174
U

Eigenschap:Criterium

Uit NORA Online
Ga naar: navigatie, zoeken
KennismodelKennismodel NORA
TypeTekst
Geldige waarden
Meerdere waarden toegestaanNee
Weergave op invulformulierenTekstvak
Defaultwaarde
ToelichtingDatgene wat er gedaan moet worden of gerealiseerd
Specialisatie van



Deze eigenschap wordt gebruikt door de volgende elementtypen:


Zie voor meer toelichting de SIVA-methode

Pagina's die de eigenschap "Criterium" gebruiken

Er zijn 174 pagina's die deze eigenschappen gebruiken.

(vorige 500 | volgende 500) (20 | 50 | 100 | 250 | 500) bekijken.

(
(Software) configuratie management +De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de software configuratie-items (SCI’s) in de ''configuratie-administratie'' (CMDB) juist en volledig zijn en blijven.  +
A
Analyse en specificatie van informatiebeveiligingseisen +De ''beveiligingseisen'' die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.  +
Analyse en specificatie van informatiesystemen +De ''functionele eisen'' die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.  +
Apparatuur positionering +Apparatuur behoort zodanig te zijn ''gepositioneerd en beschermd'', dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind. <br/> NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'.  +
Apparatuur verwijdering +Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden ''geverifieerd'' om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn ''verwijderd'' of betrouwbaar veilig zijn overschreven.  +
Applicatie architectuur +De functionele- en beveiligingseisen behoren in een ''applicatie-architectuur'', conform architectuurvoorschriften, in ''samenhang'' te zijn vastgelegd.  +
Applicatie functionaliteiten +Informatiesystemen behoren zo te worden ontworpen, dat de ''invoer-'', ''verwerking-'' en ''outputfuncties'' van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het businessproces optimaal te kunnen ondersteunen.  +
Applicatie ontwerp +Het applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: ''Business vereisten'' en reviews, ''omgevingsanalyse'' en ''(specifieke) beveiliging''.  +
Applicatiebouw +De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van ''(industrie) good practice'' en door ontwikkelaars die beschikken over de ''juiste skills/tools'' en de applicaties behoren te worden gereviewd.  +
Applicatiekoppelingen +De koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde ''koppelingsrichtlijnen'' om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen.  +
Autorisatie +Toegang (autorisatie) tot ''informatie'' en ''systeemfuncties'' (van toepassingen) moet worden beperkt in overeenstemming met het ''toegangsbeveiligingsbeleid''.  +
Autorisatieproces +Een ''formeel autorisatieproces'' moet geïmplementeerd zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.  +
Autorisatievoorzieningen +Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische ''autorisatievoorzieningen'', zoals een ''personeelsregistratiesysteem'', een ''autorisatiebeheer systeem'' en ''autorisatiefaciliteiten'' beschikbaar zijn.  +
B
Bedieningsprocedures +''Bedieningsprocedures'' behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.  +
Bedrijfscontinuïteitsmanagement +De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: ''verantwoordelijkheid voor BCM'', ''beleid en procedures'', ''bedrijfscontinuïteitsplanning'', ''verificatie en updaten'' en ''computercentra''.  +
Bedrijfscontinuïteitsservices +Informatie verwerkende faciliteiten behoren met voldoende ''redundantie'' te worden geïmplementeerd om aan ''continuïteitseisen'' te voldoen.  +
Bedrijfsmiddelen inventaris +Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een ''inventaris'' te worden opgesteld en onderhouden. <br/> NB: De control uit de BIO is afwijkend van de ISO 27001.  +
Bedrijfsmiddelen verwijdering +Informatieverwerkende ''bedrijfsmiddelen'', uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.  +
Beheer op afstand +''Richtlijnen'' en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.  +
Beheer van serverkwetsbaarheden +Informatie over ''technische serverkwetsbaarheden'' (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden ''geëvalueerd'' en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.  +
Beheerderactiviteiten vastgelegd in logbestanden +Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de ''logbestanden'' behoren te worden beschermd en regelmatig te worden beoordeeld.  +
Beheerorganisatie clouddiensten +De CSP heeft een beheersingsorganisatie ingericht waarin de ''processtructuur'' en de ''taken, verantwoordelijkheden en bevoegdheden'' (TVB) van de betrokken ''functionarissen'' zijn vastgesteld.  +
