Eigenschap:Stelling
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Deze eigenschap kan worden gebruikt om elementen te voorzien van een stelling.
Subeigenschap van
:
Geïmporteerd uit
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
A
Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode). +
Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd +
Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. +
Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. +
Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen +
Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x). +
De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd. +
Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd. +
Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. +
Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. +
De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. +
Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd. +
Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens +
Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. +
Authenticatie-informatie wordt beschermd door middel van versleuteling. +
Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)). +
Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
* ze niet langer nodig zijn;
* gebruikers hun sessie expliciet hebben laten verlopen;
* de limiet voor het verlopen van de harde sessies is bereikt. +
Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. +
De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. +
Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. +
B
Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. +
Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
* De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend.
* De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd.
* De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken.
* De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord. +
Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen +
Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. +
Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan. +
Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn +
Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. +
Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. +
Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie. +
Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden +
Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. +
Door het kabinet is vastgesteld dat bij aanschaf en gebruik van ICT-producten en -diensten voor overheidstoepassingen het gebruik van open standaarden de norm is en open source software bij gelijke geschiktheid de voorkeur heeft boven
gesloten source software. +
De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren. +
Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
* Bedrijfsstrategie
* Wet- en regelgeving
* Huidige en verwachte bedreigingen op huisvesting IV +
Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
* Fysieke beveiligingszone
* Fysieke toegangsbeveiligingspersoneel +
Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. +
De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. +
De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. +
De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. +
De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst. +
Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden). +
In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
#De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften;
#De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
#De beveiliging van de verwerking is geborgd, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], inclusief:
##Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben.
##Welke procedure wordt gevolgd in geval van een datalek.
##In welke landen de persoonsgegevens worden opgeslagen.
#De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker.
#Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
##Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
##Het contact dat de verwerker mag hebben met de betrokkenen.
#De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking.
#Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform [[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]].
#De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.
#De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.
Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept. +
De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP). +
Op verzoek van betrokkene wordt de verwerking beperkt, indien:
#De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
#De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
#De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
#De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene. +
Bereikcontroles worden toegepast en gegevens worden gevalideerd. +
De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
* Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket.
* Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten. +
Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen. +
De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. +
De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
* definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
* toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
* toewijzen van een verantwoordelijke voor de review, update en goedkeuring;
* definiëren van communicatiekanalen;
* herstelprocedures;
* methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan;
* continu verbeteringsproces van het BCM-plan;
* relaties met beveiligingsincidenten. +
De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie. +
Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten +
De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. +
De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. +
Beschrijf de dienst nauwkeurig en positioneer deze helder binnen het dienstenaanbod. +
Beschrijf de toegepaste informatieobjecten voor een dienst systematisch in een informatiemodel en voorzie de informatieobjecten van een unieke identificatie. +
De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten. +