ISOR/normen tabel

Uit NORA Online
Naar navigatie springen Naar zoeken springen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO_Thema-uitwerking_Softwarepakketten, met het unieke ID, de

conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en in uitgebreide versie met alle bestaande eigenschappen.
IDConformiteitsindicatorStellingRealiseert bovenliggend principeBeveiligingsaspect
SWP_B.01.01RegelsIn het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:
  • analyse van de context waarin het softwarepakket moet functioneren;
  • mobiliseren van kennis die bij het verwerven van belang is;
  • vaststelling van de eigenaarschap van data;
  • tijdige scholing van de betrokken medewerkers;
  • naleven van contractuele verplichtingen.
Verwervingsbeleid softwarepakkettenBeleid
SWP_B.01.02RegelsDe verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:
  • bedrijfsfuncties vanuit een softwarepakket in een eigen rekencentrum;
  • bedrijfsfuncties als Software as a Service (SaaS) aangeboden;
  • hybridevorm van IT-dienstverlening, waarbij SaaS-dienstverlening wordt aangevuld door diensten vanuit het eigen rekencentrum.
    		• Verwervingsbeleid softwarepakkettenBeleid
    SWP_B.01.03RegelsVerwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen.Verwervingsbeleid softwarepakkettenBeleid
    SWP_B.01.04RegelsLeveranciers zijn ISO 27001-gecertificeerd.Verwervingsbeleid softwarepakkettenBeleid
    SWP_B.02.01InformatiebeveiligingseisenDe overeenkomsten en documentatie omvatten afspraken over:
  • procedures voor levenscyclusmanagement, actualisaties en patches;
  • beveiligingseisen voor fysieke toegang, monitoring en beheer op afstand;
  • verplichtingen voor leveranciers om vertrouwelijke informatie van de klant te beschermen;
  • het bepalen van aanvullende beveiligingseisen zoals het recht op een audit;
  • de bewaking van informatiebeveiligingsprestaties met overeengekomen beveiligingsafspraken voor externe leveranciers;
  • het vaststellen van een methode voor het afsluiten, beëindigen, verlengen en heronderhandelen van contracten met externe leveranciers (exit-strategie);
  • de wijze van rapportage over de dienstverlening.
    		• Informatiebeveiligingsbeleid voor leveranciersrelatiesBeleid
    SWP_B.03.01BepalingenDe klant legt in de overeenkomst bepalingen over exit vast dat:
  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de klant (zie norm B.03.02 bij conformiteitsindicator Condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn voldoende tijd geeft om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) pas na succesvolle migratie verwijderd mogen worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
    		• Exit-strategie softwarepakkettenBeleid
    SWP_B.03.02ConditiesDe klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • Contracten:
    • niet beschikbaar zijn van de afgesproken prestatie;
    • eenzijdige wijziging door de leverancier van het Service Level Agreement (SLA);
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of prestatie;
    • gebrekkige ondersteuning.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • einde van de levensduur van clouddiensten als softwarepakket;
    • achterwege blijvende features.
    		• Exit-strategie softwarepakkettenBeleid
    SWP_B.04.01Bedrijfs- en beveiligingsfunctiesBij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken.Bedrijfs- en beveiligingsfunctiesBeleid
    SWP_B.04.02Bedrijfs- en beveiligingsfunctiesVoor het afleiden van bedrijfs- en beveiligingsfuncties worden formele methoden voor een gegevensimpactanalyse toegepast, zoals een (Business Impact Analyse) BIA en Data Protection Impact Assessment (DPIA) en wordt rekening gehouden met het informatieclassificatie-beleid.Bedrijfs- en beveiligingsfunctiesBeleid
    SWP_B.04.03Bedrijfs- en beveiligingsfunctiesHet softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen:
  • Wie zijn de leveranciers of contractpartners van apps?
  • Wie is verantwoordelijk voor het goed functioneren van de app en de continuïteit?
