ISOR:Beoordeling technische serveromgeving: verschil tussen versies
(tekst n.a.v. review aangepast) |
(update naar versie 2.0) |
||
Regel 1: | Regel 1: | ||
{{#element: | |||
{{# | |||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|ID= | |ID=SVB_C.02 | ||
|Titel=Beoordeling technische serveromgeving | |Titel=Beoordeling technische serveromgeving | ||
|Versieaanduiding=2.0 | |||
|Versieaanduiding= | |||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum= | |Px=300 | ||
|Publicatiedatum= | |Redactionele wijzigingsdatum=2021/06/29 | ||
|Beschrijving=Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, | |Publicatiedatum=2021/03/05 | ||
|Criterium=Technische serveromgevingen behoren regelmatig te worden beoordeeld op ''naleving'' van de beleidsregels en normen van de organisatie voor | |Beschrijving===Definitie== | ||
|Doelstelling= | Het proces van evalueren van de serveromgeving. | ||
==Toelichting== | |||
Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatformarchitectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht. | |||
|Criterium=Technische serveromgevingen behoren regelmatig te worden beoordeeld op ''naleving'' van de beleidsregels en normen van de organisatie voor servers en besturingssystemen. | |||
|Doelstelling=Het vaststellen of de technische serveromgevingen voor servers en besturingssystemen afdoende zijn beveiligd. | |||
|Risico=Kwetsbaarheden in technische serveromgevingen voor servers en besturingssystemen worden niet opgemerkt. | |||
|Beveiligingsaspect=Control | |Beveiligingsaspect=Control | ||
|Invalshoek=Functie | |Invalshoek=Functie | ||
|Grondslag=* | |Grondslag=* BIO 2019: 18.2.3 | ||
|Conformiteitsindicator=naleving | |Conformiteitsindicator=naleving | ||
|Heeft bron=BIO Thema Serverplatform | |Heeft bron=BIO Thema Serverplatform | ||
|Is subnorm=Nee | |||
|Heeft ouder=ISOR:BIO Thema Serverplatform Control | |Heeft ouder=ISOR:BIO Thema Serverplatform Control | ||
}} | }} |
Versie van 29 jun 2021 16:06
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Definitie
Het proces van evalueren van de serveromgeving.
Toelichting
Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatformarchitectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 18.2.3
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SVP_C.02.01 | Naleving |
Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. |
SVP_C.02.02 | Naleving |
Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd. |
SVP_C.02.03 | Naleving |
De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. |
SVP_C.02.04 | Naleving |
Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management. |