Eigenschap:Criterium

''Beveiligde gebieden'' behoren te worden beschermd door ''passende toegangsbeveiliging'' om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.  +

Fysieke ''beveiligingszones'' behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.  +

De ''filterfuncties'' van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid ''toegestaan'' netwerkverkeer wordt doorgelaten.  +

Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen ''veilig te importeren en veilig op te slaan''.  +

''Te beschermen gegevens'' worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden ''versleuteld''. Opslag vindt alleen plaats als ''noodzakelijk''.  +

Het toewijzen van geheime ''authenticatie-informatie'' behoort te worden beheerst via een formeel ''beheersproces''.  +

Voor het beveiligen van een server worden overbodige ''functies'' en ongeoorloofde ''toegang'' uitgeschakeld.  +

Voor het beveiligen van middlewarecomponenten behoren overbodige '''functies''' en ongeoorloofde '''toegang''' te worden uitgeschakeld.  +

De ''herstelfunctie'' van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden ''getest.''  +

Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren ''architectuurvoorschriften'' en benodigde ''documentatie'' beschikbaar te zijn.  +

Ten behoeve van het ''huisvesting IV-beleid'' behoort een reeks ''beleidsregels'' te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.  +

''IT-functionaliteiten'' behoren te worden verleend vanuit een ''robuuste en beveiligde systeemketen'' van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC).  +

Tegen ''natuurrampen, kwaadwillige aanvallen of ongelukken'' behoort fysieke bescherming te worden ontworpen en toegepast.  +

Met de leverancier behoren de ''informatiebeveiligingseisen'' en een periodieke actualisering daarvan te worden overeengekomen.  +

De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens ''tijdig'' en op een vastgelegde en vastgestelde wijze ''informatie'' aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een ''uitzondering'' geldt, ''toestemming'' kan geven voor de verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14</sup>.  +

Als het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een ''beveiligde inlogprocedure''.  +

Het softwarepakket behoort mechanismen te bevatten voor ''normalisatie'' en ''validatie'' van invoer en voor ''schoning'' van de uitvoer.  +

''Principes'' voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.  +

Door of namens de verwerkingsverantwoordelijke vindt ''evaluatie'' plaats van de gegevensverwerkingen en is de ''rechtmatigheid aangetoond''.  +

Cloud-services zijn bruikbaar (''interoperabiliteit'') op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (''portabiliteit'') naar andere CSP’s.  +