Beheerorganisatie netwerkbeveiliging +Alle ''verantwoordelijkheden'' bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.  +
Beheerorganisatie serverplatforms +Binnen de beheerorganisatie is een ''beveiligingsfunctionaris'' benoemd die de organisatie ondersteunt in de vorm van het bewaken van ''beveiligingsbeleid'' en die inzicht verschaft in de inrichting van de servers en het serverplatform.  +
Beheersing van software ontwikkeling(sprojecten) +De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de ''structuur van de beheersprocessen'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +
Beheersorganisatie toegangsbeveiliging +De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben, waarin de ''processtructuur'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +
Bekabeling +De ''voedingskabels'' voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging.  +
Beleid en procedures informatietransport +Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele ''beleidsregels'', ''procedures'' en ''beheersmaatregelen'' voor transport van kracht te zijn.  +
Beleid voor (beveiligd) ontwikkelen +Voor het ontwikkelen van software en systemen behoren ''regels'' te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.  +
Beleid voor beveiligde inrichting en onderhoud +Voor het beveiligd inrichten en onderhouden van het serverplatform behoren ''regels'' te worden vastgesteld en binnen de organisatie te worden toegepast.  +
Beoordeling technische serveromgeving +Technische serveromgevingen behoren regelmatig te worden beoordeeld op ''naleving'' van de beleidsregels en normen van de organisatie voor serverplatforms.  +
Beoordeling toegangsrechten +Eigenaren van bedrijfsmiddelen moeten ''toegangsrechten'' van gebruikers regelmatig ''beoordelen''.  +
Beoordelingsrichtlijnen en procedures +Om het gebruik van toegangbeveiligingsvoorzieningen te (kunnen) controleren, moeten ''procedures'' zijn vastgesteld.  +
Beperking van software-installatie +Voor het door gebruikers (beheerders) installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +
Beperkingen voor de installatie van software(richtlijnen) +Voor het door gebruikers/ontwikkelaars installeren van software behoren ''regels'' te worden vastgesteld en te worden geïmplementeerd.  +
Beschermen van testgegevens +''Testgegevens'' behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.  +
Beveiligde inlogprocedure +Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerst door een beveiligde ''inlogprocedure''.  +
Beveiligde ontwikkel- (en test) omgeving +Organisaties behoren ''beveiligde ontwikkelomgevingen'' vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.  +
Beveiligen van de verwerking van persoonsgegevens +De verwerkingsverantwoordelijke en de verwerker treffen ''technische en organisatorische maatregelen'' voor verwerking van persoonsgegevens op ''een passend beveiligingsniveau''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 32</sup>.  +
Beveiliging Virtueel serverplatform +Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige ''fysieke servers'' (bestaande uit ''hypervisor'' en ''virtuele servers'') en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.  +
Beveiliging netwerkdiensten +''Beveiligingsmechanismen'', ''dienstverleningsniveaus'' en ''beheereisen'' voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.  +
Beveiligingsfaciliteiten ruimten +Voor het beveiligen van ruimten behoren ''faciliteiten'' te worden ontworpen en te zijn toegepast.  +
Beveiligingsfunctie +Een gespecialiseerde ''beveiligingsfunctie'' dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.  +
Beveiligingsorganisatie Clouddiensten +De CSP behoort een ''beveiligingsfunctie'' te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +
Beveiligingsorganisatie Toegangsbeveiliging +De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de ''organisatorische positie'', de ''taken, verantwoordelijkheden en bevoegdheden (TVB)'' van de betrokken ''functionarissen'' en de ''rapportagelijnen'' zijn vastgesteld.  +
Bewaren van persoonsgegevens +Door het treffen van de ''nodige maatregelen'' hanteert de organisatie voor persoonsgegevens een ''bewaartermijn'' die niet wordt overschreden.  +
Business Impact Analyse +De BIA behoort te worden uitgevoerd vanuit verschillende ''perspectieven'', zich te richten op verschillende ''scenario’s'' en vast te stellen welke impact de aspecten ''beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid'' (BIVC) hebben op de organisatie.  +
C
Certificering +De Huisvesting-IV van de leverancier behoort gecertificeerd te zijn conform de ''gangbare standaarden''.  +
Classificatie van Informatie +''Informatie'' behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.  +
