ISOR/normen tabel

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema-uitwerking Serverplatform, met het unieke ID, de

conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en in uitgebreide versie met alle bestaande eigenschappen.

ID	Conformiteitsindicator	Stelling	Realiseert bovenliggend principe	Beveiligingsaspect
SVP_B.01.01	Regels	De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers.	Beleid voor beveiligde inrichting en onderhoud	Beleid
SVP_B.01.02	Regels	In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen: het toepassen van richtlijnen/standaarden voor de configuratie van servers en besturingssystemen; het gebruik van hardeningsrichtlijnen; het toepassen van standaard images; het beperken van toegang tot krachtige faciliteiten en instellingen voor hostparameter; het beschermen tegen ongeautoriseerde toegang.	Beleid voor beveiligde inrichting en onderhoud	Beleid
SVP_B.02.01	Principes	De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers.	Inrichtingsprincipes voor serverplatform	Beleid
SVP_B.02.02	Principes	Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang: defence in depth (beveiliging op verschillende lagen); secure by default; least privilege (minimaal toegangsniveau); fail secure, waarbij informatie door een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd; eenduidige naamgevingsconventie; minimalisatie van single points of failure.	Inrichtingsprincipes voor serverplatform	Beleid
SVP_B.03.01	Architectuurdocument	Van het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document: heeft een eigenaar; is voorzien van een datum en versienummer; bevat een documenthistorie (wat is wanneer en door wie aangepast); is actueel, juist en volledig; is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd; wordt actief onderhouden.	Serverplatform-architectuur	Beleid
SVP_B.03.02	Architectuurdocument	In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms.	Serverplatform-architectuur	Beleid
SVP_C.01.01	Richtlijnen	De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.	Richtlijn evaluatie ontwikkelactiviteiten	Control
SVP_C.01.02	Richtlijnen	De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten.	Richtlijn evaluatie ontwikkelactiviteiten	Control
SVP_C.01.03	Richtlijnen	De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.	Richtlijn evaluatie ontwikkelactiviteiten	Control
SVP_C.01.04	Richtlijnen	De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd.	Richtlijn evaluatie ontwikkelactiviteiten	Control
SVP_C.02.01	Naleving	Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.	Beoordeling technische serveromgeving	Control
SVP_C.02.02	Naleving	Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd.	Beoordeling technische serveromgeving	Control
SVP_C.02.03	Naleving	De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.	Beoordeling technische serveromgeving	Control
SVP_C.02.04	Naleving	Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management.	Beoordeling technische serveromgeving	Control
SVP_C.03.01	Logbestanden	De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.	Logbestanden beheerders	Control
SVP_C.03.02	Logbestanden	Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheeractiviteiten.	Logbestanden beheerders	Control
SVP_C.04.01	Logbestanden	Logbestanden van gebeurtenissen bevatten, voor zover relevant: gebruikersidentificaties; systeemactiviteiten; data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie; identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie; systeemconfiguratieveranderingen; gebruik van speciale bevoegdheden; alarmen die worden afgegeven door het toegangsbeveiligingssysteem; activering en de-activering van beschermingssystemen, zoals antivirussystemen en inbraakdetectiesystemen; verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.	Logging	Control
SVP_C.05.01	Reviewt/analyseert	De verantwoordelijke functionaris analyseert periodiek: de gelogde gebruikers- en activiteitengegevens van servers en serverplatforms; het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen; eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.	Monitoring	Control
SVP_C.05.02	Reviewt/analyseert	De verzamelde log-informatie wordt in samenhang geanalyseerd.	Monitoring	Control
SVP_C.05.03	Reviewt/analyseert	Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.	Monitoring	Control
SVP_C.05.04	Reviewt/analyseert	De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd.	Monitoring	Control
SVP_C.05.05	Rapporteren	De analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management.	Monitoring	Control
SVP_C.05.06	Rapporteren	De eindrapportage bevat, op basis van analyses, verbetervoorstellen.	Monitoring	Control
SVP_C.06.01	Beveiligingsfunctionaris	De beveiligingsfunctionaris zorgt onder andere voor: de actualisatie van beveiligingsbeleid voor servers en besturingssystemen; de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met onder andere de ketenpartijen; de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; de bespreking van beveiligingsissues met ketenpartijen; het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.	Beheersorganisatie servers en serverplatforms	Control
SVP_C.06.02	Beveiligingsbeleid	Het beveiligingsbeleid geeft onder andere inzicht in: inrichtings-, onderhouds- en beheervoorschriften (procedureel en technisch); specifieke beveiligings- en architectuurvoorschriften; afhankelijkheden tussen servers binnen de infrastructuur.	Beheersorganisatie servers en serverplatforms	Control
SVP_U.01.01	Bedieningsprocedures	Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.	Bedieningsprocedure	Uitvoering
SVP_U.01.02	Bedieningsprocedures	Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd.	Bedieningsprocedure	Uitvoering
