Eigenschap:Criterium

Het toewijzen van geheime ''authenticatie-informatie'' behoort te worden beheerst via een formeel ''beheersproces''.  +

Voor het beveiligen van een server worden overbodige ''functies'' en ongeoorloofde ''toegang'' uitgeschakeld.  +

Voor het beveiligen van middlewarecomponenten behoren overbodige '''functies''' en ongeoorloofde '''toegang''' te worden uitgeschakeld.  +

De ''herstelfunctie'' van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden ''getest.''  +

Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren ''architectuurvoorschriften'' en benodigde ''documentatie'' beschikbaar te zijn.  +

Ten behoeve van het ''huisvesting IV-beleid'' behoort een reeks ''beleidsregels'' te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.  +

''IT-functionaliteiten'' behoren te worden verleend vanuit een ''robuuste en beveiligde systeemketen'' van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC).  +

Tegen ''natuurrampen, kwaadwillige aanvallen of ongelukken'' behoort fysieke bescherming te worden ontworpen en toegepast.  +

Met de leverancier behoren de ''informatiebeveiligingseisen'' en een periodieke actualisering daarvan te worden overeengekomen.  +

De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens ''tijdig'' en op een vastgelegde en vastgestelde wijze ''informatie'' aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een ''uitzondering'' geldt, ''toestemming'' kan geven voor de verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14</sup>.  +

Als het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een ''beveiligde inlogprocedure''.  +

Het softwarepakket behoort mechanismen te bevatten voor ''normalisatie'' en ''validatie'' van invoer en voor ''schoning'' van de uitvoer.  +

''Principes'' voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.  +

Door of namens de verwerkingsverantwoordelijke vindt ''evaluatie'' plaats van de gegevensverwerkingen en is de ''rechtmatigheid aangetoond''.  +

Cloud-services zijn bruikbaar (''interoperabiliteit'') op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (''portabiliteit'') naar andere CSP’s.  +

De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden ''gedocumenteerd'' en ''gesynchroniseerd'' met één referentietijdbron.  +

De onderlinge ''netwerkconnecties'' (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden ''bewaakt'' en ''beheerst'' om de risico’s van datalekken te beperken.  +

De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de ''juistheid en nauwkeurigheid'' van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden ''gecorrigeerd, gestaakt of overgedragen''. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling ''geïnformeerd''.  +

De doelorganisatie behoort conform een uitgestippeld ''ontwikkel- en onderhoudsbeleid'' een ''kwaliteitsmanagementsysteem'' in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.  +

''Toegangspunten'' zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.  +

De leverancier behoort de klant te ''adviseren'' met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over ''strategische ontwikkeling'' en ''innovatieve'' keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.  +

Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de ''logbestanden'' behoren te worden beschermd en regelmatig te worden beoordeeld.  +

''Logbestanden'' van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.  +

Het softwarepakket biedt signaleringsfuncties voor ''registratie en detectie'' die ''beveiligd'' zijn ingericht.  +

Applicaties behoren faciliteiten te bieden voor ''logging'' en ''monitoring'' om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.  +

Logbestanden waarin ''gebeurtenissen'' die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden ''geregistreerd'', behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.  +

Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden ''gemaakt en bewaard'' en regelmatig te worden ''beoordeeld'' (op de ernst van de risico’s).  +

Middleware biedt signaleringsfuncties voor '''registratie en detectie''' die '''beveiligd''' zijn ingericht.  +

''Log-bestanden'' van gebeurtenissen die ''gebruikersactiviteiten'', uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, ''bewaard'' en regelmatig te worden ''beoordeeld''.  +

Ter bescherming tegen malware behoren ''beheersmaatregelen'' te worden geïmplementeerd voor ''detectie, preventie en herstel'' in combinatie met een passend bewustzijn van de gebruikers.  +

Ter bescherming tegen malware behoren beheersmaatregelen voor ''preventie'', ''detectie'' en ''herstel'' te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.  +

De verwerkingsverantwoordelijke ''meldt een datalek'' binnen de daaraan ''gestelde termijn'' aan de [[AP (Autoriteit Persoonsgegevens)|Autoriteit Persoonsgegevens]], ''documenteert de inbreuk'', en informeert de betrokkene, tenzij hiervoor een ''uitzondering'' geldt.  +

De leverancier hanteert relevante industriestandaarden voor de '''structuur''' en beheersing van haar IT dienstverlening en draagt zorg voor relevante periodieke '''certificeringen''' van haar dienstverlening.  +

De organisatie ''reviewt/analyseert'' regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te ''rapporteren''.  +

Bij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust ''versleuteld'' en ''gescheiden'' verwerkt op ''gehardende'' (virtuele) machines.  +