Cloudbeveiligingsstrategie +De CSP behoort een ''cloudbeveiligingsstrategie'' te hebben ontwikkeld die ''samenhangt'' met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.  +
Clouddiensten-architectuur +De clouddiensten-architectuur specificeert de ''samenhang'' en beveiliging van de services en de inter-connectie tussen CSC en CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.  +
Clouddienstenbeleid +De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een ''cloudbeveiligingsbeleid'' om de voorzieningen en het gebruik van cloudservices te adresseren.  +
Compliance en assurance +De CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op ''compliancy'' te beoordelen, jaarlijks een ''assurance''-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge ''aansluiting'' van de resultaten uit deze twee exercities.  +
Compliance management +De projectorganisatie behoort een ''compliance management proces'', ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.  +
Continuiteitsmanagement +Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.  +
Contractmanagement +Huisvestingsvoorzieningen die worden verworven, behoren te voldoen aan ''kwalitatieve en kwantitatieve eisen'' die zijn vastgelegd in ''overeenkomsten'' met de betreffende leveranciers.  +
Controle richtlijn +Bedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde ''richtlijnen'' en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.  +
Crypto-services +Gevoelige data van CSC’s behoort conform het overeengekomen ''beleid'' inzake ''cryptografische maatregelen'', tijdens transport via netwerken en bij opslag bij CSP te zijn ''versleuteld''.  +
Cryptografie +Ter bescherming van ''authenticatie-informatie'' behoort een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' te worden ontwikkeld en geïmplementeerd.  +
Cryptografiebeleid voor communicatie +Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een ''cryptografiebeleid'' te worden ontwikkeld en geïmplementeerd.  +
Cryptografische Services +Ter bescherming van de ''integriteit'' en ''vertrouwelijkheid'' en van de getransporteerde informatie behoren passende ''cryptografische beheersmaatregelen'' te worden ontwikkeld, geïmplementeerd en ingezet.  +
D
Data en privacy +De CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: ''beveiligingsaspecten en stadia'', ''toegang en privacy'', ''classificatie/labelen'', ''eigenaarschap'' en ''locatie''.  +
Data-protectie +Data (op transport, in verwerking en in rust) met classificatie BBN2 of hoger behoort te worden beschermd met ''cryptografische maatregelen'' en te voldoen aan Nederlandse wetgeving.  +
Dataretentie en vernietiging gegevens +Gearchiveerde data behoort gedurende de overeengekomen ''bewaartermijn'' ''technologie-onafhankelijk, raadpleegbaar'', ''onveranderbaar'' en integer te worden opgeslagen en op aanwijzing van de CSC/data eigenaar te kunnen worden ''vernietigd''.  +
Doelbinding gegevensverwerking +De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens ''tijdig, welbepaald en uitdrukkelijk omschreven'': * De ''doeleinden'', en: * De ''rechtvaardigingsgronden'' voor: # De '''verdere verwerking''' op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden; # De '''geautomatiseerde besluitvorming'''; # De '''bijzondere categorieën persoonsgegevens'''; # De persoonsgegevens betreffende '''strafrechtelijke veroordelingen en strafbare feiten'''; # Het '''nationaal identificerend nummer'''; # De persoonsgegevens ten behoeve van '''wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang'''.  +
Doorgifte persoonsgegevens +Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de ''onderlinge verantwoordelijkheden'' duidelijk en bij de doorgifte aan een verwerker zijn er ''afdoende garanties''.<br> Bij de doorgifte naar buiten de EU: * Is er een ''vertegenwoordiger'', en: * Is geen sprake van ''uitzonderingsgronden'', en: * Geldt een door de Europese Commissie genomen ''adequaatheidsbesluit'', of: * Zijn er ''passende waarborgen''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 44</sup>, of: * Geldt een ''afwijking voor een specifieke situatie''.  +
E
Eigenaarschap +Huisvesting-IV bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een ''eigenaar'' te hebben.  +
Eigenaarschap toegangsbeveiligingssysteem +Het ''eigenaarschap'' en de ''verantwoordelijkheden voor logische toegangsbeveiligingssystemen'' en de ''verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen'' behoren te zijn vastgelegd.  +
Elektronische berichten +Informatie die is opgenomen in elektronische berichten, behoort ''passend'' te zijn beschermd.  +
Engineeringprincipes beveiligde systemen +''Principes'' voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.  +
