Eigenschap:Criterium
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Datgene wat er gedaan moet worden of gerealiseerd
Subeigenschap van
:
Geïmporteerd uit
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
Zie voor meer toelichting de SIVA-methodiek
C
De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op ''compliancy'' te beoordelen, jaarlijks een ''assurance''-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge ''aansluiting'' van de resultaten uit deze twee exercities. +
De projectorganisatie behoort een ''compliance-managementproces'' ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. +
De naleving van een, conform het beveiligingsbeleid, veilige ''inrichting'' van netwerk(diensten), behoort ''periodiek'' gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het ''verantwoordelijke'' management (compliancy-toetsen). +
De leverancier heeft conform '''richtlijnen en procedures''' de middlewarecomponenten geconfigureerd. +
Continuïteitbeheer behoort ''procesmatig'' voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden ''hersteld en voortgezet''. +
Huisvesting IV die worden verworven, behoren te voldoen aan ''kwalitatieve en kwantitatieve eisen'' die zijn vastgelegd in ''overeenkomsten'' met de betreffende leveranciers. +
Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde ''richtlijnen'' en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. +
Ter bescherming van de ''communicatie en opslag'' van informatie behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd. +
Ter bescherming van ''authenticatie-informatie'' behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd. +
Ter bescherming van informatie behoort een ''cryptografiebeleid'' voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. +
Ter bescherming van de ''vertrouwelijkheid'' en ''integriteit'' van de getransporteerde informatie behoren passende ''cryptografische'' ''beheersmaatregelen'' te worden ontwikkeld, geïmplementeerd en ingezet. +
Gevoelige data van de CSC behoort conform het overeengekomen ''beleid'' inzake ''cryptografische maatregelen'' tijdens transport via netwerken en bij opslag bij CSP te zijn ''versleuteld.'' +
D
Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en '''versleuteling''' van data, voor '''transformatie en aggregatie''', voor toegang en '''privacy''', classificatie en labelen en '''bescherming tegen verlies''' van gegevens. +
Regelmatig behoren '''back-upkopieën''' van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. +
Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met ''cryptografische maatregelen'' en te voldoen aan Nederlandse wetgeving. +
Gearchiveerde data behoort gedurende de overeengekomen ''bewaartermijn'', ''technologie-onafhankelijk, raadpleegbaar'', ''onveranderbaar'' en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden ''vernietigd.'' +
CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam ''geïsoleerd'' te zijn van ''beheerfuncties'' en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft. +
De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens ''tijdig, welbepaald en uitdrukkelijk omschreven'':
* De ''doeleinden'', en:
* De ''rechtvaardigingsgronden'' voor:
# De '''verdere verwerking''' op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
# De '''geautomatiseerde besluitvorming''';
# De '''bijzondere categorieën persoonsgegevens''';
# De persoonsgegevens betreffende '''strafrechtelijke veroordelingen en strafbare feiten''';
# Het '''nationaal identificerend nummer''';
# De persoonsgegevens ten behoeve van '''wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang'''. +
Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de ''onderlinge verantwoordelijkheden'' duidelijk en bij de doorgifte aan een verwerker zijn er ''afdoende garanties''.<br>
Bij de doorgifte naar buiten de EU:
* Is er een ''vertegenwoordiger'', en:
* Is geen sprake van ''uitzonderingsgronden'', en:
* Geldt een door de Europese Commissie genomen ''adequaatheidsbesluit'', of:
* Zijn er ''passende waarborgen''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 44</sup>, of:
* Geldt een ''afwijking voor een specifieke situatie''. +
Draadloos verkeer behoort te worden beveiligd met ''authenticatie'' van devices, ''autorisatie'' van gebruikers ''en versleuteling'' van de communicatie. +