Eigenschap:Stelling

Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode).  +

Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.  +

Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.  +

Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x).  +

De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd.  +

Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.  +

Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf.  +

Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.  +

De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.  +

Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd.  +

Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.  +

Authenticatie-informatie wordt beschermd door middel van versleuteling.  +

Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)).  +

Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer: * ze niet langer nodig zijn; * gebruikers hun sessie expliciet hebben laten verlopen; * de limiet voor het verlopen van de harde sessies is bereikt.  +

Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld.  +

De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.  +

Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.  +

Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast.  +

Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten: * De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend. * De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd. * De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken. * De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.  +

Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen.  +

Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan.  +

Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn.  +

Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.  +

Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie.  +

Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.  +

Door het kabinet is vastgesteld dat bij aanschaf en gebruik van ICT-producten en -diensten voor overheidstoepassingen het gebruik van open standaarden de norm is en open source software bij gelijke geschiktheid de voorkeur heeft boven gesloten source software.  +

De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren.  +

Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit: * Bedrijfsstrategie * Wet- en regelgeving * Huidige en verwachte bedreigingen op huisvesting IV  +

Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals: * Fysieke beveiligingszone * Fysieke toegangsbeveiligingspersoneel  +

Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.  +

De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.  +

De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.  +

De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.  +

De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst.  +

Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden).  +

In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat: #De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; #De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; #De beveiliging van de verwerking is geborgd, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], inclusief: ##Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben. ##Welke procedure wordt gevolgd in geval van een datalek. ##In welke landen de persoonsgegevens worden opgeslagen. #De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker. #Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief: ##Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker; ##Het contact dat de verwerker mag hebben met de betrokkenen. #De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking. #Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform [[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]]. #De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties. #De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.  

Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.  +

De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP).  +

Op verzoek van betrokkene wordt de verwerking beperkt, indien: #De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren; #De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan; #De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of: #De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.  +

Bereikcontroles worden toegepast en gegevens worden gevalideerd.  +

De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten: * Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket. * Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten.  +

Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen.  +

De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.  +

De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan: * definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden; * toegankelijkheid van deze plannen voor verantwoordelijke functionarissen; * toewijzen van een verantwoordelijke voor de review, update en goedkeuring; * definiëren van communicatiekanalen; * herstelprocedures; * methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan; * continu verbeteringsproces van het BCM-plan; * relaties met beveiligingsincidenten.  +

De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie.  +

Beschrijf de dienst nauwkeurig en positioneer deze helder binnen het dienstenaanbod.  +

Beschrijf de toegepaste informatieobjecten voor een dienst systematisch in een informatiemodel en voorzie de informatieobjecten van een unieke identificatie.  +

De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten.  +