Evaluatie richtlijnen servers en besturingssystemen +Er behoren ''richtlijnen'' te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.  +
Evalueren netwerk monitoring +Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en ''onderzoek'' mogelijk te maken ''van gebeurtenissen'', die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiliging.  +
Evalueren netwerkbeveiliging +De ''robuustheid'' van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.  +
Exit-strategie +In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal ''bepalingen'' aangaande exit zijn opgenomen, als een aantal ''condities'' die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).  +
F
Functiescheiding +Conflicterende ''taken'' en ''verantwoordelijkheden'' moeten worden ''gescheiden'' om de kans op onbevoegd of ''onbedoeld'' wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.  +
Fysieke toegangsbeveiliging +''Beveiligde gebieden'' moeten worden beschermd door ''passende toegangsbeveiliging'' om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.  +
Fysieke zonering +Fysieke ''beveiligingszones'' behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.  +
G
Gateway/Firewall +De ''filterfuncties'' van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid ''toegestaan netwerkverkeer'' wordt doorgelaten.  +
Gebeurtenissen registreren (logging en monitoring) +''Log-bestanden'' van gebeurtenissen die ''gebruikersactiviteiten'', uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, ''bewaard'' en regelmatig worden ''beoordeeld''.  +
Geheime authenticatie-informatie +Het toewijzen van geheime ''authenticatie-informatie'' moet worden beheerst via een formeel ''beheerproces''.  +
H
Hardenen van servers +Voor het beveiligen van servers worden overbodige ''functies'' en ongeoorloofde ''toegang'' uitgeschakeld.  +
Herstelfunctie voor data en clouddiensten +De ''herstelfunctie'' van data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden ''getest''.  +
Huisvesting informatievoorziening Beleid +De directie behoort ten behoeve van ''Huisvesting-IV beleid'' een reeks ''beleidsregels'' te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.  +
Huisvesting-IV architectuur +Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren ''architectuurvoorschriften'' en benodigde ''documentatie'' beschikbaar te zijn.  +
Huisvesting-IV beheersingsorganisatie +De stakeholder van de Huisvesting-IV behoort een ''beheersorganisatie'' te hebben ingericht waarin de ''processtructuur'', de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.  +
I
IT-functionaliteiten +''IT-functionaliteiten'' behoren te worden verleend vanuit een ''robuuste en beveiligde systeemketen'' van CSP naar CSC.  +
Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens +De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens ''tijdig'' en op een vastgelegde en vastgestelde wijze ''informatie'' aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een ''uitzondering'' geldt, ''toestemming'' kan geven voor de verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14</sup>.  +
Inlogprocedures +Als het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een ''beveiligde inlogprocedure''.  +
Intern toezicht +Door of namens de verwerkingsverantwoordelijke vindt ''evaluatie'' plaats van de gegevensverwerkingen en is de ''rechtmatigheid aangetoond''.  +
Interne en Externe bedreigingen +Fysieke bescherming tegen ''natuurrampen, ongelukken en kwaadwillige aanvallen'' behoort te worden ontworpen en toegepast .  +
Interoperabiliteit en portabiliteit +Cloudservices zijn bruikbaar (''interoperabiliteit'') op verschillende IT-platforms en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (''portabiliteit'') naar andere CSP’s.  +
K
Kloksynchronisatie +De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn ''gedocumenteerd'' en ''gesynchroniseerd'' op één referentietijdbron.  +
Koppelvlakken +De onderlinge ''netwerkconnecties'' (koppelvlakken) in de keten van CSC naar CSP behoren te worden ''bewaakt'' en ''beheerst'' om de risico’s van datalekken te beperken.  +
Kwaliteitsmanagement +De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de ''juistheid en nauwkeurigheid'' van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden ''gecorrigeerd, gestaakt of overgedragen''. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling ''geïnformeerd''.  +
Kwaliteitsmanagement systeem (KMS) +De doelorganisatie behoort conform uitgestippeld ''ontwikkel en onderhoudsbeleid'' een ''kwaliteitsmanagement systeem'' (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.  +
L
Laad en los locatie +De ''toegangspunten'', zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk te worden afgeschermd van IT-voorzieningen.  +
