ISOR/normen tabel
Naar navigatie springen
Naar zoeken springen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Communicatievoorzieningen, met het unieke ID, de
conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
en in uitgebreide versie met alle bestaande eigenschappen.
ID | Conformiteitsindicator | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
---|---|---|---|---|
CVZ_B.01.01 | Beleidsregels | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.01.02 | Beleidsregels | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie. | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.01.03 | Beleidsregels | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.01.04 | Procedures | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.01.05 | Procedures | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.01.06 | Procedures | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.01.07 | Beheersmaatregelen | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beleid en procedures voor informatietransport | Beleid |
CVZ_B.02.01 | Overeenkomsten | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Overeenkomst voor informatietransport | Beleid |
CVZ_B.02.02 | Overeenkomsten | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | Overeenkomst voor informatietransport | Beleid |
CVZ_B.03.01 | Cryptografiebeleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid voor communicatie | Beleid |
CVZ_B.03.02 | Cryptografiebeleid | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid voor communicatie | Beleid |
CVZ_B.04.01 | Organisatiestructuur | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management). | Organisatiestructuur netwerkbeheer | Beleid |
CVZ_B.04.02 | Organisatiestructuur | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. | Organisatiestructuur netwerkbeheer | Beleid |
CVZ_B.04.03 | Organisatiestructuur | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur netwerkbeheer | Beleid |
CVZ_C.01.01 | Naleving | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Naleving richtlijnen netwerkbeheer en evaluaties | Control |
CVZ_C.02.01 | Inrichting | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Compliance-toets netwerkbeveiliging | Control |
CVZ_C.02.02 | Periodiek | Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Compliance-toets netwerkbeveiliging | Control |
CVZ_C.02.03 | Verantwoordelijke | De resultaten worden gerapporteerd aan het verantwoordelijke management. | Compliance-toets netwerkbeveiliging | Control |
CVZ_C.03.01 | Robuustheid | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Evalueren robuustheid netwerkbeveiliging | Control |
CVZ_C.04.01 | Onderzoek van gebeurtenissen | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Evalueren netwerkgebeurtenissen (monitoring) | Control |
CVZ_C.04.02 | Onderzoek van gebeurtenissen | Continue bewaking via monitoring legt de volgende informatie vast:
| Evalueren netwerkgebeurtenissen (monitoring) | Control |
CVZ_C.05.01 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Beheersorganisatie netwerkbeveiliging | Control |
CVZ_C.05.02 | Verantwoordelijkheden | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
| Beheersorganisatie netwerkbeveiliging | Control |
CVZ_U.01.01 | Ontwerp | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Richtlijn voor netwerkbeveiliging | Uitvoering |
CVZ_U.01.02 | Ontwerp | Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen. | Richtlijn voor netwerkbeveiliging | Uitvoering |
CVZ_U.01.03 | Ontwerp | Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C). | Richtlijn voor netwerkbeveiliging | Uitvoering |
CVZ_U.01.04 | Ontwerp | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Richtlijn voor netwerkbeveiliging | Uitvoering |
CVZ_U.01.05 | Implementatie | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals in norm U.01.04 is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012. | Richtlijn voor netwerkbeveiliging | Uitvoering |
CVZ_U.01.06 | Beheer | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden. | Richtlijn voor netwerkbeveiliging | Uitvoering |
CVZ_U.02.01 | Inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Beveiligde inlogprocedure | Uitvoering |
CVZ_U.02.02 | Inlogprocedure | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal twee-factorauthenticatie. | Beveiligde inlogprocedure | Uitvoering |
CVZ_U.02.03 | Inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
| Beveiligde inlogprocedure | Uitvoering |
CVZ_U.03.01 | Beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Netwerkbeveiligingsbeheer | Uitvoering |
CVZ_U.03.02 | Beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerkbeveiligingsbeheer | Uitvoering |
CVZ_U.03.03 | Beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. | Netwerkbeveiligingsbeheer | Uitvoering |
CVZ_U.03.04 | Beheerd | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Netwerkbeveiligingsbeheer | Uitvoering |
CVZ_U.03.05 | Beheerst | De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Netwerkbeveiligingsbeheer | Uitvoering |
