Eigenschap:Doelstelling

Het waarborgen dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.  +

Het waarborgen dat de informatiebeveiligingseisen integraal onderdeel uitmaken van de eisen van informatiesystemen (nieuw en uitgebreid).  +

Een basis leggen voor de volgende fases (de ontwerpfase en verder) met geanalyseerde en gespecificeerde functionele eisen.  +

Het waarborging dat apparatuur continue beschikbaar en integer is.  +

Het voorkomen van verlies, schade, diefstal en/of compromitering van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.  +

Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.  +

Het richting geven aan de te ontwikkelen applicatie en een betrouwbare werking van de applicatie te garanderen.  +

Het opstellen van een veilig en gedegen/solide applicatieontwerp.  +

Het zorgen dat er geen zwakke punten in de veiligheid worden geïntroduceerd en dat applicaties in staat zijn om kwaadaardige aanvallen te weerstaan.  +

Het bedrijfsproces optimaal te ondersteunen.  +

Het kunnen leveren van de juiste services en de informatiebeveiliging van de betrokken applicaties te kunnen waarborgen.  +

De doelstelling van het beleidsdomein is om vast te stellen of afdoende randvoorwaarden en condities binnen de ontwikkelorganisatie zijn gecreëerd om applicaties adequaat te kunnen ontwikkelen. In dit domein worden objecten en daaraan gerelateerde normen opgenomen die het mogelijk maken de applicaties op een veilige manier te ontwikkelen.  +

De doelstelling van applicatieontwikkeling in het control-domein is vast te stellen of: *de applicatie-controls afdoende zijn ingericht voor het garanderen van een beheersbare applicatie omgeving en/of; *de applicatieve diensten functioneel en technisch op het juiste niveau worden gehouden. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.  +

De doelstelling van applicatieontwikkeling in het uitvoeringsdomein is het waarborgen dat de ontwikkel- en onderhoudsactiviteiten plaatsvinden conform specifieke beleidsuitgangspunten en dat de werking daarvan voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld. Met randvoorwaarden in de vorm van beleid geeft de organisatie kaders aan waarbinnen de ontwikkel- en onderhoudsactiviteiten moeten plaatsvinden.  +

Het bieden van veilige mechanismen voor onder andere import en export van gegevens.  +

Het vaststellen van de identiteit van een gebruiker van een softwarepakket.  +

Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.  +

Bewerkstelligen dat de juiste mensen op het juiste moment om de juiste redenen toegang krijgen tot het softwarepakket.  +

Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.  +

Het inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten.  +

Het waarborgen van een correcte en veilige bediening van serverplatforms.  +

Het voldoen aan de businesseisen van de organisatie en de beoogde, veilige ondersteuning van het bedrijfsproces.  +

Het waarborgen van het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie.  +

Het hervatten van kritieke bedrijfsprocessen binnen kritieke tijdschema’s.  +

Zorgen tijdens normaal bedrijf en bij voorkomende calamiteiten voor het herstel van de data en de dienstverlening binnen de overeengekomen maximale uitvalsduur, waarbij dataverlies wordt voorkomen.  +

Het bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.  +

Het bewerkstelligen van een gecontroleerde verwijdering en afvoer van bedrijfsmiddelen.  +

Voorkomen van verlies, schade, diefstal of in gevaar brengen van informatie en andere bijbehorende assets en onderbreking van de activiteiten van de organisatie.  +

Het invullen, coördineren en borgen van de beheersing van softwareontwikkeling.  +

Het adequaat beheersen en beheren van clouddiensten.  +

Het invullen, coördineren en borgen van de beheersing van de huisvesting IV-dienstverlening.  +

Het invullen, coördineren en borgen van de beheersing van de netwerkbeveiliging.  +

Het invullen, coördineren en borgen van de beheersing van servers en serverplatforms.  +

Het invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem.  +

Het bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.  +

Het beheersen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tijdens transport in netwerken.  +

Beleidskeuzes over welke informatie, in welke vorm via integratiefuncties uitgewisseld mag worden.  +