Logging en monitoring +Logbestanden waarin ''gebeurtenissen'' die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden ''geregistreerd'', behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.  +
M
Malware-protectie +Ter bescherming tegen malware behoren ''beheersmaatregelen'' te worden geïmplementeerd voor ''detectie, preventie en herstel'' in combinatie met een passend bewustzijn van de gebruikers.  +
Malwareprotectie +Ter bescherming tegen malware behoren beheersmaatregelen voor ''preventie'', ''detectie'' en ''herstel'' te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.  +
Meldplicht Datalekken +De verwerkingsverantwoordelijke ''meldt een datalek'' binnen de daaraan ''gestelde termijn'' aan de Autoriteit Persoonsgegevens, ''documenteert de inbreuk'', en informeert de betrokkene, tenzij hiervoor een ''uitzondering'' geldt.  +
Monitoren van serverplatforms +De organisatie ''reviewt/analyseert'' regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te ''rapporteren''.  +
Multi-tenant architectuur +Bij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust ''versleuteld'' en ''gescheiden'' verwerkt op ''gehardende'' (virtuele) machines.  +
N
Naleving richtlijnen netwerkbeheer en evaluaties +Richtlijnen voor de ''naleving'' van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.  +
Netwerk beheeractiviteiten +Netwerken behoren te worden ''beheerd'' en ''beheerst'' om informatie in systemen en toepassingen te beschermen.  +
Netwerk beveiligingsarchitectuur +Beveiligingsarchitectuur behoort de ''samenhang'' van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden.  +
Netwerk beveiligingsbeheer +Netwerken behoren te worden ''beheerd'' en ''beheerst'' om informatie in systemen en toepassingen te beschermen.   +
Netwerk security compliancy checking +De naleving van een, conform het beveiligingsbeleid, veilige ''inrichting'' van netwerk(diensten), behoort ''periodiek'' gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het ''verantwoordelijk'' management (Compliancy checks).  +
Netwerkauthenticatie +'Authenticatie van netwerknodes'' behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen.  +
Netwerkconnecties +Alle gebruikte routeringen, segmenten, ''verbindingen'' en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden ''bewaakt''.  +
Nutsvoorzieningen +Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in ''nutsvoorzieningen''.  +
O
Onderhoud Apparatuur +Apparatuur behoort op een ''correcte wijze'' te worden onderhouden.  +
Onderhoud van servers +Servers behoren correct te worden ''onderhouden'' om de continue beschikbaarheid en integriteit te waarborgen.  +
Onderhoudsplan +Voor iedere locatie van de Huisvesting-IV behoort op basis van een risicoafweging en ''onderhoudsbepalingen'' een ''onderhoudsplan'' te zijn opgesteld.  +
Ontwerpdocumentatie +Het ''ontwerp'' van een serverplatform behoort te zijn gedocumenteerd.  +
Organieke inbedding +De ''verdeling van de taken en verantwoordelijkheden'', de ''benodigde middelen'' en de ''rapportagelijnen'' zijn door de organisatie vastgelegd en vastgesteld.  +
Organisatiestructuur +De huisvestingsorganisatie behoort voor de te realiseren Huisvesting-IV een adequate ''organisatiestructuur'' in te richten en de aan ''functionarissen'' toe te wijzen ''taken, verantwoordelijkheden en bevoegdheden'' (TVB) vast te stellen.  +
Organisatiestructuur van netwerkbeheer +In beleid behoort te zijn vastgesteld dat een centrale ''organisatiestructuur'' gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.  +
Overeenkomsten over informatietransport +''Overeenkomsten'' behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.  +
P
Patchmanagement +Patchmanagement is ''procesmatig'' en ''procedureel'' opgezet wordt ondersteund door ''richtlijnen'' zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.  +
Patchmanagement van externe programmacode +Patchmanagement behoort ''procesmatig en procedureel'' zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over ''technische kwetsbaarheden'', zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.  +
Principes voor inrichten van beveiligde servers +De ''principes'' voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.  +
Privacy Beleid geeft duidelijkheid en sturing +De organisatie heeft ''privacybeleid'' en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de ''wettelijke beginselen'' <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.</sup>  +
Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) +Bij het ontwikkelen van applicaties behoren ''privacy en bescherming van persoonsgegevens'', voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante ''wet- en regelgeving''.  +