Richtlijnen voor de ''naleving'' van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.  +

''Authenticatie van netwerk-nodes'' behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen.  +

Netwerken behoren te worden ''beheerd'' en ''beheerst'' om informatie in systemen en toepassingen te beschermen.  +

De beveiligingsarchitectuur behoort de ''samenhang'' van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden.  +

Netwerken behoren te worden ''beheerd'' en ''beheerst'' om informatie in systemen en toepassingen te beschermen.  +

Alle gebruikte routeringen, segmenten, ''verbindingen'' en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden ''bewaakt''.  +

Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in ''nutsvoorzieningen''.  +

Voor iedere locatie van huisvesting IV behoort een ''onderhoudsplan'' te zijn opgesteld met een risicoafweging en ''onderhoudsbepalingen''.  +

Het ''ontwerp'' van een serverplatform behoort te zijn gedocumenteerd.  +

Het ontwerp van middleware behoort te zijn '''gedocumenteerd'''.  +

De ''verdeling van de taken en verantwoordelijkheden'', de ''benodigde middelen'' en de ''rapportagelijnen'' zijn door de organisatie vastgelegd en vastgesteld.  +

De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate ''organisatiestructuur'' in te richten en de aan ''functionarissen'' toe te wijzen ''taken, verantwoordelijkheden en bevoegdheden'' vast te stellen.  +

In het beleid behoort te zijn vastgesteld dat een centrale ''organisatiestructuur'' gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.  +

''Overeenkomsten'' behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.  +

Patchmanagement behoort ''procesmatig en procedureel'' zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over ''technische kwetsbaarheden'', zodat ''tijdig'' de laatste (beveiligings)patches kunnen worden geïnstalleerd.  +

Patchmanagement is ''procesmatig'' en ''procedureel'' opgezet en wordt ondersteund door ''richtlijnen'' zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.  +

Patchmanagement behoort ''procesmatig en procedureel'' uitgevoerd te worden, dat tijdig vanuit externe bibliotheken informatie wordt ingewonnen over ''technische kwetsbaarheden'' van de gebruikte code, zodat ''zo snel mogelijk'' de laatste (beveiligings-)patches kunnen worden geïnstalleerd.  +

De organisatie heeft ''privacybeleid'' en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de ''wettelijke beginselen'' <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.</sup>  +

Bij het ontwikkelen van applicaties behoren ''privacy en bescherming van persoonsgegevens'', voor zover van toepassing, te worden gewaarborgd volgens relevante ''wet- en regelgeving.''  +

De Cloud Service Provider (CSP) behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: ''beveiligingsaspecten en stadia'', ''toegang en privacy'', ''classificatie/labelen'', ''eigenaarschap'' en ''locatie.''  +

Binnen de (project-)organisatie behoort een ''beveiligingsfunctionaris'' te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van ''beveiligingsvoorschriften'' en die inzicht verschaft in de samenstelling van het applicatielandschap.  +

De projectorganisatie behoort een ''quality assurance-proces'' te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen.  +

De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een ''register'' vastgelegd, daarbij biedt het register een ''actueel en samenhangend beeld'' van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.  +

Een ''formele registratie- en afmeldprocedure'' behoort te worden geïmplementeerd om toewijzing van ''toegangsrechten'' mogelijk te maken.  +

''Richtlijnen'' behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.  +

De projectorganisatie behoort ''richtlijnen'' voor de ''controle-activiteiten en rapportages'' te hebben geformuleerd, gericht op de evaluaties van ''ontwikkelactiviteiten'', zoals requirements, specificaties en programmacode.  +

Voor het werken in beveiligde gebieden behoren ''richtlijnen'' te worden ontwikkeld en toegepast<sup class="reference smartref" id="cite_ref-vervangen_1-0">[[ISOR:Richtlijnen gebieden en ruimten#cite_note-vervangen-1|1]]</sup>.  +

Voor het ontwikkelen van de (programma)code zijn specifieke ''regels'' van toepassing en behoort gebruik te zijn gemaakt van specifieke ''best practices''.  +

Organisaties behoren hun netwerken te beveiligen met richtlijnen voor ''ontwerp'', ''implementatie'' en ''beheer'' <sup class="reference smartref" id="cite_ref-ISO-voorbeeld_1-0">[[ISOR:Richtlijnen netwerkbeveiliging#cite_note-ISO-voorbeeld-1|1]]</sup>.  +

'''Richtlijnen en procedures''' ten aanzien van middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben.  +

De Cloud Service Provider (CSP) behoort een risico-assessment uit te voeren, bestaande uit een ''risico-analyse'' en ''risico-evaluatie'' met de criteria en de doelstelling voor clouddiensten van de CSP.  +

