ISOR/normen tabel
Naar navigatie springen
Naar zoeken springen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO_Thema-uitwerking_Softwarepakketten, met het unieke ID, de
conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
en in uitgebreide versie met alle bestaande eigenschappen.
ID | Conformiteitsindicator | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
---|---|---|---|---|
SWP_B.01.01 | Regels | In het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:
| Verwervingsbeleid softwarepakketten | Beleid |
SWP_B.01.02 | Regels | De verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:
| Verwervingsbeleid softwarepakketten | Beleid |
SWP_B.01.03 | Regels | Verwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen. | Verwervingsbeleid softwarepakketten | Beleid |
SWP_B.01.04 | Regels | Leveranciers zijn ISO 27001-gecertificeerd. | Verwervingsbeleid softwarepakketten | Beleid |
SWP_B.02.01 | Informatiebeveiligingseisen | De overeenkomsten en documentatie omvatten afspraken over:
| Informatiebeveiligingsbeleid voor leveranciersrelaties | Beleid |
SWP_B.03.01 | Bepalingen | De klant legt in de overeenkomst bepalingen over exit vast dat:
| Exit-strategie softwarepakketten | Beleid |
SWP_B.03.02 | Condities | De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie softwarepakketten | Beleid |
SWP_B.04.01 | Bedrijfs- en beveiligingsfuncties | Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken. | Bedrijfs- en beveiligingsfuncties | Beleid |
SWP_B.04.02 | Bedrijfs- en beveiligingsfuncties | Voor het afleiden van bedrijfs- en beveiligingsfuncties worden formele methoden voor een gegevensimpactanalyse toegepast, zoals een (Business Impact Analyse) BIA en Data Protection Impact Assessment (DPIA) en wordt rekening gehouden met het informatieclassificatie-beleid. | Bedrijfs- en beveiligingsfuncties | Beleid |
SWP_B.04.03 | Bedrijfs- en beveiligingsfuncties | Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen:
| Bedrijfs- en beveiligingsfuncties | Beleid |
SWP_B.04.04 | Bedrijfs- en beveiligingsfuncties | Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden. | Bedrijfs- en beveiligingsfuncties | Beleid |
SWP_B.04.05 | Bedrijfs- en beveiligingsfuncties | De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten. | Bedrijfs- en beveiligingsfuncties | Beleid |
SWP_B.05.01 | Communicatie en opslag | Communicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling. | Cryptografie Softwarepakketten | Beleid |
SWP_B.05.02 | Cryptografische beheersmaatregelen | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografie Softwarepakketten | Beleid |
SWP_B.06.01 | Architectuurlandschap | De beveiligingsarchitectuur ondersteunt een bedrijfsbreed proces voor het implementeren van samenhangende beveiligingsmechanismen en tot stand brengen van gemeenschappelijke gebruikersinterfaces en Application Programming Interfaces (API’s), als onderdeel van softwarepakketten. | Beveiligingsarchitectuur | Beleid |
SWP_B.06.02 | Beveiligingsprincipes | Er zijn beveiligingsprincipes voorgeschreven waaraan een te verwerven softwarepakket getoetst moet worden, zoals:
| Beveiligingsarchitectuur | Beleid |
SWP_C.01.01 | Monitoren | De mate waarin de leveranciersovereenkomsten worden nageleefd, wordt geverifieerd. | Evaluatie leveranciersdienstverlening | Control |
SWP_C.01.02 | Beoordelen | De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst. | Evaluatie leveranciersdienstverlening | Control |
SWP_C.01.03 | Auditen | Leveranciersaudits worden uitgevoerd in samenhang met rapportages over de dienstverlening. | Evaluatie leveranciersdienstverlening | Control |
SWP_C.01.04 | Auditen | Er wordt inzicht gegeven in de complete verslaglegging van leveranciersaudits. | Evaluatie leveranciersdienstverlening | Control |
SWP_C.01.05 | Auditen | Vastgestelde problemen worden opgelost en beheerd. | Evaluatie leveranciersdienstverlening | Control |
SWP_C.02.01 | Procedures | De leverancier heeft versiebeheer adequaat geregeld en stelt de klant tijdig op de hoogte van de actueel te gebruiken versies. | Versiebeheer softwarepakketten | Control |
SWP_C.02.02 | Procedures | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiebeheer softwarepakketten | Control |
SWP_C.03.01 | Procesmatig en procedureel | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement softwarepakketten | Control |