SVP_U.01.03	Bedieningsprocedures	In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor: de installatie en configuratie van systemen; de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig; de back-up; de eisen voor de planning, met inbegrip van onderlinge verbondenheid met andere systemen; de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen van het gebruik van systeemhulpmiddelen; de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten door onverwachte bedienings- of technische moeilijkheden; het beheer van audit- en systeemlogbestandinformatie; de procedures voor het monitoren van activiteiten.	Bedieningsprocedure	Uitvoering
SVP_U.02.01	Standaarden	De documentatie conform de standaarden omvat: het bieden van gestandaardiseerde firmwareconfiguraties; het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers; het wijzigen van de standaardwaarden van leveranciers- en andere beveiligingsparameters; het uitschakelen of beperken van onnodige functies en services; het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter-instellingen (bijvoorbeeld Windows 'Register-editor'); het beschermen tegen ongeoorloofde toegang; het uitvoeren van standaard beveiligingsbeheerpraktijken.	Standaarden voor serverconfiguratie	Uitvoering
SVP_U.03.01	Preventie	Een formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.02	Preventie	Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.03	Preventie	Severs zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.04	Preventie	Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.05	Preventie	Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en het principe ‘need-of-use’.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.06	Detectie	Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server moeten worden opgeslagen.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.07	Detectie	De malware-scan wordt op alle omgevingen uitgevoerd.	Malwareprotectie serverplatform	Uitvoering
SVP_U.03.08	Herstel	De gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates.	Malwareprotectie serverplatform	Uitvoering
SVP_U.04.01	Technische serverkwetsbaarheden	Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.04.02	Technische serverkwetsbaarheden	Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van: (onderlinge) afhankelijkheden; software ten aanzien van versienummers en toepassingsstatus; verantwoordelijken voor de software.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.04.03	Technische serverkwetsbaarheden	Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn: de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld; de middelen om technische kwetsbaarheden te bepalen, vastgesteld.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.04.04	Technische serverkwetsbaarheden	Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.04.05	Technische serverkwetsbaarheden	Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor: de identificatie van bekende technische kwetsbaarheden; een hoog-over-inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie; de relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen; het prioriteit geven aan herstel van onderkende kwetsbaarheden.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.04.06	Technische serverkwetsbaarheden	Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.04.07	Geëvalueerd	Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd.	Technische kwetsbaarhedenbeheer serverplatform	Uitvoering
SVP_U.05.01	Procesmatig	Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.02	Procesmatig	Een technisch mechanisme zorgt voor (semi-)automatische updates.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.03	Procesmatig	Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.04	Procesmatig	Het patchbeheerproces bevat methoden om: patches te testen en te evalueren voordat ze worden geïnstalleerd; patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk; om te gaan met mislukte of niet uitgevoerde patches; te rapporteren over de status van het implementeren van patches; acties te bepalen als een technische kwetsbaarheid niet met een patch kan worden hersteld of een beschikbare patch niet kan worden aangebracht.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.05	Procedureel	De patchmanagementprocedure is actueel en beschikbaar.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.06	Procedureel	De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.07	Procedureel	De volgende aspecten van een patch worden geregistreerd: de beschikbare patches; hun relevantie voor de systemen/bestanden; het besluit tot wel/niet uitvoeren; de testdatum en het resultaat van de patchtest; de datum van implementatie; het patchresultaat.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.08	Richtlijnen	Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.09	Richtlijnen	Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.	Patchmanagement serverplatform	Uitvoering
SVP_U.05.10	Richtlijnen	De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch).	Patchmanagement serverplatform	Uitvoering
SVP_U.05.11	Richtlijnen	Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals: het uitschakelen van functionaliteit of diensten; het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijvoorbeeld firewalls, rond de grenzen van netwerken; het vaker monitoren om de werkelijke aanvallen op te sporen; het kweken van bewustzijn over de kwetsbaarheid.	Patchmanagement serverplatform	Uitvoering
SVP_U.06.01	Richtlijnen	Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door: het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden; het autoriseren van individuele sessies; het beperken van toegangsrechten (binnen doelstellingen en reikwijdte); het loggen van alle ondernomen activiteiten; het gebruiken van unieke authenticatiereferenties voor elke implementatie; het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld; het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid; het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.	Beheer op afstand	Uitvoering
SVP_U.06.02	Richtlijnen	Het op afstand onderhouden van servers wordt strikt beheerd door: het verifiëren van de bron van de verbinding op afstand; het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit; het beperken van het aantal gelijktijdige externe verbindingen; het bewaken van activiteiten gedurende de gehele duur van de verbinding; het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.	Beheer op afstand	Uitvoering