    		• Bedrijfs- en beveiligingsfunctiesBeleid
    SWP_B.04.04Bedrijfs- en beveiligingsfunctiesHet softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden.Bedrijfs- en beveiligingsfunctiesBeleid
    SWP_B.04.05Bedrijfs- en beveiligingsfunctiesDe documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten.Bedrijfs- en beveiligingsfunctiesBeleid
    SWP_B.05.01Communicatie en opslagCommunicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling.Cryptografie SoftwarepakkettenBeleid
    SWP_B.05.02Cryptografische beheersmaatregelenIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wie verantwoordelijkheid is voor de implementatie en het sleutelbeheer.
  • Het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag.
  • De wijze waarop de normen van het Forum Standaardisatie worden toegepast.
    		• Cryptografie SoftwarepakkettenBeleid
    SWP_B.06.01ArchitectuurlandschapDe beveiligingsarchitectuur ondersteunt een bedrijfsbreed proces voor het implementeren van samenhangende beveiligingsmechanismen en tot stand brengen van gemeenschappelijke gebruikersinterfaces en Application Programming Interfaces (API’s), als onderdeel van softwarepakketten.BeveiligingsarchitectuurBeleid
    SWP_B.06.02BeveiligingsprincipesEr zijn beveiligingsprincipes voorgeschreven waaraan een te verwerven softwarepakket getoetst moet worden, zoals:
  • Security by default, Standaard instellingen van beveiligingsparameters.
  • Fail secure, Tijdens systeemstoringen in het softwarepakket is informatie daarover niet toegankelijk voor onbevoegde personen.
  • Defence in depth, Gelaagde, diepgaande bescherming, die niet afhankelijk is van één beveiligingsmethode).
  • Default deny, Het voorkomen van ongeautoriseerde toegang.
    		• BeveiligingsarchitectuurBeleid
    SWP_C.01.01MonitorenDe mate waarin de leveranciersovereenkomsten worden nageleefd, wordt geverifieerd.Evaluatie leveranciersdienstverleningControl
    SWP_C.01.02BeoordelenDe door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst.Evaluatie leveranciersdienstverleningControl
    SWP_C.01.03AuditenLeveranciersaudits worden uitgevoerd in samenhang met rapportages over de dienstverlening.Evaluatie leveranciersdienstverleningControl
    SWP_C.01.04AuditenEr wordt inzicht gegeven in de complete verslaglegging van leveranciersaudits.Evaluatie leveranciersdienstverleningControl
    SWP_C.01.05AuditenVastgestelde problemen worden opgelost en beheerd.Evaluatie leveranciersdienstverleningControl
    SWP_C.02.01ProceduresDe leverancier heeft versiebeheer adequaat geregeld en stelt de klant tijdig op de hoogte van de actueel te gebruiken versies.Versiebeheer softwarepakkettenControl
    SWP_C.02.02ProceduresHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versiebeheer softwarepakkettenControl
    SWP_C.03.01Procesmatig en procedureelHet patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement softwarepakkettenControl
    SWP_C.03.02Technische kwetsbaarhedenHet beheer van technische kwetsbaarheden in code omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Patchmanagement softwarepakkettenControl
    SWP_C.03.03Zo snel mogelijkActualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd.Patchmanagement softwarepakkettenControl
    SWP_U.01.01AdviserenTussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack.Levenscyclusmanagement softwarepakkettenUitvoering
    SWP_U.01.02Strategische ontwikkelingDe leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software.Levenscyclusmanagement softwarepakkettenUitvoering
    SWP_U.01.03InnovatieveTechnologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie.Levenscyclusmanagement softwarepakkettenUitvoering
    SWP_U.02.01WijzigingenBij nieuwe softwarepakketten en bij wijzigingen op bestaande softwarepakketten moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO).Beperking wijziging softwarepakketUitvoering
    SWP_U.02.02WijzigingenWijzigingen in, door leveranciers geleverde, softwarepakketten worden, voor zover mogelijk en haalbaar, ongewijzigd gebruikt.Beperking wijziging softwarepakketUitvoering
    SWP_U.02.03GecontroleerdIndien vereist worden de wijzigingen door een onafhankelijke beoordelingsinstantie getest en gevalideerd (dit geldt waarvoor mogelijk ook voor software in de cloud).Beperking wijziging softwarepakketUitvoering
    SWP_U.03.01ProceduresEen adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning:
  • met disaster recovery procedures voor herstel van de applicatie-functionaliteit en data;
  • door een contractuele uitwijklocatie;
  • door de mogelijkheid van dataconversie naar alternatieve IT-systemen.
