Clouddiensten Beleid

Uit NORA Online
ISOR:BIO Thema Clouddiensten Beleid /
Versie door Annemiekedewit (Overleg | bijdragen) op 14 mei 2020 om 12:25 (data toegevoegd)

Ga naar: navigatie, zoeken
Property "_MDAT" has been marked for restricted use.
Deze informatie is onderdeel van [[{{{Heeft bron}}}]].

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

De onderwerpen die specifiek voor clouddiensten een rol spelen, zijn in afbeelding 'Overzicht beveiligingsprincipes in BUC- en IFGS-matrix' vermeld. Per specifiek beveiligingsprincipe worden de ‘control’ (hoofdnorm) en maatregelen (sub-normen) beschreven. De onderstaande afbeelding geeft de onderwerpen weer die specifiek voor het beleidsaspect een rol spelen.

”Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken”
Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken


Risico

Als de juiste beleidsaspecten voor inrichting en onderhoud van de clouddiensten ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden.

Doelstelling

Het doel van het beleidsaspect is de conditionele elementen te identificeren die randvoorwaardelijk zijn om clouddiensten te kunnen inrichten, beveiligen en beheersen.

Principes uit de {{{Heeft bron}}} binnen dit aspect

IDprincipeCriterium
AppO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03Classificatie van InformatieInformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07Kwaliteitsmanagement systeem (KMS)De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
AppO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
Cloud_B.01Wet- en regelgevingAlle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02CloudbeveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03Exit-strategieIn de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
Cloud_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10Beveiligingsorganisatie ClouddienstenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03EigenaarschapHuisvesting-IV bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.
Huisv_B.04CertificeringDe Huisvesting-IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06Service LevelmanagementHet management van Huisvesting-IV behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreement of SLA).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming tegen natuurrampen, ongelukken en kwaadwillige aanvallen behoort te worden ontworpen en toegepast .
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.
Huisv_B.09OrganisatiestructuurDe huisvestingsorganisatie behoort voor de te realiseren Huisvesting-IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden (TVB) vast te stellen.
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingDe organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.
PRIV_B.02Organieke inbeddingDe verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03Risicomanagement, Privacy by Design en de DPIADe verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
SERV_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SERV_B.02Principes voor inrichten van beveiligde serversDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03Serverplatform architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
TVZ_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
TVZ_B.02Eigenaarschap toegangsbeveiligingssysteemHet eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.
TVZ_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.
TVZ_B.04CryptografieTer bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
TVZ_B.05Beveiligingsorganisatie ToegangsbeveiligingDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
TVZ_B.06ToegangsbeveiligingsarchitectuurDe organisatie behoort op basis van de organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.

