ISOR:BIO Thema Clouddiensten Beleid: verschil tussen versies

Versie van 14 mei 2020 om 12:26

Deze informatie is onderdeel van [[{{{Heeft bron}}}]].

Onderdeel normenkader
ID:	Cloud_B
Versie:	1.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	26-2-2020
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:

Meer lezen

→ Bron niet opgegeven

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

De onderwerpen die specifiek voor clouddiensten een rol spelen, zijn in afbeelding 'Overzicht beveiligingsprincipes in BUC- en IFGS-matrix' vermeld. Per specifiek beveiligingsprincipe worden de ‘control’ (hoofdnorm) en maatregelen (sub-normen) beschreven. De onderstaande afbeelding geeft de onderwerpen weer die specifiek voor het beleidsaspect een rol spelen.

Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken

Risico

Als de juiste beleidsaspecten voor inrichting en onderhoud van de clouddiensten ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden.

Doelstelling

Het doel van het beleidsaspect is de conditionele elementen te identificeren die randvoorwaardelijk zijn om clouddiensten te kunnen inrichten, beveiligen en beheersen.

Principes uit de {{{Heeft bron}}} binnen dit aspect

ID	principe	Criterium
AppO_B.01	Beleid voor (beveiligd) ontwikkelen	Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02	Systeem ontwikkelmethode	Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03	Classificatie van Informatie	InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04	Engineeringprincipes beveiligde systemen	Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05	Business Impact Analyse	De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)	Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07	Kwaliteitsmanagement systeem (KMS)	De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
AppO_B.08	Toegangsbeveiliging op programmacode	Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09	Projectorganisatie	Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
Cloud_B.01	Wet- en regelgeving	Alle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02	Cloudbeveiligingsstrategie	De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03	Exit-strategie	In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
Cloud_B.04	Clouddienstenbeleid	De CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05	Transparantie	De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06	Risicomanagement	De CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07	IT-functionaliteiten	IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08	Bedrijfscontinuïteitsmanagement	De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09	Data en privacy	De CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10	Beveiligingsorganisatie Clouddiensten	De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
CommVZ_B.01	Beleid en procedures informatietransport	Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02	Overeenkomsten over informatietransport	Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03	Cryptografiebeleid voor communicatie	Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04	Organisatiestructuur van netwerkbeheer	In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
Huisv_B.01	Huisvesting IV-beleid	Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Huisv_B.02	Wet en regelgeving	Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting IV-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03	Eigenaarschap	Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.
Huisv_B.04	Certificering	Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05	Contractmanagement	Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06	Service Levelmanagement	Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).
Huisv_B.07	Interne en Externe bedreigingen	Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
Huisv_B.08	Training en Awareness	Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
Huisv_B.09	Organisatiestructuur	De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.
PRIV_B.01	Privacy Beleid geeft duidelijkheid en sturing	De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen ^{AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.}
PRIV_B.02	Organieke inbedding	De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03	Risicomanagement, Privacy by Design en de DPIA	De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
SERV_B.01	Beleid voor beveiligde inrichting en onderhoud	Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SERV_B.02	Principes voor inrichten van beveiligde servers	De principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03	Serverplatform architectuur	De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
TVZ_B.01	Toegangsbeveiligingsbeleid	Een toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
TVZ_B.02	Eigenaarschap toegangsbeveiligingssysteem	Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.
TVZ_B.03	Beveiligingsfunctie	Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.
TVZ_B.04	Cryptografie	Ter bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
TVZ_B.05	Beveiligingsorganisatie Toegangsbeveiliging	De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
TVZ_B.06	Toegangsbeveiligingsarchitectuur	De organisatie behoort op basis van de organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.

