ISOR/normen tabel
Naar navigatie springen
Naar zoeken springen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Serverplatform, met het unieke ID, de
conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
en in uitgebreide versie met alle bestaande eigenschappen.
ID | Conformiteitsindicator | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
---|---|---|---|---|
SVP_B.01.01 | Regels | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Beleid |
SVP_B.01.02 | Regels | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Beleid |
SVP_B.02.01 | Principes | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers. | Inrichtingsprincipes voor serverplatform | Beleid |
SVP_B.02.02 | Principes | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Inrichtingsprincipes voor serverplatform | Beleid |
SVP_B.03.01 | Architectuurdocument | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document:
| Serverplatform-architectuur | Beleid |
SVP_B.03.02 | Architectuurdocument | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms. | Serverplatform-architectuur | Beleid |
SVP_C.01.01 | Richtlijnen | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Richtlijn evaluatie ontwikkelactiviteiten | Control |
SVP_C.01.02 | Richtlijnen | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten. | Richtlijn evaluatie ontwikkelactiviteiten | Control |
SVP_C.01.03 | Richtlijnen | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Richtlijn evaluatie ontwikkelactiviteiten | Control |
SVP_C.01.04 | Richtlijnen | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd. | Richtlijn evaluatie ontwikkelactiviteiten | Control |
SVP_C.02.01 | Naleving | Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Control |
SVP_C.02.02 | Naleving | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Control |
SVP_C.02.03 | Naleving | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Control |
SVP_C.02.04 | Naleving | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Control |
SVP_C.03.01 | Logbestanden | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Logbestanden beheerders | Control |
SVP_C.03.02 | Logbestanden | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheeractiviteiten. | Logbestanden beheerders | Control |
SVP_C.04.01 | Logbestanden | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Logging | Control |
SVP_C.05.01 | Reviewt/analyseert | De verantwoordelijke functionaris analyseert periodiek:
| Monitoring | Control |
SVP_C.05.02 | Reviewt/analyseert | De verzamelde log-informatie wordt in samenhang geanalyseerd. | Monitoring | Control |
SVP_C.05.03 | Reviewt/analyseert | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoring | Control |
SVP_C.05.04 | Reviewt/analyseert | De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd. | Monitoring | Control |
SVP_C.05.05 | Rapporteren | De analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management. | Monitoring | Control |
SVP_C.05.06 | Rapporteren | De eindrapportage bevat, op basis van analyses, verbetervoorstellen. | Monitoring | Control |
SVP_C.06.01 | Beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt onder andere voor:
| Beheersorganisatie servers en serverplatforms | Control |
SVP_C.06.02 | Beveiligingsbeleid | Het beveiligingsbeleid geeft onder andere inzicht in:
| Beheersorganisatie servers en serverplatforms | Control |
SVP_U.01.01 | Bedieningsprocedures | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedure | Uitvoering |
SVP_U.01.02 | Bedieningsprocedures | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd. | Bedieningsprocedure | Uitvoering |
SVP_U.01.03 | Bedieningsprocedures | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedure | Uitvoering |
SVP_U.02.01 | Standaarden | De documentatie conform de standaarden omvat:
| Standaarden voor serverconfiguratie | Uitvoering |
SVP_U.03.01 | Preventie | Een formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.02 | Preventie | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.03 | Preventie | Severs zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.04 | Preventie | Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.05 | Preventie | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en het principe ‘need-of-use’. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.06 | Detectie | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server moeten worden opgeslagen. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.07 | Detectie | De malware-scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.03.08 | Herstel | De gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates. | Malwareprotectie serverplatform | Uitvoering |
SVP_U.04.01 | Technische serverkwetsbaarheden | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.04.02 | Technische serverkwetsbaarheden | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:
| Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.04.03 | Technische serverkwetsbaarheden | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.04.04 | Technische serverkwetsbaarheden | Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces. | Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.04.05 | Technische serverkwetsbaarheden | Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor:
| Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.04.06 | Technische serverkwetsbaarheden | Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld. | Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.04.07 | Geëvalueerd | Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd. | Technische kwetsbaarhedenbeheer serverplatform | Uitvoering |
SVP_U.05.01 | Procesmatig | Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.02 | Procesmatig | Een technisch mechanisme zorgt voor (semi-)automatische updates. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.03 | Procesmatig | Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.04 | Procesmatig | Het patchbeheerproces bevat methoden om:
| Patchmanagement serverplatform | Uitvoering |
SVP_U.05.05 | Procedureel | De patchmanagementprocedure is actueel en beschikbaar. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.06 | Procedureel | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.07 | Procedureel | De volgende aspecten van een patch worden geregistreerd:
| Patchmanagement serverplatform | Uitvoering |
SVP_U.05.08 | Richtlijnen | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.09 | Richtlijnen | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.10 | Richtlijnen | De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch). | Patchmanagement serverplatform | Uitvoering |
SVP_U.05.11 | Richtlijnen | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement serverplatform | Uitvoering |
SVP_U.06.01 | Richtlijnen | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door:
| Beheer op afstand | Uitvoering |
SVP_U.06.02 | Richtlijnen | Het op afstand onderhouden van servers wordt strikt beheerd door:
| Beheer op afstand | Uitvoering |
SVP_U.06.03 | Richtlijnen | Het serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Uitvoering |
SVP_U.06.04 | Richtlijnen | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Uitvoering |
SVP_U.06.05 | Richtlijnen | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Uitvoering |
SVP_U.07.01 | Onderhouden | Het onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen:
| Server-onderhoud | Uitvoering |
SVP_U.08.01 | Opslagmedia | Van de server(s):
| Verwijderen of hergebruiken serverapparatuur | Uitvoering |
SVP_U.08.02 | Geverifieerd | Voorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Verwijderen of hergebruiken serverapparatuur | Uitvoering |
SVP_U.09.01 | Functies | Een servers is zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen server | Uitvoering |
SVP_U.09.02 | Functies | Een servers is zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen server | Uitvoering |
SVP_U.09.03 | Toegang | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen server | Uitvoering |
SVP_U.10.01 | Geconfigureerd | De servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op:
| Serverconfiguratie | Uitvoering |
SVP_U.10.02 | Geconfigureerd | De servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | Uitvoering |
SVP_U.10.03 | Ongeautoriseerd | Toegang tot serverparameterinstellingen en krachtige beheerinstrumenten zijn:
| Serverconfiguratie | Uitvoering |
SVP_U.11.01 | Fysieke servers | Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen:
| Virtualisatie serverplatform | Uitvoering |
SVP_U.11.02 | Hypervisors | Hypervisors worden geconfigureerd om:
| Virtualisatie serverplatform | Uitvoering |
SVP_U.11.03 | Virtuele servers | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Virtualisatie serverplatform | Uitvoering |
SVP_U.11.04 | Virtuele servers | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Virtualisatie serverplatform | Uitvoering |
SVP_U.12.01 | Regels | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist). | Beperking software-installatie serverplatform | Uitvoering |
SVP_U.12.02 | Regels | De organisatie past een strikt beleid toe voor het installeren en gebruiken van software. | Beperking software-installatie serverplatform | Uitvoering |
SVP_U.12.03 | Regels | Het principe van least-privilege wordt toegepast. | Beperking software-installatie serverplatform | Uitvoering |
SVP_U.12.04 | Regels | De rechten van beheerders worden verleend op basis van rollen. | Beperking software-installatie serverplatform | Uitvoering |
SVP_U.13.01 | Gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | Uitvoering |
SVP_U.13.02 | Gesynchroniseerd | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | Uitvoering |
SVP_U.14.01 | Ontwerp | Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is:
| Ontwerpdocument | Uitvoering |