Normen uit de {{{Heeft bron}}} binnen dit aspect

IDStellingNorm
AppO_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Overwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.Technieken voor beveiligd programmeren
AppO_B.02.01Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord.Adoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
Software wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
    AppO_B.02.06Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • Het softwareontwikkeling wordt projectmatig aangepakt
    AppO_B.03.01De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.Dataclassificatie' als uitgangspunt voor softwareontwikkeling
    AppO_B.03.02In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
    AppO_B.03.03Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
    AppO_B.03.04In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
    AppO_B.04.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.Security by Design als uitgangspunt voor softwareontwikkeling
    AppO_B.04.02Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • Principes voor het beveiligen van informatiesystemen
    AppO_B.04.03Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.Beveiliging is integraal onderdeel van systeemontwikkeling
    AppO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen.Ontwikkelaars zijn getraind om veilige software te ontwikkelen
    AppO_B.05.01Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • Perspectieven bij de Business Impact Analyse
    AppO_B.05.02De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • Scenario's voor de Business Impact Analyse
    AppO_B.05.03Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
    AppO_B.06.01Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
    AppO_B.06.02Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
    AppO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
    AppO_B.06.04Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
    AppO_B.06.05De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Risicomanagement aanpak aantoonbaar toegepast
    AppO_B.06.06Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
    AppO_B.07.01De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
    AppO_B.07.02De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.De doelorganisatie beschikt over QA- en KMS-methodiek
    AppO_B.07.03De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
    AppO_B.07.04Er zijn informatie- en communicatieprocessen ingericht.Voor informatie- en communicatie zijn processen ingericht
    AppO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    AppO_B.07.06Aan het management worden evaluatie rapportages verstrekt.Aan het management worden evaluatierapportages verstrekt
    AppO_B.07.07De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
    AppO_B.08.01Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
    AppO_B.08.02Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
    AppO_B.09.01De beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    Taken van de beveiligingsfunctionaris
    AppO_B.09.02De beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • Inzicht gegeven door de beveiligingsfunctionaris
    Cloud_B.01.01De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.Informeren welke wet- en regelgeving van toepassing is op clouddiensten
    Cloud_B.01.02De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
    Cloud_B.01.03De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.Identificeren vereisten die van toepassing zijn
    Cloud_B.01.04De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
    Cloud_B.01.05Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
    Cloud_B.01.06De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Vaststellen alle van toepassing zijnde wet- en regelgeving
    Cloud_B.02.01De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.
  • Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
    Cloud_B.02.02De cloudbeveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.
  • Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
    Cloud_B.02.03De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
    Cloud_B.03.01De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
  • de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities);
  • de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd;
  • de opzegtermijn geeft voldoende tijd om te kunnen migreren;
  • data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden;
  • door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd;
  • de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Vastleggen bepalingen over exit-regeling
    Cloud_B.03.02De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • de contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van het SLA;
    • prijsverhoging.
  • de geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of life van de clouddienst(en);
    • achterwege blijvende features.
  • Overgaan tot exit buiten verstrijken contractperiode
    Cloud_B.04.01Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy maatregelen ten aanzien van wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
    • toegang tot en protectie van data van de CSC;
    • lifecycle-management van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
    Cloud_B.05.01De systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven op basis van Service Level Agreements;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.
  • Bevatten diverse aspecten in systeembeschrijving
    Cloud_B.05.02De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
    Cloud_B.05.03De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
    Cloud_B.05.04De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
    Cloud_B.06.01De verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • Hebben CSP-verantwoordelijkheden
    Cloud_B.06.02De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.Goedkeuren organisatie van risicomanagementproces
    Cloud_B.06.03Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.Beschrijven risicomanagementproces
    Cloud_B.07.01Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor beveiliging IT-functionaliteiten
    Cloud_B.07.02Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
    Cloud_B.07.03De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.Bewaken en beheersen IT-infrastructuur
    Cloud_B.07.04De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.Inrichten infrastructuur met betrouwbare hardware- en software-componenten
    Cloud_B.07.05Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
    Cloud_B.08.01De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
    Cloud_B.08.02De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Zeker stellen adequate resources voor uitvoeren van BCM-proces
    Cloud_B.08.03Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten.Committeren aan vastgestelde BCM-vereisten
    Cloud_B.08.04Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.Vaststellen en communiceren BCM- en BIA-beleid
    Cloud_B.08.05Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
    Cloud_B.08.06De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    Cloud_B.08.07De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    Cloud_B.08.08Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    Cloud_B.08.09De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
    Cloud_B.09.01Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor opslag, verwerking en transport van data
    Cloud_B.09.02Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
    Cloud_B.09.03Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
    Cloud_B.09.04Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
    Cloud_B.09.05De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
    Cloud_B.09.06Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
    Cloud_B.09.07In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
    Cloud_B.09.08De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Specificeren en documenteren opslag op welke locatie data
    Cloud_B.10.01De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • Bewerkstelligen en promoten cloudbeveiligingsbeleid
    Cloud_B.10.02De beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • cloudrisico-assessment-activiteiten;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiliging van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
    Cloud_B.10.03De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.Geven positie van informatiebeveiligingsorganisatie binnen organisatie
