ISOR/normen tabel
Uit NORA Online
< ISOR
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
en in uitgebreide versie met alle bestaande eigenschappen.
ID | trefwoord | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
---|---|---|---|---|
SERV_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Beleid |
SERV_B.01.02 | regels | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Beleid |
SERV_B.02.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers. | Principes voor inrichten van beveiligde servers | Beleid |
SERV_B.02.02 | principes | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Principes voor inrichten van beveiligde servers | Beleid |
SERV_B.03.01 | architectuurdocument | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
| Serverplatform architectuur | Beleid |
SERV_B.03.02 | architectuurdocument | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen. | Serverplatform architectuur | Beleid |
SERV_C.01.01 | richtlijnen | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.01.02 | richtlijnen | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.01.03 | richtlijnen | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.01.04 | richtlijnen | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.02.01 | naleving | Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Control |
SERV_C.02.02 | naleving | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Control |
SERV_C.02.03 | naleving | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Control |
SERV_C.02.04 | naleving | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Control |
SERV_C.03.01 | logbestanden | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Beheerderactiviteiten vastgelegd in logbestanden | Control |
SERV_C.03.02 | logbestanden | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten. | Beheerderactiviteiten vastgelegd in logbestanden | Control |
SERV_C.04.01 | logbestanden | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Registratie gebeurtenissen | Control |
SERV_C.05.01 | reviewt/analyseert | De verantwoordelijke functionaris analyseert periodiek:
De verantwoordelijke functionaris analyseert periodiek:
| Monitoren van serverplatforms | Control |
SERV_C.05.02 | reviewt/analyseert | De verzamelde loginformatie wordt in samenhang geanalyseerd. | Monitoren van serverplatforms | Control |
SERV_C.05.03 | reviewt/analyseert | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoren van serverplatforms | Control |
SERV_C.05.04 | reviewt/analyseert | De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd. | Monitoren van serverplatforms | Control |
SERV_C.05.05 | rapporteren | De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management. | Monitoren van serverplatforms | Control |
SERV_C.05.06 | rapporteren | De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan. | Monitoren van serverplatforms | Control |
SERV_C.06.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Beheerorganisatie serverplatforms | Control |
SERV_C.06.02 | beveiligingsbeleid | Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
| Beheerorganisatie serverplatforms | Control |
SERV_U.01.01 | bedieningsprocedures | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedures | Uitvoering |
SERV_U.01.02 | bedieningsprocedures | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd. | Bedieningsprocedures | Uitvoering |
SERV_U.01.03 | bedieningsprocedures | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedures | Uitvoering |
SERV_U.02.01 | standaarden | De documentatie conform de standaarden omvat:
| Standaarden voor configuratie van servers | Uitvoering |
SERV_U.03.01 | preventie | Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden. | Malwareprotectie | Uitvoering |
SERV_U.03.02 | preventie | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie | Uitvoering |
SERV_U.03.03 | preventie | Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt. | Malwareprotectie | Uitvoering |
SERV_U.03.04 | preventie | Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie | Uitvoering |
SERV_U.03.05 | preventie | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use". | Malwareprotectie | Uitvoering |
SERV_U.03.06 | detectie | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen. | Malwareprotectie | Uitvoering |
SERV_U.03.07 | detectie | De malware scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie | Uitvoering |
SERV_U.03.08 | herstel | Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate. | Malwareprotectie | Uitvoering |
SERV_U.04.01 | technische serverkwetsbaarheden | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.02 | technische serverkwetsbaarheden | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
| Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.03 | technische serverkwetsbaarheden | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.04 | technische serverkwetsbaarheden | Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.05 | technische serverkwetsbaarheden | Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
| Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.06 | technische serverkwetsbaarheden | Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.07 | geëvalueerd | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.05.01 | procesmatig | Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement | Uitvoering |
SERV_U.05.02 | procesmatig | Een technisch mechanisme zorgt voor (semi-) automatische updates. | Patchmanagement | Uitvoering |
SERV_U.05.03 | procesmatig | Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht. | Patchmanagement | Uitvoering |
SERV_U.05.04 | procesmatig | Het Patchmanagement proces bevat methoden om:
| Patchmanagement | Uitvoering |
SERV_U.05.05 | procedureel | De patchmanagement procedure is actueel en beschikbaar. | Patchmanagement | Uitvoering |
SERV_U.05.06 | procedureel | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement | Uitvoering |
SERV_U.05.07 | procedureel | De volgende aspecten van een patch worden geregistreerd:
de beschikbare patches;
| Patchmanagement | Uitvoering |
SERV_U.05.08 | richtlijnen | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement | Uitvoering |
SERV_U.05.09 | richtlijnen | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement | Uitvoering |
SERV_U.05.10 | richtlijnen | De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch. | Patchmanagement | Uitvoering |
SERV_U.05.11 | richtlijnen | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement | Uitvoering |
SERV_U.06.01 | richtlijnen | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
| Beheer op afstand | Uitvoering |
SERV_U.06.02 | richtlijnen | Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
| Beheer op afstand | Uitvoering |
SERV_U.06.03 | richtlijnen | Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Uitvoering |
SERV_U.06.04 | richtlijnen | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Uitvoering |
SERV_U.06.05 | richtlijnen | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Uitvoering |
SERV_U.07.01 | onderhouden | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
| Onderhoud van servers | Uitvoering |
SERV_U.08.01 | opslagmedia | de server(s):
| Veilig verwijderen of hergebruiken van serverapparatuur | Uitvoering |
SERV_U.08.02 | geverifieerd | Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Veilig verwijderen of hergebruiken van serverapparatuur | Uitvoering |
SERV_U.09.01 | functies | Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen van servers | Uitvoering |
SERV_U.09.02 | functies | Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen van servers | Uitvoering |
SERV_U.09.03 | toegang | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen van servers | Uitvoering |
SERV_U.10.01 | geconfigureerd | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
| Serverconfiguratie | Uitvoering |
SERV_U.10.02 | geconfigureerd | De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | Uitvoering |
SERV_U.10.03 | ongeautoriseerd | Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is: | Serverconfiguratie | Uitvoering |
SERV_U.11.01 | fysieke servers | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.11.02 | hypervisors | Hypervisors worden geconfigureerd om:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.11.03 | virtuele servers | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.11.04 | virtuele servers | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.12.01 | regels | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list). | Beperking van software-installatie | Uitvoering |
SERV_U.12.02 | regels | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. | Beperking van software-installatie | Uitvoering |
SERV_U.12.03 | regels | Het principe van least-privilege wordt toegepast. | Beperking van software-installatie | Uitvoering |
SERV_U.12.04 | regels | De rechten van beheerders worden verleend op basis van rollen. | Beperking van software-installatie | Uitvoering |
SERV_U.13.01 | gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | Uitvoering |
SERV_U.13.02 | gesynchroniseerd | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | Uitvoering |