Normen uit de {{{Heeft bron}}} binnen dit aspect

ID	Stelling	Norm
AppO_B.01.01	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.	De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02	De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.	Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03	In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen: beveiliging van de ontwikkelomgeving; richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling; beveiliging in de softwareontwikkelmethodologie; beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt; beveiligingseisen in de ontwikkelfase; beveiligingscontrolepunten binnen de mijlpalen van het project; beveiliging van de versiecontrole; vereiste kennis over toepassingsbeveiliging; het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.	Overwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04	Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.	Technieken voor beveiligd programmeren
AppO_B.02.01	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).	Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03	Adoptie van ontwikkelmethodologie wordt gemonitord.	Adoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van ontwikkelde applicatie naar de productie omgeving; de training van software ontwikkelaars.	Software wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05	De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan: de eisen uit wet en regelgeving incl. privacy; de contactuele eisen; het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie; de specifieke beveiligingseisen vanuit business; het classificatiemodel van de organisatie.	De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
AppO_B.02.06	Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van assessment voor BIVC; het creëren van een risico register; het creëren van projectmanagement office file; het registreren van belangrijke details in een business applicatie register.	Het softwareontwikkeling wordt projectmatig aangepakt
AppO_B.03.01	De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.	Dataclassificatie' als uitgangspunt voor softwareontwikkeling
AppO_B.03.02	In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.	Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
AppO_B.03.03	Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.	Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
AppO_B.03.04	In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.	Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
AppO_B.04.01	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.	Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.04.02	Voor het beveiligen van informatiesystemen zijn de volgende principe van belang: defense in depth (beveiliging op verschillende lagen); secure by default; default deny; fail secure; wantrouwen van input van externe applicaties; secure in deployment; en bruikbaarheid en beheersbaarheid.	Principes voor het beveiligen van informatiesystemen
AppO_B.04.03	Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.	Beveiliging is integraal onderdeel van systeemontwikkeling
AppO_B.04.04	Ontwikkelaars zijn getraind om veilige software te ontwikkelen.	Ontwikkelaars zijn getraind om veilige software te ontwikkelen
AppO_B.05.01	Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen: de relevante stakeholders (business owners en business- en IT specialisten); de scope van het risk assessment; het profiel van de ‘doelomgeving’; de aanvaardbaarheid van risico’s in de doelomgeving	Perspectieven bij de Business Impact Analyse
AppO_B.05.02	De business impact analyse richt zich op verschillende scenario’s met aandacht voor: de hoeveelheid mensen die nadelig beïnvloed worden; de hoeveelheid systemen die out-of-running kan raken; een realistische analyse en een analyse van worst-case situaties.	Scenario's voor de Business Impact Analyse
AppO_B.05.03	Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van: verlies van orders en contracten en klanten; verlies van tastbare assets; onvoorziene kosten; verlies van management control; concurrentie; late leveringen; verlies van productiviteit; compliance; en reputatie.	Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
AppO_B.06.01	Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.	GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
AppO_B.06.02	Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.	procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
AppO_B.06.03	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
AppO_B.06.04	Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.	Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
AppO_B.06.05	De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.	Risicomanagement aanpak aantoonbaar toegepast
AppO_B.06.06	Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.	Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
AppO_B.07.01	De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.	De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
AppO_B.07.02	De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.	De doelorganisatie beschikt over QA- en KMS-methodiek
AppO_B.07.03	De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.	De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
AppO_B.07.04	Er zijn informatie- en communicatieprocessen ingericht.	Voor informatie- en communicatie zijn processen ingericht
AppO_B.07.05	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
AppO_B.07.06	Aan het management worden evaluatie rapportages verstrekt.	Aan het management worden evaluatierapportages verstrekt
AppO_B.07.07	De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.	applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
AppO_B.08.01	Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen: de broncode bibliotheken worden niet in operationele systemen opgeslagen; de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures; ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken; het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs; programma-uitdraaien worden in een beveiligde omgeving bewaard; van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand; onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.	Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
AppO_B.08.02	Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).	Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
AppO_B.09.01	De beveiligingsfunctionaris zorgt o.a. voor: de actualisatie van beveiligingsbeleid; afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen; de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; de bespreking van beveiligingsissues met ketenpartijen.	Taken van de beveiligingsfunctionaris
AppO_B.09.02	De beveiligingsfunctionaris geeft o.a. inzicht in: het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch); specifieke beveiligings- en architectuurvoorschriften; afhankelijkheden tussen informatiesystemen.	Inzicht gegeven door de beveiligingsfunctionaris
