Eigenschap:Criterium

De klant behoort het ''architectuurlandschap'' in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en ''beveiligingsprincipes'' te hebben ontwikkeld.  +

Voor het beveiligen van ruimten behoren ''faciliteiten'' te worden ontworpen en toegepast<sup class="reference smartref" id="cite_ref-toegepast_1-0">[[ISOR:Beveiligingsfaciliteiten ruimten#cite_note-toegepast-1|1]]</sup>.  +

Een gespecialiseerde ''beveiligingsfunctie'' dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.  +

De CSP behoort een ''beveiligingsfunctie'' te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden (TVB)'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

Door het treffen van de ''nodige maatregelen'' hanteert de organisatie voor persoonsgegevens een ''bewaartermijn'' die niet wordt overschreden.  +

De BIA behoort te worden uitgevoerd vanuit verschillende ''perspectieven'', zich te richten op verschillende ''scenario’s'' en vast te stellen welke impact de ''aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid'' hebben op de organisatie.  +

Het gebruik van middelen behoort te worden '''gemonitord''' en '''beoordeeld''', en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.  +

Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de ''gangbare standaarden.''  +

''Informatie'' behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.  +

De CSP behoort een ''cloudbeveiligingsstrategie'' te hebben ontwikkeld die ''samenhangt'' met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.  +

De clouddienstenarchitectuur specificeert de ''samenhang'' en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.  +

De CSP heeft een actuele architectuur vastgelegd die voorziet in een ''raamwerk'' voor de onderlinge ''samenhang en afhankelijkheden'' van de IT-functionaliteiten.  +

De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een ''cloud-beveiligingsbeleid'' om de voorzieningen en het gebruik van cloud-services te adresseren.  +

Het softwarepakket past ''versleuteling'' toe op de communicatie van gegevens die ''passend bij het classificatieniveau'' is van de gegevens en ''controleert'' hierop.  +

De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op ''compliancy'' te beoordelen, jaarlijks een ''assurance''-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge ''aansluiting'' van de resultaten uit deze twee exercities.  +

De projectorganisatie behoort een ''compliance-managementproces'' ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.  +

De naleving van een, conform het beveiligingsbeleid, veilige ''inrichting'' van netwerk(diensten), behoort ''periodiek'' gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het ''verantwoordelijke'' management (compliancy-toetsen).  +

De leverancier heeft conform '''richtlijnen en procedures''' de middlewarecomponenten geconfigureerd.  +

Continuïteitbeheer behoort ''procesmatig'' voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden ''hersteld en voortgezet''.  +

Huisvesting IV die worden verworven, behoren te voldoen aan ''kwalitatieve en kwantitatieve eisen'' die zijn vastgelegd in ''overeenkomsten'' met de betreffende leveranciers.  +

Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde ''richtlijnen'' en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.  +

Ter bescherming van de ''communicatie en opslag'' van informatie behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van ''authenticatie-informatie'' behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van informatie behoort een ''cryptografiebeleid'' voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van de ''vertrouwelijkheid'' en ''integriteit'' van de getransporteerde informatie behoren passende ''cryptografische'' ''beheersmaatregelen'' te worden ontwikkeld, geïmplementeerd en ingezet.  +

Gevoelige data van de CSC behoort conform het overeengekomen ''beleid'' inzake ''cryptografische maatregelen'' tijdens transport via netwerken en bij opslag bij CSP te zijn ''versleuteld.''  +

Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en '''versleuteling''' van data, voor '''transformatie en aggregatie''', voor toegang en '''privacy''', classificatie en labelen en '''bescherming tegen verlies''' van gegevens.  +

Regelmatig behoren '''back-upkopieën''' van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.  +

Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met ''cryptografische maatregelen'' en te voldoen aan Nederlandse wetgeving.  +

Gearchiveerde data behoort gedurende de overeengekomen ''bewaartermijn'', ''technologie-onafhankelijk, raadpleegbaar'', ''onveranderbaar'' en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden ''vernietigd.''  +

CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam ''geïsoleerd'' te zijn van ''beheerfuncties'' en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.  +

De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens ''tijdig, welbepaald en uitdrukkelijk omschreven'': * De ''doeleinden'', en: * De ''rechtvaardigingsgronden'' voor: # De '''verdere verwerking''' op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden; # De '''geautomatiseerde besluitvorming'''; # De '''bijzondere categorieën persoonsgegevens'''; # De persoonsgegevens betreffende '''strafrechtelijke veroordelingen en strafbare feiten'''; # Het '''nationaal identificerend nummer'''; # De persoonsgegevens ten behoeve van '''wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang'''.  +

Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de ''onderlinge verantwoordelijkheden'' duidelijk en bij de doorgifte aan een verwerker zijn er ''afdoende garanties''.<br> Bij de doorgifte naar buiten de EU: * Is er een ''vertegenwoordiger'', en: * Is geen sprake van ''uitzonderingsgronden'', en: * Geldt een door de Europese Commissie genomen ''adequaatheidsbesluit'', of: * Zijn er ''passende waarborgen''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 44</sup>, of: * Geldt een ''afwijking voor een specifieke situatie''.  +

Draadloos verkeer behoort te worden beveiligd met ''authenticatie'' van devices, ''autorisatie'' van gebruikers ''en versleuteling'' van de communicatie.  +

Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een ''eigenaar'' te hebben.  +

Het ''eigenaarschap'' en de ''verantwoordelijkheden voor logische toegangsbeveiligingssystemen'' en de ''verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen'' behoren te zijn vastgelegd.  +

Informatie die is opgenomen in elektronische berichten behoort ''passend'' te zijn beschermd.  +

''Principes'' voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.  +

De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te ''monitoren'', te ''beoordelen'' en te ''auditen''.  +

Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en ''onderzoek'' mogelijk te maken ''van gebeurtenissen'', die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.  +

De ''robuustheid'' van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.  +

In de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal ''bepalingen''<sup class="reference smartref" id="cite_ref-Weolcan_1-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> over exit zijn opgenomen, als een aantal ''condities''<sup class="reference smartref" id="cite_ref-Weolcan_2-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> die aanleiding kunnen geven tot een exit.  +

In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal ''bepalingen'' over exit zijn opgenomen, als een aantal ''condities'' die aanleiding kunnen geven tot een exit.  +

Conflicterende ''taken'' en ''verantwoordelijkheden'' behoren te worden ''gescheiden'' om de kans op onbevoegd of ''onbedoeld'' wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.  +

''Beveiligde gebieden'' behoren te worden beschermd door ''passende toegangsbeveiliging'' om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.  +

Fysieke ''beveiligingszones'' behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.  +

De ''filterfuncties'' van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid ''toegestaan'' netwerkverkeer wordt doorgelaten.  +

Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen ''veilig te importeren en veilig op te slaan''.  +

''Te beschermen gegevens'' worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden ''versleuteld''. Opslag vindt alleen plaats als ''noodzakelijk''.  +

Het toewijzen van geheime ''authenticatie-informatie'' behoort te worden beheerst via een formeel ''beheersproces''.  +

Voor het beveiligen van een server worden overbodige ''functies'' en ongeoorloofde ''toegang'' uitgeschakeld.  +

Voor het beveiligen van middlewarecomponenten behoren overbodige '''functies''' en ongeoorloofde '''toegang''' te worden uitgeschakeld.  +

De ''herstelfunctie'' van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden ''getest.''  +

Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren ''architectuurvoorschriften'' en benodigde ''documentatie'' beschikbaar te zijn.  +

Ten behoeve van het ''huisvesting IV-beleid'' behoort een reeks ''beleidsregels'' te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.  +

''IT-functionaliteiten'' behoren te worden verleend vanuit een ''robuuste en beveiligde systeemketen'' van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC).  +

Tegen ''natuurrampen, kwaadwillige aanvallen of ongelukken'' behoort fysieke bescherming te worden ontworpen en toegepast.  +

Met de leverancier behoren de ''informatiebeveiligingseisen'' en een periodieke actualisering daarvan te worden overeengekomen.  +

De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens ''tijdig'' en op een vastgelegde en vastgestelde wijze ''informatie'' aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een ''uitzondering'' geldt, ''toestemming'' kan geven voor de verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14</sup>.  +

Als het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een ''beveiligde inlogprocedure''.  +

Het softwarepakket behoort mechanismen te bevatten voor ''normalisatie'' en ''validatie'' van invoer en voor ''schoning'' van de uitvoer.  +

''Principes'' voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.  +

Door of namens de verwerkingsverantwoordelijke vindt ''evaluatie'' plaats van de gegevensverwerkingen en is de ''rechtmatigheid aangetoond''.  +

Cloud-services zijn bruikbaar (''interoperabiliteit'') op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (''portabiliteit'') naar andere CSP’s.  +