Het beheersen van beveiliging van data in middlewarecomponenten.  +

Het beheersen van het (beveiligd) ontwikkelen van applicaties.  +

Het beheersen van de beveiligde inrichting en onderhoud van het serverplatform.  +

Het vaststellen of de technische serveromgevingen voor servers en besturingssystemen afdoende zijn beveiligd.  +

Het vaststellen of: * de autorisaties juist zijn aangebracht in de applicaties; * de wijzigingen en verwijderingen juist zijn uitgevoerd; * de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbinding daar aanleiding toe geven.  +

Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten.  +

Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken zoals het weglekken van informatie, verlies van integriteit of andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.  +

Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken, zoals het weglekken van informatie, verlies van integriteit, andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.  +

Wijzigingen aan softwarepakketten gecontroleerd laten verlopen.  +

Het vermijden van persoonsgegevens of enige andere vertrouwelijke informatie voor testdoeleinden en de bescherming waarborgen van gegevens die voor het testen van informatiesystemen zijn gebruikt.  +

Implementeren van maatregelen die naar de behoefte van de klant zorgen voor een ononderbroken toegang tot de data.  +

Onbevoegde toegang tot (communicatie)systemen en toepassingen voorkomen.  +

De reden waarom de norm gehanteerd wordt.  +

Het doel van 'beveiligen van de verwerking van persoonsgegevens' is persoonsgegevens te beschermen tegen verlies, onbeschikbaarheid, corruptie en enige vorm van onrechtmatige of onnodige verzameling en (verdere) verwerking.  +

Het handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit.  +

Bij uitval van netwerkdiensten kan de continuïteit van de bedrijfsvoering optimaal gecontinueerd worden; een contante beschikbaarheid en continuïteit garanderen.  +

Het effectief sturen en beheersen van veranderingen in het applicatielandschap.  +

Het voorkomen van onbevoegde toegang tot ruimten.  +

Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht.  +

Om een gedefinieerde, goedgekeurde, begrepen en werkende structuur op te zetten voor de opzet, bestaan en werking beheer van informatiebeveiliging binnen de CSP.  +

Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie.  +

Het doel van 'Bewaren van persoonsgegevens' is te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel.  +

Het vaststellen van een mogelijke bedrijfsimpact die de verantwoordelijke wil accepteren, in het geval de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie wordt aangetast.  +

Het voorkomen van overbelasting van de keten en het bieden van een ‘eerlijke’ verdeling van de beschikbare capaciteit over de afnemers van de services.  +

Het bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.  +

Het inzichtelijk maken welke mate van bescherming de informatie nodig heeft.  +

Het vooraf vaststellen wat de CSC wil nastreven met de beveiliging van clouddiensten en hoe dat bereikt gaat worden.  +

Het doel van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn om clouddiensten te kunnen inrichten, beveiligen en beheersen.  +

Het doel van het control-domein is om vast te stellen in hoeverre: * controls voldoende zijn ingericht en functioneren om de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van de clouddiensten te garanderen; * infrastructurele diensten, functioneel en technisch, op het afgesproken niveau worden gehouden. Dit houdt onder meer in dat binnen de CSP een adequate beheerorganisatie heeft ingericht, waarin de beheerprocessen zijn vormgegeven.  +

Het doel van het uitvoeringsdomein van clouddiensten is te waarborgen dat, overeenkomstig specifieke beleidsuitgangspunten, een betrouwbare en veilige dienstverlening geleverd wordt en dat de werking voldoet aan de eisen die door de CSC zijn gesteld.  +

Het bieden van een cloud-landschap ter ondersteuning van de CSC-bedrijfsprocessen dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.  +

Het bieden van een clouddienstenlandschap en daarmee richting geven aan de clouddienst en een betrouwbare werking van de clouddienst garanderen.  +

Het beheersen van clouddiensten; dat clouddiensten bijdraagt aan het leveren van producten waarmee de organisatie haar doelstellingen kan realiseren.  +

Het beschermen van getransporteerde gegevens passend bij het classificatieniveau.  +

Het beleidsdomein beschrijft normatieve eisen voor beleid, die randvoorwaardelijk en bedoeld zijn voor de realisatie en operatie van communicatievoorzieningen.  +