    		• BedrijfscontinuïteitUitvoering
    SWP_U.03.02HandhavenDe data behorende bij het softwarepakket en de beoogde bedrijfsmatige bewerking van de gegevens kan worden hersteld binnen de overeengekomen maximale uitvalsduur.BedrijfscontinuïteitUitvoering
    SWP_U.03.03HandhavenPeriodiek wordt de beoogde werking van de disaster recovery herstelprocedures in de praktijk getest. Met cloud-leveranciers worden continuïteitsgaranties overeengekomen.BedrijfscontinuïteitUitvoering
    SWP_U.04.01NormalisatieHet softwarepakket zorgt dat de invoer in een gestandaardiseerde vorm komt, zodat deze herkend en gevalideerd kan worden.Input-/output-validatieUitvoering
    SWP_U.04.02ValidatieFoute, ongeldige of verboden invoer wordt geweigerd of onschadelijk gemaakt. Het softwarepakket (of Software as a Service (SaaS)) voert deze controle van de invoer uit aan de serverzijde en vertrouwt niet op maatregelen aan de clientzijde.Input-/output-validatieUitvoering
    SWP_U.04.03ValidatieHet softwarepakket (of Software as a Service (SaaS)) valideert alle invoer die de gebruiker aan het softwarepakket verstrekt.Input-/output-validatieUitvoering
    SWP_U.04.04ValidatieBinnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, zogenaamde ‘ingesloten’ aanvallen te detecteren.Input-/output-validatieUitvoering
    SWP_U.04.05SchoningAlle uitvoer wordt naar een veilig formaat geconverteerd.Input-/output-validatieUitvoering
    SWP_U.05.01AuthentiekSoftwarepakketten hergebruiken nooit sessie-tokens in URL-parameters of foutberichten.SessiebeheerUitvoering
    SWP_U.05.02AuthentiekSoftwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie.SessiebeheerUitvoering
    SWP_U.05.03Time-outSessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
  • ze niet langer nodig zijn;
  • gebruikers hun sessie expliciet hebben laten verlopen;
  • de limiet voor het verlopen van de harde sessies is bereikt.
    		• SessiebeheerUitvoering
    SWP_U.06.01Te beschermen gegevensDe opdrachtgever specificeert de classificatie van gegevens.GegevensopslagUitvoering
    SWP_U.06.02Te beschermen gegevensIndien van een gegeven niet de classificatie van vertrouwelijkheid is vastgesteld, wordt het gegeven per default veilig opgeslagen.GegevensopslagUitvoering
    SWP_U.06.03VersleuteldHet softwarepakket voorkomt dat wachtwoorden in leesbare vorm worden opgeslagen door gebruik van hashing in combinatie met salts en minimaal 10.000 rounds of hashing.GegevensopslagUitvoering
    SWP_U.06.04VersleuteldGegevens worden door het softwarepakket deugdelijk versleuteld opgeslagen met passende standaarden voor cryptografie, tenzij door de gegevenseigenaar is gedocumenteerd dat dit niet noodzakelijk is. Cryptografische toepassingen voldoen aan passende standaarden.GegevensopslagUitvoering
    SWP_U.06.05NoodzakelijkTe beschermen gegevens worden door het softwarepakket alleen opgeslagen als dat nodig is voor het doel en voor de kortst mogelijke tijd, zijnde de kortste periode tussen het vervullen van de toepassing en de door wet- of regelgeving verplichte periode.GegevensopslagUitvoering
    SWP_U.07.01VersleutelingCryptografische toepassingen voldoen aan passende standaarden.CommunicatieUitvoering
    SWP_U.07.02VersleutelingHet platform waarop het softwarepakket draait, zorgt voor de versleuteling van communicatie tussen de applicatieserver en webserver en tussen de applicatie en database. De webserver forceert versleuteling tussen de webserver en client.CommunicatieUitvoering
    SWP_U.07.03Passend bij het classificatie-niveauDe opdrachtgever specificeert de classificatie van de gegevens die worden uitgewisseld en waarvoor versleuteling plaatsvindt.CommunicatieUitvoering
    SWP_U.07.04ControleertHet softwarepakket zorgt waar mogelijk voor verificatie dat het certificaat:
  • is ondertekend door een vertrouwde Certificate Authority (CA);
  • een valide geldigheidsduur heeft;
  • nog geldig is en niet is ingetrokken.