Procedures voor wijzigingsbeheer m.b.t. applicaties +Wijzigingen aan systemen binnen de ''levenscyclus'' van de ontwikkeling behoren te worden beheerst door het gebruik van ''formele procedures'' voor wijzigingsbeheer.  +
Projectorganisatie +Binnen de (project-)organisatie behoort een ''beveiligingsfunctionaris'' te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van ''beveiligingsvoorschriften'' en die inzicht verschaft in de samenstelling van het applicatielandschap.  +
Q
Quality assurance +De projectorganisatie behoort een ''Quality Assurance proces'' (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.  +
R
Register van verwerkingsactiviteiten +De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een ''register'' vastgelegd, daarbij biedt het register een ''actueel en samenhangend beeld'' van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.  +
Registratie gebeurtenissen +''Logbestanden'' van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.  +
Registratieprocedure +Een ''formele registratie- en afmeldprocedure'' behoort te worden geïmplementeerd om toewijzing van ''toegangsrechten'' mogelijk te maken.  +
Richtlijnen evaluatie ontwikkelactiviteiten +De projectorganisatie behoort ''richtlijnen'' voor de ''controleactiviteiten en rapportages'' te hebben geformuleerd gericht op de evaluaties van ''ontwikkel activiteiten'', zoals requirements, specificaties en programmacode.  +
Richtlijnen gebieden en ruimten +Voor het werken in beveiligde gebieden behoren ''richtlijnen'' te worden ontwikkeld en toegepast. <br/>NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’.  +
Richtlijnen netwerkbeveiliging +Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ''ontwerp'', ''implementatie'' en ''beheer'' (voorbeeld: ISO 27033 deel 2).  +
Richtlijnen voor programmacode (best practices) +Voor het ontwikkelen van (programma)code behoren specifieke ''regels'' van toepassing te zijn en gebruik te worden gemaakt van specifieke ''best practices''.  +
Risico-assessment +De CSP behoort een risico-assessment uit te voeren, bestaande uit ''risico-analyse'' en ''risico-evaluatie'' en op basis van de criteria en de doelstelling met betrekking tot clouddiensten van de CSP.  +
Risico-control +Het risicomanagement- en het risico-assessmentproces behoren continu te worden ''gemonitord en gereviewd'' en zo nodig te worden verbeterd.  +
Risicomanagement +De CSP behoort de organisatie en ''verantwoordelijkheden'' voor het ''risicomanagementproces'' voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.  +
Risicomanagement, Privacy by Design en de DPIA +De verwerkingsverantwoordelijke draagt zorg voor ''het beoordelen van de privacyrisico's'', het treffen van ''passende maatregelen'' en het kunnen ''aantonen'' van het passend zijn van deze maatregelen.  +
S
Scheiding van data +CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam ''geïsoleerd'' te zijn van ''beheerfuncties'' en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.  +
Scheiding van dienstverlening +De cloud-infrastructuur is zodanig ingericht, dat de dienstverlening aan gebruikers van informatiediensten zijn ''gescheiden''.  +
Security-monitoring +De performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden ''gemonitord'' en hierover behoort tijdig te worden ''gerapporteerd'' aan de verschillende stakeholders.  +
Serverconfiguratie +Serverplatforms behoren zo ''geconfigureerd'' te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ''ongeautoriseerd'' en incorrecte updates.  +
Serverplatform architectuur +De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een ''architectuurdocument'' vastgelegd.  +
Service Levelmanagement +Het management van Huisvesting-IV behoort diensten te leveren conform een ''dienstenniveau overeenkomst'' (Service Level Agreement of SLA).  +
Service-managementbeleid en evaluatie richtlijnen +De CSP heeft voor de clouddiensten een service-managementbeleid geformuleerd met daarin ''richtlijnen'' voor de beheersingsprocessen, ''controle-activiteiten en rapportages''.  +
Service-orkestratie +Service-orkestratie biedt ''coördinatie'', aggregatie en samenstelling van de ''service-componenten'' van de cloudservice die aan de CSC wordt geleverd.  +
Speciale toegangsrechtenbeheer +Het ''toewijzen'' en het gebruik van ''speciale toegangsrechten'' moeten worden beperkt en ''beheerst''.  +
Standaarden voor clouddiensten +De CSP past aantoonbaar relevante ''nationale standaarden'' en ''internationale standaarden'' toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.  +
Standaarden voor configuratie van servers +Het serverplatform is geconfigureerd in overeenstemming met gedocumenteerde ''standaarden''.  +
Systeem acceptatietests +Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van ''acceptatietests'' en gerelateerde criteria te worden vastgesteld.  +
