Eigenschap:Criterium

De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een ''architectuurdocument'' vastgelegd.  +

Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (''Service Level Agreement'').  +

Service-orkestratie biedt ''coördinatie'', aggregatie en samenstelling van de ''servicecomponenten'' van de cloud-service die aan de CSC wordt geleverd.  +

De Cloud Service Provider (CSP) heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin ''richtlijnen'' voor de beheersingsprocessen, ''controle-activiteiten en rapportages.''  +

Sessies behoren ''authentiek'' te zijn voor elke gebruiker en behoren ongeldig gemaakt te worden na een ''time-out'' of perioden van inactiviteit.  +

Het ''toewijzen'' en gebruik van speciale ''toegangsrechten'' behoren te worden beperkt en ''beheerst''.  +

De CSP past aantoonbaar relevante ''nationale standaarden'' en ''internationale standaarden'' toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.  +

Het serverplatform is geconfigureerd volgens gedocumenteerde ''standaarden''.  +

Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde ''systeem-ontwikkelmethode'', waarin onder andere ''standaarden en procedures'' voor de applicatieontwikkeling, het toepassen van ''beleid en wet- en regelgeving'' en een ''projectmatige aanpak'' zijn geadresseerd.  +

Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van ''acceptatietests'' en gerelateerde criteria te worden vastgesteld.  +

Bij ''veranderingen van besturingsplatforms'' behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.  +

Informatie over ''technische kwetsbaarheden'' van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden ''geëvalueerd'' en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.  +

Informatie over ''technische serverkwetsbaarheden''<sup class="reference smartref" id="cite_ref-HRpentesten_1-0">[[ISOR:Beheer van serverkwetsbaarheden#cite_note-HRpentesten-1|1]]</sup> behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.  +

Tijdens ontwikkelactiviteiten behoren zowel ''bedrijfsfunctionaliteiten'' als de ''beveiligingsfunctionaliteiten'' te worden getest.  +

''Gebruikers'' behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.  +

De verwerkingsverantwoordelijke biedt de betrokkene ''informatie over de verwerking van persoonsgegevens'' en doet dit ''tijdig'' en in een ''passende vorm'', zodat de betrokkene zijn rechten kan uitoefenen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12</sup>, tenzij er een ''specifieke uitzonderingsgrond'' geldt.  +

Het toewijzen en gebruik van speciale '''toegangsrechten''' tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden '''beperkt''' en '''beheerst'''.  +

De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de ''processtructuur'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +

Het softwarepakket behoort een ''autorisatiemechanisme'' te bieden.  +

Toegang tot de ''programmabroncodebibliotheken'' behoren te worden beperkt.  +

De organisatie behoort met organisatorische eisen en wensen de ''technische inrichting'' beschreven te hebben en behoort in een ''toegangsbeveiligingsarchitectuur'' te zijn vastgelegd.  +

Een ''toegangbeveiligingsbeleid'' behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van ''bedrijfseisen'' en ''informatiebeveiligingseisen''.  +

Een formele ''gebruikerstoegangsverleningsprocedure'' behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.  +

Informatie die deel uitmaakt van uitvoeringsdiensten en die via ''openbare netwerken'' wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +

De ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke ''faciliteiten'' biedt voor het effectief uitvoeren van de ontwikkelcyclus.  +

Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende ''bewustzijnsopleiding en -training'' te krijgen ''en'' regelmatige ''bijscholing'' van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.  +

De CSP voorziet de CSC in een ''systeembeschrijving'' waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de ''jurisdictie'', ''onderzoeksmogelijkheden'' en ''certificaten'' worden geadresseerd.  +

De projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer ''procesmatig'' en ''efficiënt'' ingericht te hebben.  +

Wijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele ''procedures'' voor wijzigingsbeheer.  +

Gevoelige data behoort conform het overeengekomen beleid inzake maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn '''gemaskeerd of versleuteld'''.  +

Eisen voor ''vertrouwelijkheids- of geheimhoudingsovereenkomsten'' die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.  +

Voor het verwerven van software behoren ''regels'' te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.  +

Alle onderdelen van servers die ''opslagmedia'' bevatten, behoren te worden ''geverifieerd'' om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.  +

Een VPN behoort een strikt ''gescheiden end-to-end-connectie'' te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.  +

Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige ''fysieke servers'' (bestaande uit ''hypervisors'' en ''virtuele servers'') en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.  +

Systemen voor wachtwoordbeheer behoren interactief te zijn en ''sterke wachtwoorden'' te waarborgen.  +

Alle relevante ''wettelijke, statutaire, regelgevende'', ''contractuele eisen'' en de ''aanpak'' van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.  +

Alle relevante ''wettelijke statutaire, regelgevende, contractuele eisen'' en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.  +

Wijzigingen aan systemen binnen de ''levenscyclus'' van de ontwikkeling behoren te worden beheerst door het gebruik van ''formele procedures'' voor wijzigingsbeheer.  +

Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden ''gescheiden (in domeinen)''.  +