Eigenschap:Criterium

De projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de ''structuur van de beheersprocessen'' en van de betrokken ''functionarissen'' de ''taken, verantwoordelijkheden en bevoegdheden'' zijn vastgesteld.  +

De CSP heeft een beheersorganisatie ingericht waarin de ''processtructuur'' en de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +

De stakeholder van huisvesting IV behoort een ''beheersorganisatie'' te hebben ingericht waarin de ''processtructuur'', de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.  +

Alle ''verantwoordelijkheden'' bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.  +

Binnen de beheerorganisatie is een ''beveiligingsfunctionaris'' benoemd die de organisatie ondersteunt in de vorm van het bewaken van ''beveiligingsbeleid'' en die inzicht verschaft in de inrichting van de servers en het serverplatform.  +

De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de ''processtructuur'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +

''Voedings-'' en telecommunicatie''kabels'' voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.  +

Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele ''beleidsregels'', ''procedures'' en ''beheersmaatregelen'' voor transport van kracht te zijn.  +

Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren '''formele beleidsregels''', procedures en '''beheersmaatregelen voor transport''' van kracht te zijn.  +

De leverancier behoort in overeenstemming met een overeengekomen middlewarecomponenten'''beleid''' adequate maatregelen, zoals '''classificatie''', te treffen om deze diensten te kunnen leveren.  +

Voor het ontwikkelen van software en systemen behoren ''regels'' te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.  +

Voor het beveiligd inrichten en onderhouden van het serverplatform behoren ''regels'' te worden vastgesteld en binnen de organisatie te worden toegepast.  +

Technische serveromgevingen behoren regelmatig te worden beoordeeld op ''naleving'' van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.  +

Eigenaren van bedrijfsmiddelen behoren ''toegangsrechten'' van gebruikers regelmatig te ''beoordelen''.  +

Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er ''procedures'' te zijn vastgesteld.  +

Voor het door gebruikers/ontwikkelaars installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +

Voor het door gebruikers (beheerders) installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +

''Wijzigingen'' aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden ''gecontroleerd''.  +

''Testgegevens'' behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.  +

Opslagfaciliteiten behoren met voldoende '''redundantie''' te worden geïmplementeerd om aan '''beschikbaarheidseisen''' te voldoen.  +

Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde ''inlogprocedure''.  +

Organisaties behoren ''beveiligde ontwikkelomgevingen'' vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.  +

De verwerkingsverantwoordelijke en de verwerker treffen ''technische en organisatorische maatregelen'' voor verwerking van persoonsgegevens op ''een passend beveiligingsniveau''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32</sup>.  +

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van '''onvolledige overdracht''', foutieve routering, '''onbevoegd wijzigen''' van berichten, '''onbevoegd openbaar maken''', onbevoegd vermenigvuldigen of afspelen.  +

''Beveiligingsmechanismen'', ''dienstverleningsniveaus'' en ''beheereisen'' voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.  +

De klant behoort het ''architectuurlandschap'' in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en ''beveiligingsprincipes'' te hebben ontwikkeld.  +

Voor het beveiligen van ruimten behoren ''faciliteiten'' te worden ontworpen en toegepast<sup class="reference smartref" id="cite_ref-toegepast_1-0">[[ISOR:Beveiligingsfaciliteiten ruimten#cite_note-toegepast-1|1]]</sup>.  +

Een gespecialiseerde ''beveiligingsfunctie'' dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.  +

De CSP behoort een ''beveiligingsfunctie'' te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden (TVB)'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +

Door het treffen van de ''nodige maatregelen'' hanteert de organisatie voor persoonsgegevens een ''bewaartermijn'' die niet wordt overschreden.  +

De BIA behoort te worden uitgevoerd vanuit verschillende ''perspectieven'', zich te richten op verschillende ''scenario’s'' en vast te stellen welke impact de ''aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid'' hebben op de organisatie.  +

Het gebruik van middelen behoort te worden '''gemonitord''' en '''beoordeeld''', en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.  +

Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de ''gangbare standaarden.''  +

''Informatie'' behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.  +

De CSP behoort een ''cloudbeveiligingsstrategie'' te hebben ontwikkeld die ''samenhangt'' met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.  +

De clouddienstenarchitectuur specificeert de ''samenhang'' en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.  +

De CSP heeft een actuele architectuur vastgelegd die voorziet in een ''raamwerk'' voor de onderlinge ''samenhang en afhankelijkheden'' van de IT-functionaliteiten.  +

De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een ''cloud-beveiligingsbeleid'' om de voorzieningen en het gebruik van cloud-services te adresseren.  +

Het softwarepakket past ''versleuteling'' toe op de communicatie van gegevens die ''passend bij het classificatieniveau'' is van de gegevens en ''controleert'' hierop.  +

De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op ''compliancy'' te beoordelen, jaarlijks een ''assurance''-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge ''aansluiting'' van de resultaten uit deze twee exercities.  +

De projectorganisatie behoort een ''compliance-managementproces'' ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.  +

De naleving van een, conform het beveiligingsbeleid, veilige ''inrichting'' van netwerk(diensten), behoort ''periodiek'' gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het ''verantwoordelijke'' management (compliancy-toetsen).  +

De leverancier heeft conform '''richtlijnen en procedures''' de middlewarecomponenten geconfigureerd.  +

Continuïteitbeheer behoort ''procesmatig'' voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden ''hersteld en voortgezet''.  +

Huisvesting IV die worden verworven, behoren te voldoen aan ''kwalitatieve en kwantitatieve eisen'' die zijn vastgelegd in ''overeenkomsten'' met de betreffende leveranciers.  +

Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde ''richtlijnen'' en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.  +

Ter bescherming van de ''communicatie en opslag'' van informatie behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van ''authenticatie-informatie'' behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +

Ter bescherming van informatie behoort een ''cryptografiebeleid'' voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.  +