Cloud_B.01.01	De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.	Informeren welke wet- en regelgeving van toepassing is op clouddiensten
Cloud_B.01.02	De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.	Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
Cloud_B.01.03	De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.	Identificeren vereisten die van toepassing zijn
Cloud_B.01.04	De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.	Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
Cloud_B.01.05	Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.	Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
Cloud_B.01.06	De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.	Vaststellen alle van toepassing zijnde wet- en regelgeving
Cloud_B.02.01	De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven: een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement; hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.	Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
Cloud_B.02.02	De cloudbeveiligingsstrategie van de CSP: geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt; besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.	Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
Cloud_B.02.03	De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven: in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC; hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP; dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.	Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
Cloud_B.03.01	De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals: de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities); de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd; de opzegtermijn geeft voldoende tijd om te kunnen migreren; data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden; door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd; de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.	Vastleggen bepalingen over exit-regeling
Cloud_B.03.02	De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan: de contracten: niet beschikbaarheid zijn van afgesproken performance; eenzijdige wijziging door de CSP van het SLA; prijsverhoging. de geleverde prestatie/ondersteuning: onvoldoende compensatie voor storingen; niet leveren van de afgesproken beschikbaarheid of performance; gebrekkige support en/of ondersteuning. clouddienst(en): nieuwe eigenaar of nieuwe strategie; end-of life van de clouddienst(en); achterwege blijvende features.	Overgaan tot exit buiten verstrijken contractperiode
Cloud_B.04.01	Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals: Organische georiënteerde maatregelen: informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices; communicatie met CSC in relatie tot en tijdens wijzigingen; communicatie van beveiligingsinbreuken en het delen van informatie; richtlijnen voor de ondersteuning van (forensische) onderzoeken; compliancy maatregelen ten aanzien van wet- en regelgeving. Technisch georiënteerde maatregelen: multi-tenancy en isolatie van CSC; toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices; toegang tot en protectie van data van de CSC; lifecycle-management van CSC-accounts; risico’s gerelateerd aan niet geautoriseerde insiders; virtualisatie beveiliging; beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.	Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
Cloud_B.05.01	De systeembeschrijving bevat de volgende aspecten: type en scope van de clouddiensten weergegeven op basis van Service Level Agreements; principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven; beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten; hoe met beveiligingsincidenten wordt omgegaan; rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken; (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.	Bevatten diverse aspecten in systeembeschrijving
Cloud_B.05.02	De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.	SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
Cloud_B.05.03	De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.	SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
Cloud_B.05.04	De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.	SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
Cloud_B.06.01	De verantwoordelijkheden van de CSP zijn onder andere: het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP; het identificeren van analyses van de stakeholders; het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen; het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.	Hebben CSP-verantwoordelijkheden
Cloud_B.06.02	De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.	Goedkeuren organisatie van risicomanagementproces
Cloud_B.06.03	Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.	Beschrijven risicomanagementproces
Cloud_B.07.01	Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.	Treffen maatregelen voor beveiliging IT-functionaliteiten
Cloud_B.07.02	Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.	Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
Cloud_B.07.03	De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.	Bewaken en beheersen IT-infrastructuur
Cloud_B.07.04	De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.	Inrichten infrastructuur met betrouwbare hardware- en software-componenten
Cloud_B.07.05	Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.	Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
Cloud_B.08.01	De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.	Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
Cloud_B.08.02	De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.	Zeker stellen adequate resources voor uitvoeren van BCM-proces
Cloud_B.08.03	Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten.	Committeren aan vastgestelde BCM-vereisten
Cloud_B.08.04	Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.	Vaststellen en communiceren BCM- en BIA-beleid
Cloud_B.08.05	Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan: beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s); identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services; identificaties van afhankelijkheden, processen, en business partners en derde partijen; consequenties van verstoringen; schattingen van vereiste resources voor herstel.	Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
Cloud_B.08.06	De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan: definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden; toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen; toewijzen van een verantwoordelijke voor review, update en goedkeuring; definiëren van communicatiekanalen; herstelprocedures; methode voor het implementeren van het BCM-plan; continu verbeteringsproces van het BCM-plan; relaties met beveiligingsincidenten.	Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
Cloud_B.08.07	De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.	Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