Het doel van het control-domein (beheersing) voor deze BIO Thema-uiterking is te zorgen en/of vast te stellen dat: * netwerkdiensten veilig zijn ingericht voor het leveren van de beoogde prestaties; * het beoogde beveiligingsniveau van technische netwerkdiensten en netcomponenten kan worden gegarandeerd. Dit betekent dat de organisatie over adequate beheersingsorganisaties beschikt en waarin beheerprocessen zijn vormgegeven.  +

Het doel van communicatievoorzieningen in het uitvoeringsdomein is het waarborgen dat de netwerkinfrastructuur is ingericht conform specifieke beleidsuitgangspunten en dat aan de eisen voor de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid bij het ontwerp en implementatie is voldaan.  +

Het voorkomen van het overtreden van wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en zekerheid bieden over het beoogde beveiligingsniveau van de clouddienst.  +

Het reduceren van risico’s en het vermijden van (im)materiële schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving, overeenkomsten, beleid en andere verplichtingen.  +

Vast te stellen of de inrichting van de netwerk(diensten) voldoet aan het beveiligingsbeleid.  +

Voorspelbaar, gedocumenteerd gedrag van middlewarefuncties.  +

Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten, waardoor bedrijfsdoelstellingen niet worden gehaald.  +

Het zorgen dat huisvesting IV voldoet aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau.  +

Het effectief beheersen van de bedrijfsmiddelen binnen huisvesting IV.  +

Het beheersen van cryptografie binnen softwarepakketten om de vertrouwelijkheid van informatie te kunnen garanderen.  +

Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheid, authenticiteit en/of integriteit van authenticatie-informatie te beschermen.  +

Het beheersen van cryptografie binnen netwerken en communicatieservices.  +

Het behouden van de vertrouwelijkheid en integriteit van de getransporteerde informatie.  +

Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige data tijdens transport via netwerken en opslag.  +

De wijze waarop middleware de bedrijfs- en persoonsgebonden data mag verwerken is geformaliseerd.  +

Beschermen tegen het verlies van gegevens.  +

Het zorgen dat BBN2 of hoger classificeerde data beveiligd is met cryptografische maatregelen en voldoet aan de Nederlandse wetgeving.  +

Het beschikbaar blijven van gegevens indien nodig voor bijvoorbeeld verantwoording en indien gegevens niet meer archiefwaardig zijn, ze tijdig wissen/vernietigen.  +

Zorgen dat de data van of in beheer van de CSC alleen toegankelijk is voor deze CSC.  +

Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoonsgegevens alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.  +

Het doel van de vereisten bij 'Doorgifte persoonsgegevens' is te waarborgen dat persoonsgegevens op een rechtmatige manier worden doorgegeven, op een juiste manier worden gebruikt en dat de verantwoordelijkheid voor deze rechtmatigheid en juistheid ingeregeld blijft.  +

Het zorgen dat onbevoegden geen gebruik kunnen maken van devices waartoe ze niet gemachtigd zijn en dat het draadloze verkeer beschikbaar, integer en vertrouwelijk blijft.  +

Het bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.  +

Het bewerkstelligen dat er een verantwoordelijke is voor het toegangsbeveiligingssysteem en voor een betrouwbare inrichting ervan, dan wel ervoor zorgen dat noodzakelijke acties worden ondernomen.  +

Elektronisch berichtenverkeer blijft beschikbaar, integer en vertrouwelijk.  +

Het continue hebben van een toegepaste beveiligingsbasis voor alle verrichtingen voor het implementeren van informatiesystemen.  +

Het bepalen/vaststellen in hoeverre de leveranciersovereenkomst wordt nageleefd.  +

Detectie, vastlegging en onderzoek mogelijk te maken van netwerkgebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.  +

Het vaststellen of de beveiliging van het complete netwerk nog in balans is met de dreigingen.  +

Het vooraf vaststellen wat de organisatie wil nastreven bij beëindiging van clouddiensten en hoe dat bereikt gaat worden.  +

Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.  +

Het bewerkstelligen dat: * gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie wordt verminderd; * niemand een gehele procescyclus kan beïnvloeden.  +

