Eigenschap:Criterium
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Datgene wat er gedaan moet worden of gerealiseerd
Subeigenschap van
:
Geïmporteerd uit
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
Zie voor meer toelichting de SIVA-methodiek
C
Ter bescherming van de ''vertrouwelijkheid'' en ''integriteit'' van de getransporteerde informatie behoren passende ''cryptografische'' ''beheersmaatregelen'' te worden ontwikkeld, geïmplementeerd en ingezet. +
Gevoelige data van de CSC behoort conform het overeengekomen ''beleid'' inzake ''cryptografische maatregelen'' tijdens transport via netwerken en bij opslag bij CSP te zijn ''versleuteld.'' +
D
Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en '''versleuteling''' van data, voor '''transformatie en aggregatie''', voor toegang en '''privacy''', classificatie en labelen en '''bescherming tegen verlies''' van gegevens. +
Regelmatig behoren '''back-upkopieën''' van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. +
Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met ''cryptografische maatregelen'' en te voldoen aan Nederlandse wetgeving. +
Gearchiveerde data behoort gedurende de overeengekomen ''bewaartermijn'', ''technologie-onafhankelijk, raadpleegbaar'', ''onveranderbaar'' en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden ''vernietigd.'' +
CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam ''geïsoleerd'' te zijn van ''beheerfuncties'' en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft. +
De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens ''tijdig, welbepaald en uitdrukkelijk omschreven'':
* De ''doeleinden'', en:
* De ''rechtvaardigingsgronden'' voor:
# De '''verdere verwerking''' op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
# De '''geautomatiseerde besluitvorming''';
# De '''bijzondere categorieën persoonsgegevens''';
# De persoonsgegevens betreffende '''strafrechtelijke veroordelingen en strafbare feiten''';
# Het '''nationaal identificerend nummer''';
# De persoonsgegevens ten behoeve van '''wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang'''. +
Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de ''onderlinge verantwoordelijkheden'' duidelijk en bij de doorgifte aan een verwerker zijn er ''afdoende garanties''.<br>
Bij de doorgifte naar buiten de EU:
* Is er een ''vertegenwoordiger'', en:
* Is geen sprake van ''uitzonderingsgronden'', en:
* Geldt een door de Europese Commissie genomen ''adequaatheidsbesluit'', of:
* Zijn er ''passende waarborgen''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 44</sup>, of:
* Geldt een ''afwijking voor een specifieke situatie''. +
Draadloos verkeer behoort te worden beveiligd met ''authenticatie'' van devices, ''autorisatie'' van gebruikers ''en versleuteling'' van de communicatie. +
E
Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een ''eigenaar'' te hebben. +
Het ''eigenaarschap'' en de ''verantwoordelijkheden voor logische toegangsbeveiligingssystemen'' en de ''verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen'' behoren te zijn vastgelegd. +
Informatie die is opgenomen in elektronische berichten behoort ''passend'' te zijn beschermd. +
''Principes'' voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. +
De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te ''monitoren'', te ''beoordelen'' en te ''auditen''. +
Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en ''onderzoek'' mogelijk te maken ''van gebeurtenissen'', die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging. +
De ''robuustheid'' van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. +
In de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal ''bepalingen''<sup class="reference smartref" id="cite_ref-Weolcan_1-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> over exit zijn opgenomen, als een aantal ''condities''<sup class="reference smartref" id="cite_ref-Weolcan_2-0">[[ISOR:Exit-strategie#cite_note-Weolcan-1|1]]</sup> die aanleiding kunnen geven tot een exit. +
In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal ''bepalingen'' over exit zijn opgenomen, als een aantal ''condities'' die aanleiding kunnen geven tot een exit. +
F
Conflicterende ''taken'' en ''verantwoordelijkheden'' behoren te worden ''gescheiden'' om de kans op onbevoegd of ''onbedoeld'' wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. +