Cloud_B.08.08	Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.	Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
Cloud_B.08.09	De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.	Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
Cloud_B.09.01	Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.	Treffen maatregelen voor opslag, verwerking en transport van data
Cloud_B.09.02	Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.	Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
Cloud_B.09.03	Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.	Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
Cloud_B.09.04	Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.	Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
Cloud_B.09.05	De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.	Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
Cloud_B.09.06	Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.	Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
Cloud_B.09.07	In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.	Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
Cloud_B.09.08	De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.	Specificeren en documenteren opslag op welke locatie data
Cloud_B.10.01	De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door: het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid; het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen; het definiëren van een set beveiligingsdiensten; het coördineren van beveiliging door de gehele organisatie; het monitoren van de effectiviteit van de clouddienstreglementen; het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.	Bewerkstelligen en promoten cloudbeveiligingsbeleid
Cloud_B.10.02	De beveiligingsfunctie voorziet in proactieve ondersteuning van: cloudrisico-assessment-activiteiten; classificeren van informatie en systemen; gebruik van encryptie; beveiliging van gerelateerde projecten; ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.	Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
Cloud_B.10.03	De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.	Geven positie van informatiebeveiligingsorganisatie binnen organisatie
Cloud_B.10.04	De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.	Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
Cloud_B.10.05	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.	Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
Cloud_B.10.06	De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.	Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
Cloud_B.10.07	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.	Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
Cloud_B.10.08	Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.	Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
Cloud_B.11.01	Het raamwerk bevat de volgende aspecten: beveiligingsbeleid CSP op basis van principes, wet- en regelgeving; functioneel; type en scope van de clouddiensten; zoneringsmodel voor scheiding tussen CSC’s; trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie); SLA’s en valide certificaten; risicomanagement.	Bevatten diverse aspecten voor raamwerk
Cloud_B.11.02	De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.	Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud
CommVZ_B.01.1	Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.	Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CommVZ_B.01.2	Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.	Beleid of richtlijnen omschrijven het toepassen van cryptografie
CommVZ_B.01.3	Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.	Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CommVZ_B.01.4	Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.	Procedures beschrijven het beveiligen van informatie
CommVZ_B.01.5	Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).	Procedures beschrijven het opsporen van en beschermen tegen malware
CommVZ_B.01.6	Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.	Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CommVZ_B.01.7	E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.	E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
CommVZ_B.02.1	Overeenkomsten over informatietransport bevatten o.a. de volgende elementen: directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst; procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.; speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie; het handhaven van een bewakingsketen voor informatie tijdens verzending; acceptabele niveaus van toegangsbeveiliging.	Elementen in overeenkomsten over informatietransport
CommVZ_B.02.2	In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.	In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CommVZ_B.03.1	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: wanneer cryptografie ingezet wordt; wie verantwoordelijk is voor de implementatie van cryptografie; wie verantwoordelijk is voor het sleutelbeheer; welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast; de wijze waarop het beschermingsniveau wordt vastgesteld; het onderling vaststellen van het beleid bij inter-organisatie communicatie.	In het cryptografiebeleid uitgewerkte onderwerpen
CommVZ_B.03.2	Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende: welk type gegevens moet voor welke communicatievorm worden versleuteld; welk type gegevens elektronisch worden ondertekend; aan welke standaarden de cryptografische toepassingen dienen te voldoen; in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.	Aanvullende onderdelen in het cryptografiebeleid
CommVZ_B.04.1	In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).	In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
CommVZ_B.04.2	De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie.	De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
CommVZ_B.04.3	De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.	De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd
Huisv_B.01.01	De organisatie heeft een huisvesting IV-beleid opgesteld dat: doelstellingen en principes van de huisvesting IV-beveiliging bevat; specifieke verantwoordelijkheden en rollen bevat; processen voor het behandelen van afwijkingen en afzonderingen bevat; procesmatig tot stand komt, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.	Er is een huisvesting IV beleid
Huisv_B.01.02	Beleidsregels over het huisvesting IV-beleid behandelen eisen die voortkomen uit: Bedrijfsstrategie Wet- en regelgeving Huidige en verwachte bedreigingen op huisvesting IV	Beleidsregels huisvesting IV
Huisv_B.01.03	Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting IV, zoals: Fysieke beveiligingszone Fysieke toegangsbeveiligingspersoneel	Beleidsregels verwijzen naar specifieke huisvesting onderwerpen
Huisv_B.02.01	De verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV.	De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
