Eigenschap:Criterium

Ter bescherming van de ''vertrouwelijkheid'' en ''integriteit'' van de getransporteerde informatie behoren passende ''cryptografische'' ''beheersmaatregelen'' te worden ontwikkeld, geïmplementeerd en ingezet.  +

Gevoelige data van de CSC behoort conform het overeengekomen ''beleid'' inzake ''cryptografische maatregelen'' tijdens transport via netwerken en bij opslag bij CSP te zijn ''versleuteld.''  +

Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en '''versleuteling''' van data, voor '''transformatie en aggregatie''', voor toegang en '''privacy''', classificatie en labelen en '''bescherming tegen verlies''' van gegevens.  +

Regelmatig behoren '''back-upkopieën''' van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.  +

Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met ''cryptografische maatregelen'' en te voldoen aan Nederlandse wetgeving.  +

Gearchiveerde data behoort gedurende de overeengekomen ''bewaartermijn'', ''technologie-onafhankelijk, raadpleegbaar'', ''onveranderbaar'' en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden ''vernietigd.''  +

CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam ''geïsoleerd'' te zijn van ''beheerfuncties'' en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.  +

De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens ''tijdig, welbepaald en uitdrukkelijk omschreven'': * De ''doeleinden'', en: * De ''rechtvaardigingsgronden'' voor: # De '''verdere verwerking''' op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden; # De '''geautomatiseerde besluitvorming'''; # De '''bijzondere categorieën persoonsgegevens'''; # De persoonsgegevens betreffende '''strafrechtelijke veroordelingen en strafbare feiten'''; # Het '''nationaal identificerend nummer'''; # De persoonsgegevens ten behoeve van '''wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang'''.  +

Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de ''onderlinge verantwoordelijkheden'' duidelijk en bij de doorgifte aan een verwerker zijn er ''afdoende garanties''.<br> Bij de doorgifte naar buiten de EU: * Is er een ''vertegenwoordiger'', en: * Is geen sprake van ''uitzonderingsgronden'', en: * Geldt een door de Europese Commissie genomen ''adequaatheidsbesluit'', of: * Zijn er ''passende waarborgen''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 44</sup>, of: * Geldt een ''afwijking voor een specifieke situatie''.  +

Draadloos verkeer behoort te worden beveiligd met ''authenticatie'' van devices, ''autorisatie'' van gebruikers ''en versleuteling'' van de communicatie.  +

Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een ''eigenaar'' te hebben.  +

Het ''eigenaarschap'' en de ''verantwoordelijkheden voor logische toegangsbeveiligingssystemen'' en de ''verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen'' behoren te zijn vastgelegd.  +

Informatie die is opgenomen in elektronische berichten behoort ''passend'' te zijn beschermd.  +

''Principes'' voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.  +

De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te ''monitoren'', te ''beoordelen'' en te ''auditen''.  +

Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en ''onderzoek'' mogelijk te maken ''van gebeurtenissen'', die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.  +

De ''robuustheid'' van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.  +

In de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal ''bepalingen''<sup class="reference smartref" id="cite_ref-Weolcan_1-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> over exit zijn opgenomen, als een aantal ''condities''<sup class="reference smartref" id="cite_ref-Weolcan_2-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> die aanleiding kunnen geven tot een exit.  +

In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal ''bepalingen'' over exit zijn opgenomen, als een aantal ''condities'' die aanleiding kunnen geven tot een exit.  +

Conflicterende ''taken'' en ''verantwoordelijkheden'' behoren te worden ''gescheiden'' om de kans op onbevoegd of ''onbedoeld'' wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.  +