CVZ_U.03.06 | Beheerst | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Netwerkbeveiligingsbeheer | Uitvoering |
CVZ_U.04.01 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomst | Uitvoering |
CVZ_U.05.01 | Beveiligingsmechanismen | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau voor Verbindingsbeveiliging (NBV) een positief inzetadvies heeft afgegeven. | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.02 | Beveiligingsmechanismen | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.03 | Beveiligingsmechanismen | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
| Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.04 | Dienstverleningsniveaus | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.05 | Beheereisen | Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.06 | Beheereisen | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.06.01 | Gescheiden (in domeinen) | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Zonering en filtering | Uitvoering |
CVZ_U.06.02 | Gescheiden (in domeinen) | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Zonering en filtering | Uitvoering |
CVZ_U.06.03 | Gescheiden (in domeinen) | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router). | Zonering en filtering | Uitvoering |
CVZ_U.06.04 | Gescheiden (in domeinen) | Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen. | Zonering en filtering | Uitvoering |
CVZ_U.07.01 | Passend | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie. | Elektronische berichten | Uitvoering |
CVZ_U.07.02 | Passend | Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling. | Elektronische berichten | Uitvoering |
CVZ_U.07.03 | Passend | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. | Elektronische berichten | Uitvoering |
CVZ_U.07.04 | Passend | Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie). | Elektronische berichten | Uitvoering |
CVZ_U.07.05 | Passend | Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
| Elektronische berichten | Uitvoering |
CVZ_U.08.01 | Openbare netwerken | Met de communicerende partijen worden afspraken gemaakt over:
| Toepassingen via openbare netwerken | Uitvoering |
CVZ_U.09.01 | Filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Gateways en firewalls | Uitvoering |
CVZ_U.09.02 | Filterfunctie | De filterfunctie van gateways en firewalls zijn instelbaar. | Gateways en firewalls | Uitvoering |
CVZ_U.09.03 | Filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM). | Gateways en firewalls | Uitvoering |
CVZ_U.09.04 | Toegestaan | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Gateways en firewalls | Uitvoering |
CVZ_U.10.01 | Gescheiden end-to-end-connectie | De end-to-end-connectie:
| Virtual Private Networks (VPN) (ISOR:Virtual Private Networks (VPN)) | Uitvoering |
CVZ_U.11.01 | Vertrouwelijkheid | Voor het waarborgen van de vertrouwelijkheid van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie. | Cryptografische services | Uitvoering |
CVZ_U.11.02 | Integriteit | Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
| Cryptografische services | Uitvoering |
CVZ_U.11.03 | Cryptografische | Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. | Cryptografische services | Uitvoering |
CVZ_U.11.04 | Beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
| Cryptografische services | Uitvoering |
CVZ_U.12.01 | Authenticatie, autorisatie en versleuteling | Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
| Draadloze toegang | Uitvoering |
CVZ_U.13.01 | Verbindingen | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
| Netwerkconnectie | Uitvoering |
CVZ_U.13.02 | Bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd. | Netwerkconnectie | Uitvoering |
CVZ_U.14.01 | Authenticatie van netwerknodes | Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)). | Netwerkauthenticatie | Uitvoering |
CVZ_U.14.02 | Authenticatie van netwerknodes | Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x). | Netwerkauthenticatie | Uitvoering |
CVZ_U.15.01 | Beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. Met name geldt daarbij:
| Netwerkbeheeractiviteiten | Uitvoering |
CVZ_U.15.02 | Beheerst | Netwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerkbeheeractiviteiten | Uitvoering |
CVZ_U.16.01 | Gemaakt en bewaard | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs. | Vastleggen en monitoring netwerkgebeurtenissen (events) (ISOR:Vastleggen en monitoring van netwerkgebeurtenissen (events)) | Uitvoering |
CVZ_U.16.02 | Beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Logging en monitoring communicatievoorzieningen | Uitvoering |
CVZ_U.17.01 | Samenhang | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuur van het te beveiligen systeem. | Netwerkbeveiligingsarchitectuur | Uitvoering |
CVZ_U.17.02 | Samenhang | De beveiligingsarchitectuur is gelaagd, zoals:
| Netwerkbeveiligingsarchitectuur | Uitvoering |
CVZ_U.17.03 | Samenhang | De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden. | Netwerkbeveiligingsarchitectuur | Uitvoering |