Huisv_B.02.02	Het huisvesting IV-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.	Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
Huisv_B.03.01	Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting IV-bedrijfsmiddel, zijn als eigenaar benoemd.	Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
Huisv_B.03.02	Het eigenaarschap van een huisvesting IV-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel.	Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
Huisv_B.03.03	De eigenaar van het huisvesting IV-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan.	De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
Huisv_B.03.04	De eigenaar van het bedrijfsmiddel zorgt ervoor dat: bedrijfsmiddelen geïnventariseerd worden; bedrijfsmiddelen passend worden geclassificeerd; toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld; bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.	Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
Huisv_B.04.01	De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.	Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
Huisv_B.04.02	Huisvesting IV die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.) en ISO 50001 (Energiemanagement) gecertificeerd.	Certificeringseisen van de ingezette Huisvesting Informatievoorziening
Huisv_B.05.01	De eisen en specificaties voor huisvesting IV zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.	Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
Huisv_B.05.02	Het verwerven van huisvesting IV vindt uitsluitend plaats met een overeenkomst of andere formele afspraak.	Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
Huisv_B.05.03	De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd.	Bij SLA en DAP betrokken rollen voor Contractmanagement en Service Level Management zijn vastgelegd
Huisv_B.05.04	Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.	Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
Huisv_B.05.05	De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij.	De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
Huisv_B.06.01	De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven.	Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
Huisv_B.06.02	Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid.	De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
Huisv_B.06.03	De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).	De aspecten waarop de Service Levels o.a. zijn gericht
Huisv_B.07.01	De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn.	De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
Huisv_B.07.02	Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.	Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
Huisv_B.07.03	Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.	Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
Huisv_B.07.04	De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut.	De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
Huisv_B.08.01	Binnen huisvesting IV nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.	Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
Huisv_B.08.02	Aan de medewerkers wordt regelmatig (e-learning)training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten.	Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
Huisv_B.09.01	Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting IV een formele positie.	De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
Huisv_B.09.02	Voor huisvesting IV is een organisatieschema beschikbaar.	Er is een Huisvestingsorganisatieschema beschikbaar
Huisv_B.09.03	Het organisatieschema toont de rollen/functionarissen binnen de huisvestingsorganisatie.	Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
Huisv_B.09.04	De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet vastgelegd en belegd.	De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
PRIV_B.01.01.01	Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")^{AVG Art. 5 lid 2}.	Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht
PRIV_B.01.01.02	Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.	Privacybeleid; cyclisch proces
PRIV_B.01.01.03	Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens.	Privacybeleid; vastgesteld en gecommuniceerd
PRIV_B.01.01.04	De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.	Privacybeleid i.r.t. wet- en regelgeving
PRIV_B.01.01.05	In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.	Privacybeleid i.r.t. sectorspecifieke wetgeving.
PRIV_B.01.01.06	In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)^{AVG Art. 25 en Art. 64 lid 2}.	Privacybeleid i.r.t. gedragscode
PRIV_B.01.02.01	Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen.	Invulling wettelijke beginselen; beschrijving van privacy by design
PRIV_B.01.02.02	Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt.	Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen
PRIV_B.01.02.03	Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.	Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken
PRIV_B.01.02.04	Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren.	Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens
PRIV_B.01.02.05	Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.	Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen
PRIV_B.01.02.06	Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.	Invulling wettelijke beginselen; beschrijven van transparante verwerking
PRIV_B.01.02.07	Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren.	Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen
PRIV_B.01.02.08	Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.	Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte
PRIV_B.01.02.09	Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond.	Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking
PRIV_B.01.02.10	Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen.	Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk
PRIV_B.02.01.01	De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is.	Verdeling taken en verantwoordelijkheden
PRIV_B.02.01.02	De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is: Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen; De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking). In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.	Functionaris Gegevensbescherming
PRIV_B.02.01.03	Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.	Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
PRIV_B.02.01.04	De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.	Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
PRIV_B.02.02.01	Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.	Benodigde middelen
PRIV_B.02.03.01	De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd.	Rapporteringslijnen
PRIV_B.03.01.01	Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd ^{AVG art. 35 lid 1}.	Het beoordelen van de privacyrisico's, hoog risico
