +

Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele ''beleidsregels'', ''procedures'' en ''beheersmaatregelen'' voor transport van kracht te zijn.  +

Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren '''formele beleidsregels''', procedures en '''beheersmaatregelen voor transport''' van kracht te zijn.  +

De leverancier behoort in overeenstemming met een overeengekomen middlewarecomponenten'''beleid''' adequate maatregelen, zoals '''classificatie''', te treffen om deze diensten te kunnen leveren.  +

Voor het ontwikkelen van software en systemen behoren ''regels'' te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.  +

Voor het beveiligd inrichten en onderhouden van het serverplatform behoren ''regels'' te worden vastgesteld en binnen de organisatie te worden toegepast.  +

Technische serveromgevingen behoren regelmatig te worden beoordeeld op ''naleving'' van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.  +

Eigenaren van bedrijfsmiddelen behoren ''toegangsrechten'' van gebruikers regelmatig te ''beoordelen''.  +

Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er ''procedures'' te zijn vastgesteld.  +

Voor het door gebruikers/ontwikkelaars installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +

Voor het door gebruikers (beheerders) installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +

''Wijzigingen'' aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden ''gecontroleerd''.  +

''Testgegevens'' behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.  +

Opslagfaciliteiten behoren met voldoende '''redundantie''' te worden geïmplementeerd om aan '''beschikbaarheidseisen''' te voldoen.  +

Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde ''inlogprocedure''.  +

Organisaties behoren ''beveiligde ontwikkelomgevingen'' vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.  +

De verwerkingsverantwoordelijke en de verwerker treffen ''technische en organisatorische maatregelen'' voor verwerking van persoonsgegevens op ''een passend beveiligingsniveau''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32</sup>.  +

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van '''onvolledige overdracht''', foutieve routering, '''onbevoegd wijzigen''' van berichten, '''onbevoegd openbaar maken''', onbevoegd vermenigvuldigen of afspelen.  +

''Beveiligingsmechanismen'', ''dienstverleningsniveaus'' en ''beheereisen'' voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.  +

De klant behoort het ''architectuurlandschap'' in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en ''beveiligingsprincipes'' te hebben ontwikkeld.  +

Voor het beveiligen van ruimten behoren ''faciliteiten'' te worden ontworpen en toegepast<sup class="reference smartref" id="cite_ref-toegepast_1-0">[[ISOR:Beveiligingsfaciliteiten ruimten#cite_note-toegepast-1|1]]</sup>.  +

Een gespecialiseerde ''beveiligingsfunctie'' dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.  +

De CSP behoort een ''beveiligingsfunctie'' te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden (TVB)'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

Door het treffen van de ''nodige maatregelen'' hanteert de organisatie voor persoonsgegevens een ''bewaartermijn'' die niet wordt overschreden.  +

De BIA behoort te worden uitgevoerd vanuit verschillende ''perspectieven'', zich te richten op verschillende ''scenario’s'' en vast te stellen welke impact de ''aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid'' hebben op de organisatie.  +

Het gebruik van middelen behoort te worden '''gemonitord''' en '''beoordeeld''', en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.  +

Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de ''gangbare standaarden.''  +

''Informatie'' behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.  +

De CSP behoort een ''cloudbeveiligingsstrategie'' te hebben ontwikkeld die ''samenhangt'' met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.  +

De clouddienstenarchitectuur specificeert de ''samenhang'' en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.  +

De CSP heeft een actuele architectuur vastgelegd die voorziet in een ''raamwerk'' voor de onderlinge ''samenhang en afhankelijkheden'' van de IT-functionaliteiten.  +

De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een ''cloud-beveiligingsbeleid'' om de voorzieningen en het gebruik van cloud-services te adresseren.  +

Het softwarepakket past ''versleuteling'' toe op de communicatie van gegevens die ''passend bij het classificatieniveau'' is van de gegevens en ''controleert'' hierop.  +

De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op ''compliancy'' te beoordelen, jaarlijks een ''assurance''-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge ''aansluiting'' van de resultaten uit deze twee exercities.  +

De projectorganisatie behoort een ''compliance-managementproces'' ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.  +

De naleving van een, conform het beveiligingsbeleid, veilige ''inrichting'' van netwerk(diensten), behoort ''periodiek'' gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het ''verantwoordelijke'' management (compliancy-toetsen).  +

De leverancier heeft conform '''richtlijnen en procedures''' de middlewarecomponenten geconfigureerd.  +

Continuïteitbeheer behoort ''procesmatig'' voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden ''hersteld en voortgezet''.  +