Risicomanagement en het risico-assessmentproces behoren continu te worden ''gemonitord en gereviewd'' en zo nodig te worden verbeterd.  +

De Cloud Service Provider (CSP) behoort de organisatie en ''verantwoordelijkheden'' voor het ''risicomanagementproces'' voor de beveiliging van clouddiensten te hebben opgezet en onderhouden.  +

De verwerkingsverantwoordelijke draagt zorg voor ''het beoordelen van de privacyrisico's'', het treffen van ''passende maatregelen'' en het kunnen ''aantonen'' van het passend zijn van deze maatregelen.  +

Alle rollen en '''verantwoordelijkheden''' voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen.  +

De cloud-infrastructuur is zodanig ingericht dat de dienstverlening aan gebruikers van informatiediensten zijn ''gescheiden.''  +

Media behoren op een veilige en beveiligde manier te worden '''verwijderd''' en '''geschoond''' als ze niet langer nodig zijn, overeenkomstig formele procedures.  +

De performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden ''gemonitord en'' hierover behoort tijdig te worden ''gerapporteerd'' aan verschillende stakeholders.  +

Servers behoren correct te worden ''onderhouden'' om de continue beschikbaarheid en integriteit te waarborgen.  +

Serverplatforms behoren zo ''geconfigureerd'' te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ''ongeautoriseerd'' en incorrecte updates.  +

De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een ''architectuurdocument'' vastgelegd.  +

Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (''Service Level Agreement'').  +

Service-orkestratie biedt ''coördinatie'', aggregatie en samenstelling van de ''servicecomponenten'' van de cloud-service die aan de CSC wordt geleverd.  +

De Cloud Service Provider (CSP) heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin ''richtlijnen'' voor de beheersingsprocessen, ''controle-activiteiten en rapportages.''  +

Sessies behoren ''authentiek'' te zijn voor elke gebruiker en behoren ongeldig gemaakt te worden na een ''time-out'' of perioden van inactiviteit.  +

Het ''toewijzen'' en gebruik van speciale ''toegangsrechten'' behoren te worden beperkt en ''beheerst''.  +

De CSP past aantoonbaar relevante ''nationale standaarden'' en ''internationale standaarden'' toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.  +

Het serverplatform is geconfigureerd volgens gedocumenteerde ''standaarden''.  +

Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde ''systeem-ontwikkelmethode'', waarin onder andere ''standaarden en procedures'' voor de applicatieontwikkeling, het toepassen van ''beleid en wet- en regelgeving'' en een ''projectmatige aanpak'' zijn geadresseerd.  +

Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van ''acceptatietests'' en gerelateerde criteria te worden vastgesteld.  +

Bij ''veranderingen van besturingsplatforms'' behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.  +

Informatie over ''technische kwetsbaarheden'' van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden ''geëvalueerd'' en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.  +

Informatie over ''technische serverkwetsbaarheden''<sup class="reference smartref" id="cite_ref-HRpentesten_1-0">[[ISOR:Beheer van serverkwetsbaarheden#cite_note-HRpentesten-1|1]]</sup> behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.  +

Tijdens ontwikkelactiviteiten behoren zowel ''bedrijfsfunctionaliteiten'' als de ''beveiligingsfunctionaliteiten'' te worden getest.  +

''Gebruikers'' behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.  +

De verwerkingsverantwoordelijke biedt de betrokkene ''informatie over de verwerking van persoonsgegevens'' en doet dit ''tijdig'' en in een ''passende vorm'', zodat de betrokkene zijn rechten kan uitoefenen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12</sup>, tenzij er een ''specifieke uitzonderingsgrond'' geldt.  +

Het toewijzen en gebruik van speciale '''toegangsrechten''' tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden '''beperkt''' en '''beheerst'''.  +

De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de ''processtructuur'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +

Het softwarepakket behoort een ''autorisatiemechanisme'' te bieden.  +

Toegang tot de ''programmabroncodebibliotheken'' behoren te worden beperkt.  +

De organisatie behoort met organisatorische eisen en wensen de ''technische inrichting'' beschreven te hebben en behoort in een ''toegangsbeveiligingsarchitectuur'' te zijn vastgelegd.  +

Een ''toegangbeveiligingsbeleid'' behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van ''bedrijfseisen'' en ''informatiebeveiligingseisen''.  +

Een formele ''gebruikerstoegangsverleningsprocedure'' behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.  +

Informatie die deel uitmaakt van uitvoeringsdiensten en die via ''openbare netwerken'' wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +

De ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke ''faciliteiten'' biedt voor het effectief uitvoeren van de ontwikkelcyclus.  +