    		• CommunicatieUitvoering
    SWP_U.07.05ControleertDe versleutelde communicatie van het softwarepakket kan zodanig worden geconfigureerd, dat er geen terugval naar niet of onvoldoende versleutelde communicatie ontstaat.CommunicatieUitvoering
    SWP_U.08.01Mechanisme voor identificatie en authenticatieDe authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
  • Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket.
  • Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten.
    		• AuthenticatieUitvoering
    SWP_U.08.02Mechanisme voor identificatie en authenticatieDe configuratie van de identificatie- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is.AuthenticatieUitvoering
    SWP_U.08.03Mechanisme voor identificatie en authenticatieHet inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden).AuthenticatieUitvoering
    SWP_U.09.01AutorisatiemechanismeHet softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.ToegangsautorisatieUitvoering
    SWP_U.09.02AutorisatiemechanismeBeheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen.ToegangsautorisatieUitvoering
    SWP_U.10.01AutorisatiesDe rechten voor toegang tot gegevens en functies in het softwarepakket zijn op een beheersbare wijze geordend, gebruik makend van autorisatiegroepen.AutorisatiebeheerUitvoering
    SWP_U.10.02Scheiding van niet verenigbare autorisatiesMet taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd.AutorisatiebeheerUitvoering
    SWP_U.11.01Registratie en detectieIn de architectuur van het softwarepakket zijn detectiemechanismen actief voor het detecteren van aanvallen.LoggingUitvoering
    SWP_U.11.02Registratie en detectieDe te registreren acties worden centraal opgeslagen.LoggingUitvoering
    SWP_U.11.03Registratie en detectieEr is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden).LoggingUitvoering
    SWP_U.11.04BeveiligdDe (online of offline) bewaartermijn voor logging is vastgesteld en komt tot uitdrukking in de configuratie-instellingen van binnen het softwarepakket.LoggingUitvoering
    SWP_U.12.01Veilige API’sHet softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt.Application Programming Interface (API)Uitvoering
    SWP_U.12.02Veilige API’sApplication Programming Interface (API)-URL’s geven geen gevoelige informatie, zoals de API-sleutel, sessie-tokens enz. weer.Application Programming Interface (API)Uitvoering
    SWP_U.12.03Veilige API'sHet softwarepakket maakt gebruik van veilige Application Programming Interfaces (API’s), die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals Structured Query Language (SQL) injection en Cross-Site Scripting (XSS) te voorkomen.Application Programming Interface (API)Uitvoering
    SWP_U.12.04Veilige API'sHet softwarepakket gebruikt veilige Application Programming Interfaces (API’s) die bufferlengtes controleren, waarmee kwetsbaarheden als Buffer- en Integer overflow worden voorkomen.Application Programming Interface (API)Uitvoering
    SWP_U.13.01Veilig te importeren en veilig op te slaanHet softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen.GegevensimportUitvoering
    SWP_U.13.02Veilig te importeren en veilig op te slaanBinnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren.GegevensimportUitvoering
    SWP_U.13.03Veilig te importeren en veilig op te slaanHet softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken.GegevensimportUitvoering
    SWP_U10.03Scheiding van niet verenigbare autorisatiesEr bestaat een proces voor het definiëren en onderhouden van de autorisaties.AutorisatiebeheerUitvoering

    Nederlandse Overheid Referentie Architectuur.

    Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR/normen_tabel&oldid=58298"