Eigenschap:Criterium

Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden ''geverifieerd'' om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan ''verwijdering'' of hergebruik zijn ''verwijderd of betrouwbaar veilig zijn overschreven''.  +

De functionele en beveiligingseisen behoren in een ''applicatie-architectuur'', conform architectuurvoorschriften, in ''samenhang'' te zijn vastgelegd.  +

Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: ''business-vereisten en reviews'', ''omgevingsanalyse'' en ''(specifieke) beveiliging.''  +

De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met ''(industrie) good practice'' en door individuen die beschikken over de ''juiste vaardigheden en tools'' en behoort te worden gereviewd.  +

Informatiesystemen behoren zo te worden ontworpen, dat de ''invoerfuncties'', ''verwerkingsfuncties'' en ''uitvoerfuncties'' van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen.  +

De koppelingen tussen applicaties behoren te worden uitgevoerd met geaccordeerde ''koppelingsrichtlijnen'' om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen.  +

Softwarepakketten behoren ''veilige API’s'' te gebruiken voor import en export van gegevens.  +

Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een ''mechanisme voor identificatie en authenticatie''.  +

Toegang (autorisatie) tot ''informatie'' en ''systeemfuncties'' van toepassingen behoren te worden beperkt in overeenstemming met het ''toegangsbeveiligingsbeleid''.  +

De rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat ''autorisaties'' kunnen worden toegewezen aan organisatorische functies en ''scheiding van niet verenigbare autorisaties'' mogelijk is.  +

Een ''formeel autorisatieproces'' dient geïmplementeerd te zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.  +

Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische ''autorisatievoorzieningen'', zoals: een ''personeelsregistratiesysteem'', een ''autorisatiebeheersysteem'' en ''autorisatiefaciliteiten'', beschikbaar zijn.  +

''Bedieningsprocedures'' behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.  +

De noodzakelijke ''bedrijfs- en beveiligingsfuncties'' binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.  +

De leverancier behoort processen, ''procedures'' en beheersmaatregelen te documenteren, te implementeren en te ''handhaven''.  +

De CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: ''verantwoordelijkheid voor BCM'', ''beleid en procedures'', ''bedrijfscontinuïteitsplanning'', ''verificatie en updaten'' en ''computercentra.''  +

Informatie verwerkende faciliteiten behoren met voldoende ''redundantie'' te worden geïmplementeerd om aan ''continuïteitseisen'' te voldoen.  +

Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een ''inventaris'' te worden opgesteld en onderhouden.  +

Informatieverwerkende ''bedrijfsmiddelen'', uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.  +

''Richtlijnen'' en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.  +