Systeem ontwikkelmethode +Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde ''systeem ontwikkelmethodes'' en waarin o.a. ''standaarden/procedures'' voor de applicatieontwikkeling, het toepassen van ''beleid en wet en regelgeving'' en een ''projectmatige aanpak'' zijn geadresseerd.  +
T
Technische beoordeling van informatiesystemen na wijziging besturingsplatform +Bij ''veranderingen van/in besturingsplatforms'' behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.  +
Technische kwetsbaarhedenbeheer +Informatie over ''technische kwetsbaarheden'' van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden ''geëvalueerd'' en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.  +
Testen van systeembeveiliging +Tijdens ontwikkelactiviteiten behoren zowel ''bedrijfsfunctionaliteiten'' als de ''beveiligingsfunctionaliteiten'' te worden getest.  +
Toegang gegevensverwerking voor betrokkenen +De verwerkingsverantwoordelijke biedt de betrokkene ''informatie over de verwerking van persoonsgegevens'' en doet dit ''tijdig'' en in een ''passende vorm'', zodat de betrokkene zijn rechten kan uitoefenen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12</sup>, tenzij er een ''specifieke uitzonderingsgrond'' geldt.  +
Toegang tot IT-diensten en data +''Gebruikers'' behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn.  +
Toegangbeveiliging beheers(ings)organisatie +De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de ''processtructuur'', de ''taken, verantwoordelijkheden en bevoegdheden'' van de betrokken ''functionarissen'' zijn vastgesteld.  +
Toegangsbeveiliging op programmacode +Toegang tot de ''programmacode en broncode bibliotheken'' behoort te worden beperkt.  +
Toegangsbeveiligingsarchitectuur +De organisatie behoort op basis van de organisatorische eisen en wensen de ''technische inrichting'' beschreven te hebben en behoort in een ''toegangsbeveiligingsarchitectuur'' te zijn vastgelegd.  +
Toegangsbeveiligingsbeleid +Een ''toegangbeveiligingsbeleid'' behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van ''bedrijfseisen'' en ''informatiebeveiligingseisen''.  +
Toegangsverleningsprocedure +Een formele ''gebruikerstoegangsverleningsprocedure'' behoort te worden geïmplementeerd om toegangsrechten voor alle type gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.  +
Toepassingen via openbare netwerken +Informatie die deel uitmaakt van uitvoeringsdiensten en die via ''openbare netwerken'' wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +
Tooling ontwikkelmethode +De ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke ''faciliteiten'' biedt voor het effectief uitvoeren van de ontwikkelcyclus.  +
Training en Awareness +Alle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende ''bewustzijnsopleiding en -training'' te krijgen, gevolgd door regelmatige ''bijscholing'' van de beleidsregels en procedures van de organisatie.  +
Transparantie +De CSP voorziet de CSC in een ''systeembeschrijving'' waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de ''jurisdictie'', ''onderzoeksmogelijkheden'' en ''certificaten'' worden geadresseerd.  +
V
Vastleggen en monitoring van netwerkgebeurtenissen (events) +Informatiebeveiligingsgebeurtenissen in netwerken, behoren ''geregistreerd en bewaard'' en 'beoordeeld' te worden (op de ernst van de risico’s).  +
Veilig verwijderen of hergebruiken van serverapparatuur +Alle onderdelen van servers met ''opslagmedia'' behoren te worden ''geverifieerd'', om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.  +
Versie Management +De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op ''procesmatige'' en op ''efficiënte'' wijze ingericht te hebben.  +
Vertrouwelijkheids- of geheimhoudingsovereenkomst +Eisen voor ''vertrouwelijkheids- of geheimhoudingsovereenkomsten'' die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.  +
Virtual Private Networks (VPN) +Een VPN behoort een strikt ''gescheiden end-to end connectie'' te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.  +
W
Wachtwoordbeheer +Systemen voor wachtwoordbeheer moeten interactief zijn en ''sterke wachtwoorden'' waarborgen.  +
Wet en regelgeving +Voor elke Huisvestingsdienst behoren alle relevante ''wettelijke, statutaire, regelgevende en contractuele eisen'' en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.  +
Wet- en regelgeving +Alle relevante ''wettelijke, statutaire, regelgevende eisen'', ''contractuele eisen'' en de ''aanpak'' van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.  +
Wireless Access +Draadloos verkeer behoort te worden beveiligd met ''authenticatie'' van devices, ''autorisatie'' van gebruikers ''en versleuteling'' van de communicatie.  +