Eigenschap:Doelstelling

Het vaststellen of de beveiliging van het complete netwerk nog in balans is met de dreigingen.  +

Het vooraf vaststellen wat de organisatie wil nastreven bij beëindiging van clouddiensten en hoe dat bereikt gaat worden.  +

Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.  +

Het bewerkstelligen dat: * gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie wordt verminderd; * niemand een gehele procescyclus kan beïnvloeden.  +

Het bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.  +

Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie.  +

Ongeautoriseerd inkomend en uitgaand dataverkeer te detecteren en blokkeren.  +

Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.  +

Toegang tot opgeslagen gegevens door onbevoegden wordt verhinderd.  +

Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem.  +

Het verbeteren van de beveiliging van een server.  +

Verlagen van de kans op misbruik van standaard functionaliteit.  +

Het zeker stellen dat clouddiensten en de data kan worden hersteld, binnen de overeengekomen periode, na onderbreking van de dienstverlening en/of vernietiging van de data.  +

Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.  +

De doelstelling van huisvesting Informatievoorzieningen (IV) in het beleidsdomein is om randvoorwaarden en condities te bieden, zodat huisvesting IV adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.  +

De doelstelling van het control-domein is ervoor te zorgen dat en/of vast te stellen of huisvesting IV afdoende is ingericht voor het leveren van het gewenste niveau van beveiliging. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.  +

Het doel van het uitvoeringsdomein voor Huisvesting IV is het waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.  +

Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren.  +

Zorgen dat IT-functionaliteiten aan de vereiste beveiligingsaspecten voldoen.  +

Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV.  +

Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiliging.  +

Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantie aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12 en overweging 60</sup>.  +

Onbevoegde toegang tot systemen en toepassingen voorkomen.  +

Het beschermen van bedrijfsprocessen door zekerheid te verschaffen over de integriteit van de verwerkte data.  +

Het zorgen dat servers betrouwbaar zijn gedurende alle inrichtingsverrichtingen van servers.  +

Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantie verwerking van persoonsgegevens, het garanderen van naleving van de AVG en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.  +

Het zorgen dat cloud-services bruikbaar zijn op verschillende IT-platforms en data makkelijk kan worden doorgegeven aan een andere CSP zonder dat de integriteit en vertrouwelijkheid wordt aangetast.  +

Om de correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk te maken en om onderzoeken naar informatiebeveiligingsincidenten te ondersteunen.  +

Het bewaken en beheersen van koppelvlakken in de keten van de CSP en de CSC.  +

'Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensverwerking correct en in overeenstemming met de wens van betrokkenen is.  +

Het zorgen dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst op het juiste kwaliteitsniveau.  +

Het voorkomen van onbevoegde toegang tot huisvesting Informatievoorzieningen (IV), zoals terreinen en gebouwen.  +

Het zorgen dat informatiebeveiliging deel uitmaakt van de levenscyclus van software.  +

Achteraf kunnen fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd.  +

Het verzamelen van bewijs om achteraf te kunnen beoordelen of er ongeoorloofde acties hebben plaatsgevonden op servers en besturingssystemen.  +

Het bieden van signaleringsfuncties voor registratie en detectie.  +

Ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.  +

Het tijdig detecteren en vastleggen van ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen van IT-functies in de informatieketen.  +

Het achteraf kunnen vaststellen of de beveiliging van het netwerk niet is verstoord en bij verstoring kan de situatie hersteld worden.  +

Het verzamelen van bewijs over gebeurtenissen en de continue bewaking van het nakomen van beleidsuitgangspunten.  +

Het maakt mogelijk: * eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen; * handelingen te herleiden naar individuele personen.  +

Het zorgen dat informatie in de keten van de CSC en CSP continue beschermd wordt tegen malware.  +

Het zorgen dat informatie op servers wordt beschermd tegen malware.  +

Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.  +

Middleware in het beleidsdomein identificeert conditionele elementen die randvoorwaardelijk zijn om middleware te kunnen inrichten, te beveiligen en te beheersen.  +

De reden waarom de norm gehanteerd wordt. <volgt nog>.  +

De doelstelling van middleware in het uitvoeringsdomein is het waarborgen dat organisatorische en technische voorzieningen voorhanden zijn om te garanderen dat middlewarefuncties voldoen aan de eisen van beschikbaarheid, vertrouwelijkheid, integriteit en controleerbaarheid.  +

Het gewenste niveau van zekerheid bieden aan klant-organisaties, voor de mate waarin IT-leveranciers hun processen en technologie, betreffende middeleware en data, betrouwbaar en veilig hebben ingericht, deze beheersen en periodiek laten certificeren aan relevante standaarden.  +

Het vaststellen van onjuist gebruik en verdachte activiteiten op servers en besturingssystemen waarmee het management tijdig kan bijsturen.  +