Huisvesting IV die worden verworven, behoren te voldoen aan ''kwalitatieve en kwantitatieve eisen'' die zijn vastgelegd in ''overeenkomsten'' met de betreffende leveranciers.  +

Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde ''richtlijnen'' en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.  +

Ter bescherming van de ''communicatie en opslag'' van informatie behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van ''authenticatie-informatie'' behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van informatie behoort een ''cryptografiebeleid'' voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van de ''vertrouwelijkheid'' en ''integriteit'' van de getransporteerde informatie behoren passende ''cryptografische'' ''beheersmaatregelen'' te worden ontwikkeld, geïmplementeerd en ingezet.  +

Gevoelige data van de CSC behoort conform het overeengekomen ''beleid'' inzake ''cryptografische maatregelen'' tijdens transport via netwerken en bij opslag bij CSP te zijn ''versleuteld.''  +

Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en '''versleuteling''' van data, voor '''transformatie en aggregatie''', voor toegang en '''privacy''', classificatie en labelen en '''bescherming tegen verlies''' van gegevens.  +

Regelmatig behoren '''back-upkopieën''' van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.  +

Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met ''cryptografische maatregelen'' en te voldoen aan Nederlandse wetgeving.  +

Gearchiveerde data behoort gedurende de overeengekomen ''bewaartermijn'', ''technologie-onafhankelijk, raadpleegbaar'', ''onveranderbaar'' en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden ''vernietigd.''  +

CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam ''geïsoleerd'' te zijn van ''beheerfuncties'' en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.  +

De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens ''tijdig, welbepaald en uitdrukkelijk omschreven'': * De ''doeleinden'', en: * De ''rechtvaardigingsgronden'' voor: # De '''verdere verwerking''' op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden; # De '''geautomatiseerde besluitvorming'''; # De '''bijzondere categorieën persoonsgegevens'''; # De persoonsgegevens betreffende '''strafrechtelijke veroordelingen en strafbare feiten'''; # Het '''nationaal identificerend nummer'''; # De persoonsgegevens ten behoeve van '''wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang'''.  +

Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de ''onderlinge verantwoordelijkheden'' duidelijk en bij de doorgifte aan een verwerker zijn er ''afdoende garanties''.<br> Bij de doorgifte naar buiten de EU: * Is er een ''vertegenwoordiger'', en: * Is geen sprake van ''uitzonderingsgronden'', en: * Geldt een door de Europese Commissie genomen ''adequaatheidsbesluit'', of: * Zijn er ''passende waarborgen''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 44</sup>, of: * Geldt een ''afwijking voor een specifieke situatie''.  +

Draadloos verkeer behoort te worden beveiligd met ''authenticatie'' van devices, ''autorisatie'' van gebruikers ''en versleuteling'' van de communicatie.  +

Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een ''eigenaar'' te hebben.  +

Het ''eigenaarschap'' en de ''verantwoordelijkheden voor logische toegangsbeveiligingssystemen'' en de ''verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen'' behoren te zijn vastgelegd.  +

Informatie die is opgenomen in elektronische berichten behoort ''passend'' te zijn beschermd.  +

''Principes'' voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.  +

De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te ''monitoren'', te ''beoordelen'' en te ''auditen''.  +

Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en ''onderzoek'' mogelijk te maken ''van gebeurtenissen'', die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.  +

De ''robuustheid'' van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.  +

In de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal ''bepalingen''<sup class="reference smartref" id="cite_ref-Weolcan_1-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> over exit zijn opgenomen, als een aantal ''condities''<sup class="reference smartref" id="cite_ref-Weolcan_2-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> die aanleiding kunnen geven tot een exit.  +

In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal ''bepalingen'' over exit zijn opgenomen, als een aantal ''condities'' die aanleiding kunnen geven tot een exit.  +

Conflicterende ''taken'' en ''verantwoordelijkheden'' behoren te worden ''gescheiden'' om de kans op onbevoegd of ''onbedoeld'' wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.  +

''Beveiligde gebieden'' behoren te worden beschermd door ''passende toegangsbeveiliging'' om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.  +

Fysieke ''beveiligingszones'' behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.  +

De ''filterfuncties'' van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid ''toegestaan'' netwerkverkeer wordt doorgelaten.  +

Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen ''veilig te importeren en veilig op te slaan''.  +

''Te beschermen gegevens'' worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden ''versleuteld''. Opslag vindt alleen plaats als ''noodzakelijk''.  +