De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden ''gedocumenteerd'' en ''gesynchroniseerd'' met één referentietijdbron.  +

De onderlinge ''netwerkconnecties'' (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden ''bewaakt'' en ''beheerst'' om de risico’s van datalekken te beperken.  +

De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de ''juistheid en nauwkeurigheid'' van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden ''gecorrigeerd, gestaakt of overgedragen''. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling ''geïnformeerd''.  +

De doelorganisatie behoort conform een uitgestippeld ''ontwikkel- en onderhoudsbeleid'' een ''kwaliteitsmanagementsysteem'' in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.  +

''Toegangspunten'' zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.  +

De leverancier behoort de klant te ''adviseren'' met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over ''strategische ontwikkeling'' en ''innovatieve'' keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.  +

Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de ''logbestanden'' behoren te worden beschermd en regelmatig te worden beoordeeld.  +

''Logbestanden'' van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.  +

Het softwarepakket biedt signaleringsfuncties voor ''registratie en detectie'' die ''beveiligd'' zijn ingericht.  +

Applicaties behoren faciliteiten te bieden voor ''logging'' en ''monitoring'' om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.  +

Logbestanden waarin ''gebeurtenissen'' die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden ''geregistreerd'', behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.  +

Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden ''gemaakt en bewaard'' en regelmatig te worden ''beoordeeld'' (op de ernst van de risico’s).  +

Middleware biedt signaleringsfuncties voor '''registratie en detectie''' die '''beveiligd''' zijn ingericht.  +

''Log-bestanden'' van gebeurtenissen die ''gebruikersactiviteiten'', uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, ''bewaard'' en regelmatig te worden ''beoordeeld''.  +

Ter bescherming tegen malware behoren ''beheersmaatregelen'' te worden geïmplementeerd voor ''detectie, preventie en herstel'' in combinatie met een passend bewustzijn van de gebruikers.  +

Ter bescherming tegen malware behoren beheersmaatregelen voor ''preventie'', ''detectie'' en ''herstel'' te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.  +

De verwerkingsverantwoordelijke ''meldt een datalek'' binnen de daaraan ''gestelde termijn'' aan de [[AP (Autoriteit Persoonsgegevens)|Autoriteit Persoonsgegevens]], ''documenteert de inbreuk'', en informeert de betrokkene, tenzij hiervoor een ''uitzondering'' geldt.  +

De leverancier hanteert relevante industriestandaarden voor de '''structuur''' en beheersing van haar IT dienstverlening en draagt zorg voor relevante periodieke '''certificeringen''' van haar dienstverlening.  +

De organisatie ''reviewt/analyseert'' regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te ''rapporteren''.  +

Bij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust ''versleuteld'' en ''gescheiden'' verwerkt op ''gehardende'' (virtuele) machines.  +

Richtlijnen voor de ''naleving'' van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.  +

''Authenticatie van netwerk-nodes'' behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen.  +

Netwerken behoren te worden ''beheerd'' en ''beheerst'' om informatie in systemen en toepassingen te beschermen.  +

De beveiligingsarchitectuur behoort de ''samenhang'' van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden.  +

Netwerken behoren te worden ''beheerd'' en ''beheerst'' om informatie in systemen en toepassingen te beschermen.  +

Alle gebruikte routeringen, segmenten, ''verbindingen'' en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden ''bewaakt''.  +

Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in ''nutsvoorzieningen''.  +

Voor iedere locatie van huisvesting IV behoort een ''onderhoudsplan'' te zijn opgesteld met een risicoafweging en ''onderhoudsbepalingen''.  +

Het ''ontwerp'' van een serverplatform behoort te zijn gedocumenteerd.  +

Het ontwerp van middleware behoort te zijn '''gedocumenteerd'''.  +

De ''verdeling van de taken en verantwoordelijkheden'', de ''benodigde middelen'' en de ''rapportagelijnen'' zijn door de organisatie vastgelegd en vastgesteld.  +

De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate ''organisatiestructuur'' in te richten en de aan ''functionarissen'' toe te wijzen ''taken, verantwoordelijkheden en bevoegdheden'' vast te stellen.  +

In het beleid behoort te zijn vastgesteld dat een centrale ''organisatiestructuur'' gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.  +

''Overeenkomsten'' behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.  +

Patchmanagement behoort ''procesmatig en procedureel'' zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over ''technische kwetsbaarheden'', zodat ''tijdig'' de laatste (beveiligings)patches kunnen worden geïnstalleerd.  +