Het bieden van een multi-tenantlandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.  +

Het vaststellen of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid nog steeds effectief zijn.  +

Dat alleen vooraf toegestane netwerkdevices op het netwerk worden toegelaten.  +

Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een buikbare staat.  +

Het bieden van een netwerkbeveiligingslandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.  +

Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een bruikbare staat.  +

Bij beheer, storingen en calamiteiten weten wat er aan gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk aanwezig is. De uitval wordt geminimaliseerd.  +

Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening.  +

Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken.  +

Het hebben van een middel waarmee de vereiste acties genomen kunnen worden in de volgende fase, de inrichting van de server en het serverplatform. Inzichtelijk is waar wel en niet rekening mee is gehouden in het ontwerp.  +

Inzicht en overzicht van functionele en technische relaties tussen middlewarecomponenten en hun actuele configuraties.  +

Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegeven aan de eisen van het privacybeleid en de AVG.  +

Het invullen, coördineren en borgen van huisvesting IV.  +

Het invullen, coördineren en borgen van het netwerkbeheer.  +

Vastgelegde en nagekomen Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden (SMART)-afspraken over het gewenste beveiligingsniveau voor informatietransport over netwerken.  +

Zekerstellen dat technische en software kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.  +

Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.  +

Zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.  +

Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.  +

De doelstelling van het beleidsdomein is ervoor te zorgen dat op strategisch niveau afdoende randvoorwaarden en condities aanwezig zijn om de persoonsgegevens verantwoord te verwerken en opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.  +

De doelstelling van de laag algemene control (beheersing) is te zorgen voor en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.  +

In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.  +

Het reduceren van privacy-risico’s voor de betrokkene en het vermijden van schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving die betrekking hebben op de bescherming van persoonsgegevens.  +

Het verkrijgen van een gedegen set aan beveiligingsmaatregelen.  +

Het ondersteunen van de (project-)organisatie voor informatiebeveiliging in het applicatie-ontwikkeltraject.  +

Het kunnen vaststellen van de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling.  +

Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.  +

Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.  +

Het adequaat controle-activiteiten en rapportages opstellen gericht op de implementatie en beveiliging van servers en besturingssystemen.  +

Het adequaat controle-activiteiten en rapportages opstellen gericht op ontwikkelactiviteiten.  +

Het bewerkstelligen van de juiste coördinatie van activiteiten binnen de beveiligde ruimten.  +

Het zorgen voor een efficiënt en effectief voortbrengingsproces van de applicatie die effectief onderhoudbaar is.  +

Het bewerkstelligen van de benodigde coördinatie van activiteiten binnen netwerkbeveiliging.  +

Het bewerkstelligen dat uitsluitend de juiste en gedocumenteerde activiteiten worden uitgevoerd.  +

Een beeld krijgen van mogelijke risico’s die van invloed kunnen zijn op clouddiensten en vaststellen op welke wijze de risico's beheerst kunnen worden of teruggebracht tot een aanvaardbaar niveau.  +

Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment.  +

Om personen die verantwoordelijk zijn voor clouddiensten in staat te stellen effectief en tijdig belangrijke informatierisico's te identificeren, evalueren en de behandeling te bepalen nodig om deze risico's binnen aanvaardbare grenzen te houden.  +

Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.  +

Het bewerkstelligen dat de juiste verantwoordelijkheden worden gedefinieerd en toegewezen.  +

Het voorkomen van ongewenste beïnvloeding of communicatie van data tussen de CSC en CSP en andere CSC’s.  +

Onbevoegde openbaarmaking en misbruik van data, die op (niet meer gebruikte) media is opgeslagen, voorkomen.  +

Gebeurtenissen (performance van de informatiebeveiliging van de cloud-omgeving) vastleggen, bewijs verzamelen en betrokkenen daarvan op de hoogte te stellen.  +

Het waarborgen van continue beschikbare en integere servers.  +

Het veilig laten functioneren van serverplatforms.  +

De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.  +

De doelstelling van het control-domein is om vast te stellen of: * de beoogde controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van het serverplatform; * de infrastructurele diensten functioneel en technisch op het juiste niveau worden gehouden. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.  +

De doelstelling van het uitvoeringsdomein voor de inrichting en exploitatie van het serverplatform is het waarborgen dat de werkzaamheden plaatsvinden volgens specifieke beleidsuitgangspunten en dat de werking voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld.  +

Een landschap bieden voor een serverplatform dat in samenhang beveiligd is en inzicht geeft in de inrichting van het serverplatform.  +

Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd).  +

De kwaliteit van de te leveren clouddienst aan de CSC komt overeen met de overeengekomen QoS, informatieveiligheid en kosten.  +

Richting geven aan de wijze waarop de beheerorganisatie voor clouddiensten moet zijn ingericht en de wijze waarop deze moet functioneren.  +