PRIV_B.03.01.02	Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.	Het beoordelen van de privacyrisico's, advies van FG
PRIV_B.03.01.03	Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerd^{AVG Art. 35 lid 11.}.	Het beoordelen van de privacyrisico's, bij wijzigingen
PRIV_B.03.01.04	Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hierover^{AVG Art. 36.}.	Het beoordelen van de privacyrisico's, i.r.t. DPIA
PRIV_B.03.02.01	De maatregelen bestaan uit technische en organisatorische maatregelen.	Passende maatregelen, technisch en organisatorisch
PRIV_B.03.02.02	Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)^{AVG Art. 25}.	Passende maatregelen, passend
PRIV_B.03.02.03	De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)	Passende maatregelen, continuïteit
PRIV_B.03.02.04	De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.	Passende maatregelen i.r.t. de DPIA
PRIV_B.03.03.01	Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.	Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02	Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.	Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten
PRIV_B.03.03.03	De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.	Aantonen aanpak risicomanagement
PRIV_B.03.03.04	Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.	Aantonen toepassen DPIA toetsmodel
PRIV_B.03.03.05	Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.	Aantonen privacy by design
SERV_B.01.01	De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.	Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
SERV_B.01.02	In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen: het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen; het gebruik van hardeningsrichtlijnen; het toepassen van standaard images; het beperken van toegang tot krachtige faciliteiten en host parameter settings; het beschermen tegen ongeautoriseerde toegang.	Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
SERV_B.02.01	De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.	Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
SERV_B.02.02	Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang: defense in depth (beveiliging op verschillende lagen); secure by default; least privilege (minimale toegangsniveau); fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd; eenduidige naamgevingconventie; minimalisatie van Single points of failure.	Beveiligingsprincipes voor het beveiligd inrichten van servers
SERV_B.03.01	Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document: heeft een eigenaar; is voorzien van een datum en versienummer; bevat een documenthistorie (wat is wanneer en door wie aangepast); is actueel, juist en volledig; is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd; wordt actief onderhouden.	Eisen aan het architectuurdocument van het in te richten van het serverplatform
SERV_B.03.02	In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.	In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
TVZ_B.01.01	Het toegangvoorzieningsbeleid: is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.; stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.	Eisen aan het Toegangvoorzieningsbeleid
TVZ_B.01.02	Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.	Aandacht voor wetgeving en verplichtingen
TVZ_B.01.03	Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties.	Standaard gebruikersprofielen
TVZ_B.01.04	Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes.	Toepassen van need-to-know en need-to-use principes
TVZ_B.01.05	Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).	Het autorisatiebeheer is procesmatig ingericht
TVZ_B.02.01	Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).	Het eigenaarschap is specifiek toegekend
TVZ_B.02.02	De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.	De eigenaar beschikt over kennis, middelen, mensen en autoriteit
TVZ_B.02.03	De eigenaar is verantwoordelijk voor: het identificeren van risico’s voor het toegangsbeveiligingssysteem op basis van informatielevenscyclus; het beveiligd inrichten van het toegangsbeveiligingssysteem; het onderhouden en het evalueren van het toegangsbeveiligingssysteem; het ondersteunen van beveiligingsreviews.	Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen
TVZ_B.02.04	De eigenaar is verantwoordelijk voor: het inventariseren van bedrijfsmiddelen; het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangsbeveiliging; het passend classificeren en beschermen van bedrijfsmiddelen; het procesmatig verwijderen van bedrijfsmiddelen.	Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen
TVZ_B.03.01	De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid.	De rollen binnen de beveiligingsfunctie zijn benoemd
TVZ_B.03.02	De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem.	Het toegangbeveiligingssysteem wordt periodiek geevalueerd
TVZ_B.04.01	Authenticatie-informatie wordt beschermd door middel van versleuteling.	Authenticatie-informatie wordt beschermd door middel van versleuteling
TVZ_B.04.02	Het cryptografiebeleid stelt eisen ten aanzien van: wie verantwoordelijkheid voor de implementatie en het sleutelbeheer; het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag; de wijze waarop de normen van het Forum Standaardisatie worden toegepast.	Het cryptografiebeleid stelt eisen
TVZ_B.05.01	De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.	De beveiligingsorganisatie heeft een formele positie
TVZ_B.05.02	De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.	Verantwoordelijkheden zijn beschreven en toegewezen
TVZ_B.05.03	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix.	Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd
TVZ_B.05.04	De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.	Functionarissen zijn benoemd
TVZ_B.05.05	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.	Verantwoordings- en rapportagelijnen zijn vastgesteld
TVZ_B.05.06	De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.	Frequentie en eisen voor rapportages
TVZ_B.06.01	De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande: de uniformiteit en flexibiliteit van authenticatiemechanismen; de rechten voor beheeraccounts; de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen; autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.	De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen
TVZ_B.06.02	De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.	Er is een toegangbeveiligingsarchitectuur

@@ Regel 6: / Regel 6: @@
 |Versieaanduiding=1.0
 |Status actualiteit=Actueel
-|Wijzigingsdatum=26-02-2020
 |Redactionele wijzigingsdatum=26-02-2020
 |Beschrijving=De onderwerpen die specifiek voor clouddiensten een rol spelen, zijn in afbeelding 'Overzicht beveiligingsprincipes in BUC- en IFGS-matrix' vermeld. Per specifiek beveiligingsprincipe worden de ‘control’ (hoofdnorm) en maatregelen (sub-normen) beschreven. De onderstaande afbeelding geeft de onderwerpen weer die specifiek voor het beleidsaspect een rol spelen.