Het bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.  +

Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie.  +

Ongeautoriseerd inkomend en uitgaand dataverkeer te detecteren en blokkeren.  +

Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.  +

Toegang tot opgeslagen gegevens door onbevoegden wordt verhinderd.  +

Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem.  +

Het verbeteren van de beveiliging van een server.  +

Verlagen van de kans op misbruik van standaard functionaliteit.  +

Het zeker stellen dat clouddiensten en de data kan worden hersteld, binnen de overeengekomen periode, na onderbreking van de dienstverlening en/of vernietiging van de data.  +

Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.  +

De doelstelling van huisvesting Informatievoorzieningen (IV) in het beleidsdomein is om randvoorwaarden en condities te bieden, zodat huisvesting IV adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.  +

De doelstelling van het control-domein is ervoor te zorgen dat en/of vast te stellen of huisvesting IV afdoende is ingericht voor het leveren van het gewenste niveau van beveiliging. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.  +

Het doel van het uitvoeringsdomein voor Huisvesting IV is het waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.  +

Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren.  +

Zorgen dat IT-functionaliteiten aan de vereiste beveiligingsaspecten voldoen.  +

Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV.  +

Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiliging.  +

Het doel van 'Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens' is om transparantie aan betrokkene te garanderen over de gegevensverzameling en de verwerking, zodat de betrokkene zijn rechten kan uitoefenen overeenkomstig de beginselen van behoorlijke en transparante verwerking<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12 en overweging 60</sup>.  +

Onbevoegde toegang tot systemen en toepassingen voorkomen.  +

Het beschermen van bedrijfsprocessen door zekerheid te verschaffen over de integriteit van de verwerkte data.  +

Het zorgen dat servers betrouwbaar zijn gedurende alle inrichtingsverrichtingen van servers.  +

Het doel van 'Intern toezicht' is het garanderen van een rechtmatige, behoorlijke en transparantie verwerking van persoonsgegevens, het garanderen van naleving van de AVG en van andere wet- en regelgeving betreffende de gegevensbescherming, en het garanderen en aantoonbaar maken van naleving van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens.  +

Het zorgen dat cloud-services bruikbaar zijn op verschillende IT-platforms en data makkelijk kan worden doorgegeven aan een andere CSP zonder dat de integriteit en vertrouwelijkheid wordt aangetast.  +

Om de correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk te maken en om onderzoeken naar informatiebeveiligingsincidenten te ondersteunen.  +

Het bewaken en beheersen van koppelvlakken in de keten van de CSP en de CSC.  +

'Kwaliteitsmanagement' moet ervoor zorgen dat een gegevensverwerking correct en in overeenstemming met de wens van betrokkenen is.  +

Het zorgen dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst op het juiste kwaliteitsniveau.  +

Het voorkomen van onbevoegde toegang tot huisvesting Informatievoorzieningen (IV), zoals terreinen en gebouwen.  +

Het zorgen dat informatiebeveiliging deel uitmaakt van de levenscyclus van software.  +

Achteraf kunnen fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd.  +

Het verzamelen van bewijs om achteraf te kunnen beoordelen of er ongeoorloofde acties hebben plaatsgevonden op servers en besturingssystemen.  +

Het bieden van signaleringsfuncties voor registratie en detectie.  +

Ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.  +

Het tijdig detecteren en vastleggen van ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen van IT-functies in de informatieketen.  +

Het achteraf kunnen vaststellen of de beveiliging van het netwerk niet is verstoord en bij verstoring kan de situatie hersteld worden.  +

Het verzamelen van bewijs over gebeurtenissen en de continue bewaking van het nakomen van beleidsuitgangspunten.  +

Het maakt mogelijk: * eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen; * handelingen te herleiden naar individuele personen.  +

Het zorgen dat informatie in de keten van de CSC en CSP continue beschermd wordt tegen malware.  +

Het zorgen dat informatie op servers wordt beschermd tegen malware.  +

Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.  +

Middleware in het beleidsdomein identificeert conditionele elementen die randvoorwaardelijk zijn om middleware te kunnen inrichten, te beveiligen en te beheersen.  +