SWP_C.03.02 | Technische kwetsbaarheden | Het beheer van technische kwetsbaarheden in code omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement softwarepakketten | Control |
SWP_C.03.03 | Zo snel mogelijk | Actualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd. | Patchmanagement softwarepakketten | Control |
SWP_U.01.01 | Adviseren | Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack. | Levenscyclusmanagement softwarepakketten | Uitvoering |
SWP_U.01.02 | Strategische ontwikkeling | De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software. | Levenscyclusmanagement softwarepakketten | Uitvoering |
SWP_U.01.03 | Innovatieve | Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie. | Levenscyclusmanagement softwarepakketten | Uitvoering |
SWP_U.02.01 | Wijzigingen | Bij nieuwe softwarepakketten en bij wijzigingen op bestaande softwarepakketten moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Beperking wijziging softwarepakket | Uitvoering |
SWP_U.02.02 | Wijzigingen | Wijzigingen in, door leveranciers geleverde, softwarepakketten worden, voor zover mogelijk en haalbaar, ongewijzigd gebruikt. | Beperking wijziging softwarepakket | Uitvoering |
SWP_U.02.03 | Gecontroleerd | Indien vereist worden de wijzigingen door een onafhankelijke beoordelingsinstantie getest en gevalideerd (dit geldt waarvoor mogelijk ook voor software in de cloud). | Beperking wijziging softwarepakket | Uitvoering |
SWP_U.03.01 | Procedures | Een adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning:
| Bedrijfscontinuïteit | Uitvoering |
SWP_U.03.02 | Handhaven | De data behorende bij het softwarepakket en de beoogde bedrijfsmatige bewerking van de gegevens kan worden hersteld binnen de overeengekomen maximale uitvalsduur. | Bedrijfscontinuïteit | Uitvoering |
SWP_U.03.03 | Handhaven | Periodiek wordt de beoogde werking van de disaster recovery herstelprocedures in de praktijk getest. Met cloud-leveranciers worden continuïteitsgaranties overeengekomen. | Bedrijfscontinuïteit | Uitvoering |
SWP_U.04.01 | Normalisatie | Het softwarepakket zorgt dat de invoer in een gestandaardiseerde vorm komt, zodat deze herkend en gevalideerd kan worden. | Input-/output-validatie | Uitvoering |
SWP_U.04.02 | Validatie | Foute, ongeldige of verboden invoer wordt geweigerd of onschadelijk gemaakt. Het softwarepakket (of Software as a Service (SaaS)) voert deze controle van de invoer uit aan de serverzijde en vertrouwt niet op maatregelen aan de clientzijde. | Input-/output-validatie | Uitvoering |
SWP_U.04.03 | Validatie | Het softwarepakket (of Software as a Service (SaaS)) valideert alle invoer die de gebruiker aan het softwarepakket verstrekt. | Input-/output-validatie | Uitvoering |
SWP_U.04.04 | Validatie | Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, zogenaamde ‘ingesloten’ aanvallen te detecteren. | Input-/output-validatie | Uitvoering |
SWP_U.04.05 | Schoning | Alle uitvoer wordt naar een veilig formaat geconverteerd. | Input-/output-validatie | Uitvoering |
SWP_U.05.01 | Authentiek | Softwarepakketten hergebruiken nooit sessie-tokens in URL-parameters of foutberichten. | Sessiebeheer | Uitvoering |
SWP_U.05.02 | Authentiek | Softwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie. | Sessiebeheer | Uitvoering |
SWP_U.05.03 | Time-out | Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
| Sessiebeheer | Uitvoering |
SWP_U.06.01 | Te beschermen gegevens | De opdrachtgever specificeert de classificatie van gegevens. | Gegevensopslag | Uitvoering |
SWP_U.06.02 | Te beschermen gegevens | Indien van een gegeven niet de classificatie van vertrouwelijkheid is vastgesteld, wordt het gegeven per default veilig opgeslagen. | Gegevensopslag | Uitvoering |
SWP_U.06.03 | Versleuteld | Het softwarepakket voorkomt dat wachtwoorden in leesbare vorm worden opgeslagen door gebruik van hashing in combinatie met salts en minimaal 10.000 rounds of hashing. | Gegevensopslag | Uitvoering |
SWP_U.06.04 | Versleuteld | Gegevens worden door het softwarepakket deugdelijk versleuteld opgeslagen met passende standaarden voor cryptografie, tenzij door de gegevenseigenaar is gedocumenteerd dat dit niet noodzakelijk is. Cryptografische toepassingen voldoen aan passende standaarden. | Gegevensopslag | Uitvoering |
SWP_U.06.05 | Noodzakelijk | Te beschermen gegevens worden door het softwarepakket alleen opgeslagen als dat nodig is voor het doel en voor de kortst mogelijke tijd, zijnde de kortste periode tussen het vervullen van de toepassing en de door wet- of regelgeving verplichte periode. | Gegevensopslag | Uitvoering |