    Cloud_B.10.04De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    Cloud_B.10.05De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    Cloud_B.10.06De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    Cloud_B.10.07De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    Cloud_B.10.08Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
    Cloud_B.11.01Het raamwerk bevat de volgende aspecten:
    • beveiligingsbeleid CSP op basis van principes, wet- en regelgeving;
    • functioneel; type en scope van de clouddiensten;
    • zoneringsmodel voor scheiding tussen CSC’s;
    • trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie);
    • SLA’s en valide certificaten;
    • risicomanagement.
    Bevatten diverse aspecten voor raamwerk
    Cloud_B.11.02De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud
    CommVZ_B.01.1Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
    CommVZ_B.01.2Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid of richtlijnen omschrijven het toepassen van cryptografie
    CommVZ_B.01.3Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
    CommVZ_B.01.4Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.Procedures beschrijven het beveiligen van informatie
    CommVZ_B.01.5Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).Procedures beschrijven het opsporen van en beschermen tegen malware
    CommVZ_B.01.6Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
    CommVZ_B.01.7E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
    CommVZ_B.02.1Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
    1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
    2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
    3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
    4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
    5. acceptabele niveaus van toegangsbeveiliging.
    Elementen in overeenkomsten over informatietransport
    CommVZ_B.02.2In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
    CommVZ_B.03.1In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptografie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau wordt vastgesteld;
  • het onderling vaststellen van het beleid bij inter-organisatie communicatie.
  • In het cryptografiebeleid uitgewerkte onderwerpen
    CommVZ_B.03.2Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  • welk type gegevens moet voor welke communicatievorm worden versleuteld;
  • welk type gegevens elektronisch worden ondertekend;
  • aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  • in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
  • Aanvullende onderdelen in het cryptografiebeleid
    CommVZ_B.04.1In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CommVZ_B.04.2De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie.De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CommVZ_B.04.3De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd
    Huisv_B.01.01De organisatie heeft een Huisvestingsbeleid opgesteld en dit beleid:
    • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
    • bevat specifieke verantwoordelijkheden en rollen;
    • bevat processen voor het behandelen van afwijkingen en uitzonderingen;
    • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
    Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
    Huisv_B.01.02Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • de bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
    Huisv_B.01.03Beleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting-IV, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
    Huisv_B.02.01De verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV.De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    Huisv_B.02.02Het Huisvesting-IV beleid waarover de Huisvesting-IV organisatie en de klant overeenstemming hebben bereikt is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    Huisv_B.03.01Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel, zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    Huisv_B.03.02Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    Huisv_B.03.03De eigenaar van het bedrijfsmiddel is gedurende de gehele levenscyclus verantwoordelijk voor het juiste beheer van het bedrijfsmiddel.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    Huisv_B.03.04De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek worden beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    Huisv_B.04.01De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    Huisv_B.04.02De Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    Huisv_B.05.01De eisen en specificaties voor de Huisvesting-IV voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    Huisv_B.05.02Het verwerven van Huisvesting-IV voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    Huisv_B.05.03De bij SLA’s en DAP’s betrokken rollen Contractmanagement en Servicelevel Management zijn vastgelegd.Bij SLA en DAP betrokken rollen voor Contractmanagement en Service Level Management zijn vastgelegd
    Huisv_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    Huisv_B.05.05De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    Huisv_B.06.01De Huisvesting-IV organisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    Huisv_B.06.02De dienstenniveaus zijn in lijn met het Huisvesting-IV beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    Huisv_B.06.03De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    Huisv_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    Huisv_B.07.02Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    Huisv_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen veroorzaakt door de natuur en menselijk toedoen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    Huisv_B.07.04De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd, de keuring wordt uitgevoerd door de Brandweer of door een hiertoe erkend keuringsinstituut.De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    Huisv_B.08.01Binnen de Huisvesting-IV nemen alle medewerkers regelmatig deel aan beveiliging awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshops hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    Huisv_B.08.02Aan de medewerkers wordt regelmatig e-learning training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    Huisv_B.09.01Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting-IV een formele positie.De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
    Huisv_B.09.02Voor Huisvesting-IV is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    Huisv_B.09.03Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    Huisv_B.09.04De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
    PRIV_B.01.01.01Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2.Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht
    PRIV_B.01.01.02Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.Privacybeleid; cyclisch proces
    PRIV_B.01.01.03Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens.Privacybeleid; vastgesteld en gecommuniceerd
    PRIV_B.01.01.04De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.Privacybeleid i.r.t. wet- en regelgeving
    PRIV_B.01.01.05In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.Privacybeleid i.r.t. sectorspecifieke wetgeving.
    PRIV_B.01.01.06In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2.Privacybeleid i.r.t. gedragscode
    PRIV_B.01.02.01Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen.Invulling wettelijke beginselen; beschrijving van privacy by design
    PRIV_B.01.02.02Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt.Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen
    PRIV_B.01.02.03Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken
    PRIV_B.01.02.04Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren.Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens
    PRIV_B.01.02.05Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen
    PRIV_B.01.02.06Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.Invulling wettelijke beginselen; beschrijven van transparante verwerking
    PRIV_B.01.02.07Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren.Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen
    PRIV_B.01.02.08Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte
    PRIV_B.01.02.09Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond.Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking
    PRIV_B.01.02.10Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen.Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk
    PRIV_B.02.01.01De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is.Verdeling taken en verantwoordelijkheden
    PRIV_B.02.01.02De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:


    Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
    Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
    De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking).

    In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.
    Functionaris Gegevensbescherming
    PRIV_B.02.01.03Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
    PRIV_B.02.01.04De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
    PRIV_B.02.02.01Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.Benodigde middelen
    PRIV_B.02.03.01De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd.Rapporteringslijnen
    PRIV_B.03.01.01Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1.Het beoordelen van de privacyrisico's, hoog risico
    PRIV_B.03.01.02Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.Het beoordelen van de privacyrisico's, advies van FG
    PRIV_B.03.01.03Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11..Het beoordelen van de privacyrisico's, bij wijzigingen
    PRIV_B.03.01.04Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36..Het beoordelen van de privacyrisico's, i.r.t. DPIA
    PRIV_B.03.02.01De maatregelen bestaan uit technische en organisatorische maatregelen.Passende maatregelen, technisch en organisatorisch
    PRIV_B.03.02.02Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25.Passende maatregelen, passend
    PRIV_B.03.02.03De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)Passende maatregelen, continuïteit
    PRIV_B.03.02.04De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Passende maatregelen i.r.t. de DPIA
    PRIV_B.03.03.01Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.Aantonen onderkende risico's en maatregelen
    PRIV_B.03.03.02Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten
    PRIV_B.03.03.03De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.Aantonen aanpak risicomanagement
    PRIV_B.03.03.04Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Aantonen toepassen DPIA toetsmodel
    PRIV_B.03.03.05Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Aantonen privacy by design
    SERV_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
    SERV_B.01.02In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
    1. het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen;
    2. het gebruik van hardeningsrichtlijnen;
    3. het toepassen van standaard images;
    4. het beperken van toegang tot krachtige faciliteiten en host parameter settings;
    5. het beschermen tegen ongeautoriseerde toegang.
    Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
    SERV_B.02.01De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
    SERV_B.02.02Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defense in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimale toegangsniveau);
    • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingconventie;
    • minimalisatie van Single points of failure.
    Beveiligingsprincipes voor het beveiligd inrichten van servers
    SERV_B.03.01Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
  • wordt actief onderhouden.
  • Eisen aan het architectuurdocument van het in te richten van het serverplatform
    SERV_B.03.02In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
    TVZ_B.01.01Het toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
  • Eisen aan het Toegangvoorzieningsbeleid
    TVZ_B.01.02Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.Aandacht voor wetgeving en verplichtingen
    TVZ_B.01.03Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties.Standaard gebruikersprofielen
    TVZ_B.01.04Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes.Toepassen van need-to-know en need-to-use principes
    TVZ_B.01.05Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).Het autorisatiebeheer is procesmatig ingericht
    TVZ_B.02.01Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).Het eigenaarschap is specifiek toegekend
    TVZ_B.02.02De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.De eigenaar beschikt over kennis, middelen, mensen en autoriteit
    TVZ_B.02.03De eigenaar is verantwoordelijk voor:
  • het identificeren van risico’s voor het toegangsbeveiligingssysteem op basis van informatielevenscyclus;
  • het beveiligd inrichten van het toegangsbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangsbeveiligingssysteem;
  • het ondersteunen van beveiligingsreviews.
  • Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen
    TVZ_B.02.04De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangsbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen
    TVZ_B.03.01De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid.De rollen binnen de beveiligingsfunctie zijn benoemd
    TVZ_B.03.02De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem.Het toegangbeveiligingssysteem wordt periodiek geevalueerd
    TVZ_B.04.01Authenticatie-informatie wordt beschermd door middel van versleuteling.Authenticatie-informatie wordt beschermd door middel van versleuteling
    TVZ_B.04.02Het cryptografiebeleid stelt eisen ten aanzien van:
  • wie verantwoordelijkheid voor de implementatie en het sleutelbeheer;
  • het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag;
  • de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • Het cryptografiebeleid stelt eisen
    TVZ_B.05.01De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.De beveiligingsorganisatie heeft een formele positie
    TVZ_B.05.02De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Verantwoordelijkheden zijn beschreven en toegewezen
    TVZ_B.05.03De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix.Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd
    TVZ_B.05.04De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Functionarissen zijn benoemd
    TVZ_B.05.05De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Verantwoordings- en rapportagelijnen zijn vastgesteld
    TVZ_B.05.06De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Frequentie en eisen voor rapportages
    TVZ_B.06.01De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
  • De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen
    TVZ_B.06.02De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.Er is een toegangbeveiligingsarchitectuur