Beoordeling technische serveromgeving
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Omvat de evaluatie van de mate waarin de serveromgeving voldoet aan de vooraf gestelde technische eisen.
Objecttoelichting
Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatformarchitectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 18.2.3
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SVP_C.02.01 | Naleving |
Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. |
SVP_C.02.02 | Naleving |
Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd. |
SVP_C.02.03 | Naleving |
De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. |
SVP_C.02.04 | Naleving |
Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management. |