Eigenschap:Stelling
Naar navigatie springen
Naar zoeken springen
| Kennismodel | Kennismodel NORA |
|---|---|
| Type | Tekst |
| Geldige waarden | |
| Meerdere waarden toegestaan | Nee |
| Weergave op invulformulieren | Tekstvak |
| Defaultwaarde | |
| Toelichting | Deze eigenschap kan worden gebruikt om elementen te voorzien van een stelling. |
| Specialisatie van |
Deze eigenschap wordt gebruikt door de volgende elementtypen:
(
De programmacode is beschermd tegen ongeautoriseerde wijzigingen. +
A
Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling:
* heeft een eigenaar;
* is voorzien van een datum en versienummer;
* bevat een documenthistorie (wat is wanneer en door wie aangepast);
* is actueel, juist en volledig;
* is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd. +
Aan het management worden evaluatierapportages verstrekt. +
Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. +
Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. +
De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
* een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
* hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt. +
De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
* geeft onder andere aan hoe zij Cloud Service Consumers (CSC’s) tegen bedreigingen beschermt;
* besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie. +
Aankomst- en vertrektijden van bezoekers worden geregistreerd. +
Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem. +
De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten. +
De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. +
Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. +
Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. +
Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. +
Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. +
Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform [[ISOR:Risicomanagement-_Privacy_by_Design_en_de_GEB|B.03: Risicomanagement, Privacy by Design en de DPIA]]. +
Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform [[ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens|PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens]], [[ISOR:Register van verwerkingsactiviteiten|PRIV_U.02: Register van verwerkingsactiviteiten]] en [[ISOR:Toegang gegevensverwerking voor betrokkenen|PRIV_C.02 Toegang gegevensverwerking voor betrokkenen]]. +
Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. +
Als geen gebruik wordt gemaakt van twee-factorauthenticatie:
* is de wachtwoordlengte minimaal 8 posities en complex van samenstelling;
* vervalt vanaf een wachtwoordlengte van 20 posities de complexiteitseis;
* is het aantal inlogpogingen maximaal 10;
* is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen, vastgelegd. +
Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
* Welk typen gegevens moeten voor welke communicatievorm worden versleuteld.
* Welk typen gegevens elektronisch worden ondertekend.
* Aan welke standaarden cryptografische toepassingen dienen te voldoen.
* In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast. +