SVP_U.06.03	Richtlijnen	Het serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.	Beheer op afstand	Uitvoering
SVP_U.06.04	Richtlijnen	Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.	Beheer op afstand	Uitvoering
SVP_U.06.05	Richtlijnen	Alle externe toegang tot servers vindt versleuteld plaats.	Beheer op afstand	Uitvoering
SVP_U.07.01	Onderhouden	Het onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen: Onderhoud wordt uitgevoerd volgens de door de leverancier aanbevolen intervallen voor servicebeurten. Alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit. Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt een registratie bijgehouden. Voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen. Voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.	Server-onderhoud	Uitvoering
SVP_U.08.01	Opslagmedia	Van de server(s): wordt informatie die niet meer nodig is, vernietigd door verwijderen of overschrijven, gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen; worden opslagmedia die niet meer nodig zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.	Verwijderen of hergebruiken serverapparatuur	Uitvoering
SVP_U.08.02	Geverifieerd	Voorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.	Verwijderen of hergebruiken serverapparatuur	Uitvoering
SVP_U.09.01	Functies	Een servers is zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld: niet-essentiële en overbodige (redundant) services; het kunnen uitvoeren van gevoelige transacties en scripts; krachtige beheer-hulpmiddelen; het ‘run’-commando en ‘command’-processors; de ‘auto-run’-functie.	Hardenen server	Uitvoering
SVP_U.09.02	Functies	Een servers is zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt: communicatiediensten die inherent vatbaar zijn voor misbruik; communicatieprotocollen die gevoelig zijn voor misbruik.	Hardenen server	Uitvoering
SVP_U.09.03	Toegang	Servers worden beschermd tegen ongeoorloofde toegang doordat: onnodige of onveilige gebruikersaccounts zijn verwijderd; belangrijke beveiliging gerelateerde parameters zijn gewijzigd; time-out faciliteiten worden gebruikt, die: automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen; vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.	Hardenen server	Uitvoering
SVP_U.10.01	Geconfigureerd	De servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op: het inrichten van standaard firmware-configuraties; het gebruik van gestandaardiseerde vooraf bepaalde serverimages voor het bouwen/configureren van servers; het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s); het verwijderen, uitschakelen en/of beperken van onnodige functies en services; het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameterinstellingen; het beschermen tegen ongeoorloofde toegang; het uitvoeren van standaard beveiligingsbeheerpraktijken.	Serverconfiguratie	Uitvoering
SVP_U.10.02	Geconfigureerd	De servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage.	Serverconfiguratie	Uitvoering
SVP_U.10.03	Ongeautoriseerd	Toegang tot serverparameterinstellingen en krachtige beheerinstrumenten zijn: beperkt tot een gelimiteerd aantal geautoriseerde personen; beperkt tot specifiek omschreven situaties; gekoppeld aan specifieke en gespecificeerde autorisatie.	Serverconfiguratie	Uitvoering
SVP_U.11.01	Fysieke servers	Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen: onbeheerde en ad hoc-inzet van virtuele servers (zonder juiste procedures aanvraag, creëren en schonen); overbelasting van resources ((CPU), geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.	Virtualisatie serverplatform	Uitvoering
SVP_U.11.02	Hypervisors	Hypervisors worden geconfigureerd om: virtuele servers onderling (logisch) te scheiden met vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen; de communicatie tussen virtuele servers te coderen; de toegang te beperken tot een beperkt aantal geautoriseerde personen; de rollen van hypervisoradministrators te scheiden.	Virtualisatie serverplatform	Uitvoering
SVP_U.11.03	Virtuele servers	Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van: fysieke servers die worden gebruikt voor het hosten van virtuele servers; hypervisors die zijn geassocieerd met virtuele servers; virtuele servers die op een fysieke server worden uitgevoerd.	Virtualisatie serverplatform	Uitvoering
SVP_U.11.04	Virtuele servers	Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder: het toepassen van standaard beveiligingsrichtlijnen voor fysieke en logische toegang; het hardenen van de fysieke en virtuele servers; het wijzigingsbeheer en de malwareprotectie; het toepassen van monitoring en van netwerk gebaseerde beveiliging.	Virtualisatie serverplatform	Uitvoering
SVP_U.12.01	Regels	Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist).	Beperking software-installatie serverplatform	Uitvoering
SVP_U.12.02	Regels	De organisatie past een strikt beleid toe voor het installeren en gebruiken van software.	Beperking software-installatie serverplatform	Uitvoering
SVP_U.12.03	Regels	Het principe van least-privilege wordt toegepast.	Beperking software-installatie serverplatform	Uitvoering
SVP_U.12.04	Regels	De rechten van beheerders worden verleend op basis van rollen.	Beperking software-installatie serverplatform	Uitvoering
SVP_U.13.01	Gedocumenteerd	De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.	Kloksynchronisatie	Uitvoering
SVP_U.13.02	Gesynchroniseerd	De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.	Kloksynchronisatie	Uitvoering
SVP_U.14.01	Ontwerp	Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is: dat in het ontwerp rekening is gehouden met de principes van de beveiligingsarchitectuur en beveiligingsvereisten; dat in het ontwerp rekening is gehouden met de risico’s van voorzienbare ontwikkelingen in het gebruik van IT door de organisatie.	Ontwerpdocument	Uitvoering

ISOR/normen tabel

Navigatiemenu

Zoeken