De reden waarom de norm gehanteerd wordt. <volgt nog>.  +

De doelstelling van middleware in het uitvoeringsdomein is het waarborgen dat organisatorische en technische voorzieningen voorhanden zijn om te garanderen dat middlewarefuncties voldoen aan de eisen van beschikbaarheid, vertrouwelijkheid, integriteit en controleerbaarheid.  +

Het gewenste niveau van zekerheid bieden aan klant-organisaties, voor de mate waarin IT-leveranciers hun processen en technologie, betreffende middeleware en data, betrouwbaar en veilig hebben ingericht, deze beheersen en periodiek laten certificeren aan relevante standaarden.  +

Het vaststellen van onjuist gebruik en verdachte activiteiten op servers en besturingssystemen waarmee het management tijdig kan bijsturen.  +

Het bieden van een multi-tenantlandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.  +

Het vaststellen of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid nog steeds effectief zijn.  +

Dat alleen vooraf toegestane netwerkdevices op het netwerk worden toegelaten.  +

Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een buikbare staat.  +

Het bieden van een netwerkbeveiligingslandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.  +

Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een bruikbare staat.  +

Bij beheer, storingen en calamiteiten weten wat er aan gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk aanwezig is. De uitval wordt geminimaliseerd.  +

Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening.  +

Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken.  +

Het hebben van een middel waarmee de vereiste acties genomen kunnen worden in de volgende fase, de inrichting van de server en het serverplatform. Inzichtelijk is waar wel en niet rekening mee is gehouden in het ontwerp.  +

Inzicht en overzicht van functionele en technische relaties tussen middlewarecomponenten en hun actuele configuraties.  +

Het doel van een heldere verdeling van taken en bevoegdheden, van middelen en rapportagelijnen is waarborgen dat op de juiste wijze invulling wordt gegeven aan de eisen van het privacybeleid en de AVG.  +

Het invullen, coördineren en borgen van huisvesting IV.  +

Het invullen, coördineren en borgen van het netwerkbeheer.  +

Vastgelegde en nagekomen Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden (SMART)-afspraken over het gewenste beveiligingsniveau voor informatietransport over netwerken.  +

Zekerstellen dat technische en software kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.  +

Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.  +

Zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.  +

Privacybeleid dient ervoor om op organisatie- en strategisch niveau duidelijkheid te geven over de inrichtingskeuzes van privacy en te waarborgen dat de verwerking van gegevens op een rechtmatige wijze plaatsvindt.  +

De doelstelling van het beleidsdomein is ervoor te zorgen dat op strategisch niveau afdoende randvoorwaarden en condities aanwezig zijn om de persoonsgegevens verantwoord te verwerken en opdat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken doelstellingen.  +

De doelstelling van de laag algemene control (beheersing) is te zorgen voor en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.  +

In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.  +

Het reduceren van privacy-risico’s voor de betrokkene en het vermijden van schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving die betrekking hebben op de bescherming van persoonsgegevens.  +

Het verkrijgen van een gedegen set aan beveiligingsmaatregelen.  +

Het ondersteunen van de (project-)organisatie voor informatiebeveiliging in het applicatie-ontwikkeltraject.  +

Het kunnen vaststellen van de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling.  +

Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.  +

Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.  +

Het adequaat controle-activiteiten en rapportages opstellen gericht op de implementatie en beveiliging van servers en besturingssystemen.  +

Het adequaat controle-activiteiten en rapportages opstellen gericht op ontwikkelactiviteiten.  +

Het bewerkstelligen van de juiste coördinatie van activiteiten binnen de beveiligde ruimten.  +

Het zorgen voor een efficiënt en effectief voortbrengingsproces van de applicatie die effectief onderhoudbaar is.  +

Het bewerkstelligen van de benodigde coördinatie van activiteiten binnen netwerkbeveiliging.  +

Het bewerkstelligen dat uitsluitend de juiste en gedocumenteerde activiteiten worden uitgevoerd.  +

Een beeld krijgen van mogelijke risico’s die van invloed kunnen zijn op clouddiensten en vaststellen op welke wijze de risico's beheerst kunnen worden of teruggebracht tot een aanvaardbaar niveau.  +

Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment.  +

Om personen die verantwoordelijk zijn voor clouddiensten in staat te stellen effectief en tijdig belangrijke informatierisico's te identificeren, evalueren en de behandeling te bepalen nodig om deze risico's binnen aanvaardbare grenzen te houden.  +

Beoordeling van de privacyrisico's (de kans en hun potentiële omvang/impact) is nodig om te bepalen hoe deze, door het treffen van maatregelen, teruggebracht kunnen worden tot binnen grenzen die de organisatie acceptabel acht.  +

Het bewerkstelligen dat de juiste verantwoordelijkheden worden gedefinieerd en toegewezen.  +

Het voorkomen van ongewenste beïnvloeding of communicatie van data tussen de CSC en CSP en andere CSC’s.  +

Onbevoegde openbaarmaking en misbruik van data, die op (niet meer gebruikte) media is opgeslagen, voorkomen.  +

Gebeurtenissen (performance van de informatiebeveiliging van de cloud-omgeving) vastleggen, bewijs verzamelen en betrokkenen daarvan op de hoogte te stellen.  +

Het waarborgen van continue beschikbare en integere servers.  +

Het veilig laten functioneren van serverplatforms.  +

De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.  +

De doelstelling van het control-domein is om vast te stellen of: * de beoogde controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van het serverplatform; * de infrastructurele diensten functioneel en technisch op het juiste niveau worden gehouden. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.  +

De doelstelling van het uitvoeringsdomein voor de inrichting en exploitatie van het serverplatform is het waarborgen dat de werkzaamheden plaatsvinden volgens specifieke beleidsuitgangspunten en dat de werking voldoet aan de eisen die door de klant (doelorganisatie) zijn gesteld.  +

Een landschap bieden voor een serverplatform dat in samenhang beveiligd is en inzicht geeft in de inrichting van het serverplatform.  +

Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd).  +

De kwaliteit van de te leveren clouddienst aan de CSC komt overeen met de overeengekomen QoS, informatieveiligheid en kosten.  +

Richting geven aan de wijze waarop de beheerorganisatie voor clouddiensten moet zijn ingericht en de wijze waarop deze moet functioneren.  +

Het voorkomen dat onbevoegden zich via kwetsbaarheden toegang verschaffen tijdens langdurig openstaande sessies.  +

Het doel van het beleidsdomein is om de conditionele- of beleidselementen die van belang zijn bij het selecteren en verwerven van softwarepakketten te identificeren. Het zijn elementen die vooraf bekend moeten zijn en die uitgevaardigd en gecommuniceerd worden door het hogere management.  +

De doelstelling van het control-domein is om vast te stellen of: # de controls voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van softwarepakketten; # softwarepakketten functioneel en technisch op het juiste niveau worden gehouden. Dit houdt onder meer in dat binnen de organisatie een adequate beheersorganisatie moet zijn ingericht, waarin beheersprocessen zijn vormgegeven.  +

De doelstelling van het uitvoeringsdomein is te waarborgen dat de operationele functionele en non-functionele eisen die deel uitmaken van het Programma van Eisen (PvE) voor het verwerven van softwarepakketten gebaseerd zijn op organisatorische- en technische uitgangspunten van de organisaties.  +

Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.  +

Het bewerkstelligen van de benodigde coördinatie van activiteiten voor de inrichting, dienstverlening en beheersing van clouddiensten.  +

Dat een serverplatform correct werkt met de vereiste beveiligingsinstellingen, dat de configuratie niet wordt gewijzigd door ongeautoriseerden en het voorkomen van onjuiste wijzigingen.  +

Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten.  +

Toetsen of de requirements adequaat in het uiteindelijke product, het nieuwe informatiesysteem, zijn verwerkt.  +

Er ontstaat geen nadelige impact op de activiteiten of de beveiliging van de organisatie.  +

Het voorkomen van het benutten van technische kwetsbaarheden door onbevoegden.  +

Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen.  +

Het nagaan of de applicatie met zijn bedrijfs- en beveiligingsfunctionaliteiten werkt conform de eerder vastgelegde eisen.  +

Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen.  +

Het doel van 'Toegang gegevensverwerking voor betrokkene' is om zo nodig transparantie te bieden over de gegevensverwerking, zodat de betrokkene zijn rechten kan uitoefenen en zo de verantwoordelijke kan aanspreken bij onrechtmatigheid van een gegevensverwerking, opdat deze onrechtmatigheid beëindigd wordt.  +

Onbevoegde toegang tot middlewarefuncties en beheerinterfaces voorkomen.  +

Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem.  +

Toegang tot bedrijfs- en beheerfuncties toe te kennen en te beperken volgens het vereiste gebruikersprofiel.  +

De doelstelling van het beleidsdomein is vast te stellen of er afdoende randvoorwaarden en condities op het organisatie- dan wel afdelingsniveau zijn geschapen om toegangsbeveiliging als geheel te doen functioneren en zodat de juiste ondersteuning wordt geleverd voor het bereiken van de afgesproken (autorisatie)doelstellingen. In dit domein zijn normatieve eisen opgenomen die de individuele technische omgevingen (zoals toegangsvoorziening, applicatie, operating systeem en netwerken) overstijgen. Met randvoorwaarden in de vorm van beleid geven organisaties de kaders waarbinnen de realisatie en operatie van het autorisatiesysteem moet plaatsvinden.  +

De doelstelling van toegangsbeveiliging in het control-domein is te zorgen dat en/of vast te stellen of: * de toegangsbeveiliging afdoende is ingericht voor het leveren van het gewenste niveau van autorisaties; * het juiste beveiligingsniveau van de toegangsvoorziening wordt gegarandeerd. Dit houdt onder meer in dat binnen de organisatie een adequate beheersingsorganisatie moet zijn ingericht waarin beheerprocessen zijn vormgegeven.  +

De doelstelling van het uitvoeringsdomein in deze BIO-Thema-uitwerking is te waarborgen dat de toegang tot terreinen, gebouwen, ruimten, applicaties en data is ingericht conform specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de werking voldoet aan de eisen die door de organisatie zijn gesteld met het (autorisatie)beleid.  +

Het zorgen dat alleen die personen die toegang nodig hebben voor het uitvoeren van hun werkzaamheden toegang krijgen tot de programmabroncodebibliotheken en samenhangende elementen  +

Het verkrijgen van inzicht in de samenhang van en de relatie tussen de technische componenten die een rol spelen bij de inrichting en beheer van het toegangsvoorzieningsdomein.  +

Het beheersen van de toegang tot informatie.  +

Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden.  +

Het effectief beveiligen van het netwerkverkeer via openbare netwerken.  +

De ontwikkelcyclus van een applicatie met de continue veranderingen in de onderkende fasen wordt effectief uitgevoerd.  +

Het bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers: * zich bewust zijn van bedreigingen en gevaren van huisvesting IV; * continu op de hoogte zijn van het vigerende huisvesting IV-beleid; * continu bewust blijven van relevante maatregelen.  +

De verantwoordelijke functionarissen binnen de CSC en CSP inzicht geven over de status van de implementatie en het functioneren van clouddiensten.  +

Dat eenieder die in rol heeft in het systeem-ontwikkeltraject op ieder moment kan beschikken over de juiste versie van een document, programma e.d.  +

Gemachtigden kunnen op ieder moment beschikken over de juiste versie van een softwarepakket.  +

Zorgen voor een correct en doeltreffend gebruik van maskeringstechnieken, om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen.  +

Het beschermen van vertrouwelijke informatie waaraan dienstverleners en partners worden blootgesteld.  +

Het beheersen van het verwerven van softwarepakketten.  +

Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.  +

Het zorgen voor een veilige verbinding, waarbij getransporteerde informatie over netwerken vertrouwelijk blijft.  +

Het in voldoende mate beveiligen van gevoelige informatie op een virtueel serverplatform.  +

Het bewerkstelligen dat alleen de beoogde geauthentiseerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.  +

Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en beveiligingseisen.  +

Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.  +

Het gecontroleerd laten verlopen van wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling.  +

Veilig communiceren vanuit het ene naar het andere netwerk.  +