SWP_U.07.01 | Versleuteling | Cryptografische toepassingen voldoen aan passende standaarden. | Communicatie | Uitvoering |
SWP_U.07.02 | Versleuteling | Het platform waarop het softwarepakket draait, zorgt voor de versleuteling van communicatie tussen de applicatieserver en webserver en tussen de applicatie en database. De webserver forceert versleuteling tussen de webserver en client. | Communicatie | Uitvoering |
SWP_U.07.03 | Passend bij het classificatie-niveau | De opdrachtgever specificeert de classificatie van de gegevens die worden uitgewisseld en waarvoor versleuteling plaatsvindt. | Communicatie | Uitvoering |
SWP_U.07.04 | Controleert | Het softwarepakket zorgt waar mogelijk voor verificatie dat het certificaat:
| Communicatie | Uitvoering |
SWP_U.07.05 | Controleert | De versleutelde communicatie van het softwarepakket kan zodanig worden geconfigureerd, dat er geen terugval naar niet of onvoldoende versleutelde communicatie ontstaat. | Communicatie | Uitvoering |
SWP_U.08.01 | Mechanisme voor identificatie en authenticatie | De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
| Authenticatie | Uitvoering |
SWP_U.08.02 | Mechanisme voor identificatie en authenticatie | De configuratie van de identificatie- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is. | Authenticatie | Uitvoering |
SWP_U.08.03 | Mechanisme voor identificatie en authenticatie | Het inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden). | Authenticatie | Uitvoering |
SWP_U.09.01 | Autorisatiemechanisme | Het softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Toegangsautorisatie | Uitvoering |
SWP_U.09.02 | Autorisatiemechanisme | Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen. | Toegangsautorisatie | Uitvoering |
SWP_U.10.01 | Autorisaties | De rechten voor toegang tot gegevens en functies in het softwarepakket zijn op een beheersbare wijze geordend, gebruik makend van autorisatiegroepen. | Autorisatiebeheer | Uitvoering |
SWP_U.10.02 | Scheiding van niet verenigbare autorisaties | Met taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd. | Autorisatiebeheer | Uitvoering |
SWP_U.11.01 | Registratie en detectie | In de architectuur van het softwarepakket zijn detectiemechanismen actief voor het detecteren van aanvallen. | Logging | Uitvoering |
SWP_U.11.02 | Registratie en detectie | De te registreren acties worden centraal opgeslagen. | Logging | Uitvoering |
SWP_U.11.03 | Registratie en detectie | Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden). | Logging | Uitvoering |
SWP_U.11.04 | Beveiligd | De (online of offline) bewaartermijn voor logging is vastgesteld en komt tot uitdrukking in de configuratie-instellingen van binnen het softwarepakket. | Logging | Uitvoering |
SWP_U.12.01 | Veilige API’s | Het softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt. | Application Programming Interface (API) | Uitvoering |
SWP_U.12.02 | Veilige API’s | Application Programming Interface (API)-URL’s geven geen gevoelige informatie, zoals de API-sleutel, sessie-tokens enz. weer. | Application Programming Interface (API) | Uitvoering |
SWP_U.12.03 | Veilige API's | Het softwarepakket maakt gebruik van veilige Application Programming Interfaces (API’s), die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals Structured Query Language (SQL) injection en Cross-Site Scripting (XSS) te voorkomen. | Application Programming Interface (API) | Uitvoering |
SWP_U.12.04 | Veilige API's | Het softwarepakket gebruikt veilige Application Programming Interfaces (API’s) die bufferlengtes controleren, waarmee kwetsbaarheden als Buffer- en Integer overflow worden voorkomen. | Application Programming Interface (API) | Uitvoering |
SWP_U.13.01 | Veilig te importeren en veilig op te slaan | Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen. | Gegevensimport | Uitvoering |
SWP_U.13.02 | Veilig te importeren en veilig op te slaan | Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren. | Gegevensimport | Uitvoering |
SWP_U.13.03 | Veilig te importeren en veilig op te slaan | Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken. | Gegevensimport | Uitvoering |
SWP_U10.03 | Scheiding van niet verenigbare autorisaties | Er bestaat een proces voor het definiëren en onderhouden van de autorisaties. | Autorisatiebeheer | Uitvoering |