Alle normen
Op deze pagina vind u alle Normen uit de NORA. Normen komen oorspronkelijk voort uit Alle normenkaders van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en zijn eind 2017 in de NORA toegevoegd als onderdeel van de ISOR (Information Security Object Repository). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORA Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.
Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.
Alle normen in de NORA[bewerken]
De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen. De onderstaande tabel is te sorteren via kolomtitels en toont standaard de eerste 200 normen.
ID | Stelling | Realiseert | Norm |
---|---|---|---|
APO_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.01.02 | De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Beleid voor (beveiligd) ontwikkelen | Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
APO_B.01.04 | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Beleid voor (beveiligd) ontwikkelen | Technieken voor beveiligd programmeren |
APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling). | Systeem-ontwikkelmethode | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem-ontwikkelmethode | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem-ontwikkelmethode | Adoptie van ontwikkelmethodologie wordt gemonitord |
APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Systeem-ontwikkelmethode | Software wordt ontwikkelen conform standaarden en procedures |
APO_B.02.05 | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| Systeem-ontwikkelmethode | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Systeem-ontwikkelmethode | Het softwareontwikkeling wordt projectmatig aangepakt |
APO_B.03.01 | De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen. | Classificatie van informatie | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
APO_B.03.02 | De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Classificatie van informatie | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
APO_B.03.03 | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Classificatie van informatie | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Classificatie van informatie | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
APO_B.04.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Engineeringsprincipe voor beveiligde systemen | Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Engineeringsprincipe voor beveiligde systemen | Principes voor het beveiligen van informatiesystemen |
APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Engineeringsprincipe voor beveiligde systemen | Beveiliging is integraal onderdeel van systeemontwikkeling |
APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Engineeringsprincipe voor beveiligde systemen | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
APO_B.05.01 | Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
| Business Impact Analyse (BIA) | Perspectieven bij de Business Impact Analyse |
APO_B.05.02 | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Business Impact Analyse (BIA) | Scenario's voor de Business Impact Analyse |
APO_B.05.03 | Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Business Impact Analyse (BIA) | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
APO_B.06.02 | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
APO_B.06.03 | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling (ISOR:Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)) | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
APO_B.06.04 | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
APO_B.06.05 | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Risicomanagement aanpak aantoonbaar toegepast |
APO_B.06.06 | Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Kwaliteitsmanagementsysteem | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
APO_B.07.02 | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | Kwaliteitsmanagementsysteem | De doelorganisatie beschikt over QA- en KMS-methodiek |
APO_B.07.03 | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagementsysteem | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagementsysteem | Voor informatie- en communicatie zijn processen ingericht |
APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Kwaliteitsmanagementsysteem | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt. | Kwaliteitsmanagementsysteem | Aan het management worden evaluatierapportages verstrekt |
APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Kwaliteitsmanagementsysteem | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS |
APO_B.08.01 | Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
| Toegangsbeveiliging op programmacode | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
APO_B.08.02 | Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. | Toegangsbeveiliging op programmacode | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
APO_B.09.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Projectorganisatie | Taken van de beveiligingsfunctionaris |
APO_B.09.02 | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Projectorganisatie | Inzicht gegeven door de beveiligingsfunctionaris |
APO_C.01.01 | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software. | Richtlijn evaluatie-ontwikkelactiviteiten | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
APO_C.01.02 | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode. | Richtlijn evaluatie-ontwikkelactiviteiten | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
APO_C.01.03 | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten. | Richtlijn evaluatie-ontwikkelactiviteiten | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
APO_C.01.04 | De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijn evaluatie-ontwikkelactiviteiten | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen |
APO_C.01.05 | De quality assurance-methodiek wordt conform de richtlijnen nageleefd. | Richtlijn evaluatie-ontwikkelactiviteiten | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
APO_C.01.06 | De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Richtlijn evaluatie-ontwikkelactiviteiten | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
APO_C.01.07 | Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Richtlijn evaluatie-ontwikkelactiviteiten | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
APO_C.02.01 | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versiebeheer applicatieontwikkkeling | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris |
APO_C.02.02 | In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd. | Versiebeheer applicatieontwikkkeling | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
APO_C.02.03 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiebeheer applicatieontwikkkeling | Versiemanagement wordt ondersteund met procedures en werkinstructies |
APO_C.02.04 | Een versiebeheertool wordt toegepast die onder andere:
| Versiebeheer applicatieontwikkkeling | Ondersteuning vanuit het toegepaste versiebeheertool |
APO_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement applicatieontwikkeling | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
APO_C.03.02 | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement. | Patchmanagement applicatieontwikkeling | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
APO_C.03.03 | Het al dan niet uitvoeren van patches voor programmacode is geregistreerd. | Patchmanagement applicatieontwikkeling | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
APO_C.03.04 | Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement applicatieontwikkeling | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
APO_C.03.05 | Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Patchmanagement applicatieontwikkeling | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes |
APO_C.03.06 | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd. | Patchmanagement applicatieontwikkeling | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
APO_C.04.01 | Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd. | (Software)configuratiebeheer | Software configuratiescomponenten worden conform procedures vastgelegd |
APO_C.04.02 | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | (Software)configuratiebeheer | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
APO_C.04.03 | Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB). | (Software)configuratiebeheer | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB |
APO_C.05.01 | De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek. | Quality assurance | Het compliance management proces is gedocumenteerd en vastgesteld |
APO_C.05.02 | Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
| Quality assurance | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
APO_C.05.03 | De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
APO_C.05.04 | Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd. | Quality assurance | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
APO_C.06.01 | Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management. | Compliance-management | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
APO_C.06.02 | Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance-management | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
APO_C.07.01 | Bij verandering van besturingssystemen wordt onder andere het volgende getest:
| Technische beoordeling informatiesystemen | Testen bij verandering van besturingssystemen |
APO_C.08.01 | De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd. | Beheersorganisatie applicatieontwikkeling | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd |
APO_C.08.02 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie applicatieontwikkeling | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
APO_C.08.03 | De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie applicatieontwikkeling | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
APO_C.08.04 | De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie applicatieontwikkeling | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven |
APO_U.01.01 | Wijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD). | Wijzigingsbeheerprocedure voor applicaties en systemen | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
APO_U.01.02 | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren. | Wijzigingsbeheerprocedure voor applicaties en systemen | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
APO_U.01.03 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Wijzigingsbeheerprocedure voor applicaties en systemen | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
APO_U.01.04 | Enkele elementen van procedures voor wijzigingsbeheer zijn:
| Wijzigingsbeheerprocedure voor applicaties en systemen | Elementen van de procedures voor wijzigingsbeheer |
APO_U.02.01 | De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren. | Beperking software-installatie applicatieontwikkeling | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
APO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats met ‘least privilege’. | Beperking software-installatie applicatieontwikkeling | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
APO_U.02.03 | De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars. | Beperking software-installatie applicatieontwikkeling | De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars |
APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Richtlijn programmacode | De programmacode voor functionele specificaties is reproduceerbaar |
APO_U.03.02 | De (programma)code wordt aantoonbaar veilig gecreëerd. | Richtlijn programmacode | Programmacode wordt aantoonbaar veilig gecreëerd |
APO_U.03.03 | De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Richtlijn programmacode | Programmacode is effectief, veranderbaar en testbaar |
APO_U.03.04 | Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt. | Richtlijn programmacode | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt |
APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. | Richtlijn programmacode | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
APO_U.03.06 | Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem. | Richtlijn programmacode | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
APO_U.03.07 | Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn. | Richtlijn programmacode | Gebruik van programmacode uit externe programmabibliotheken |
APO_U.04.01 | De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp. | Analyse en specificatie informatiesysteem | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd |
APO_U.04.02 | Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden. | Analyse en specificatie informatiesysteem | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
APO_U.04.03 | Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris. | Analyse en specificatie informatiesysteem | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
APO_U.04.04 | Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode). | Analyse en specificatie informatiesysteem | Alle vereisten worden gevalideerd door peer review of prototyping |
APO_U.04.05 | Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd. | Analyse en specificatie informatiesysteem | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
APO_U.05.01 | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Analyse en specificatie informatiebeveiligingseisen | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
APO_U.05.02 | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | Analyse en specificatie informatiebeveiligingseisen | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
APO_U.05.03 | Informatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit:
| Analyse en specificatie informatiebeveiligingseisen | Informatiebeveiligingseisen |
APO_U.05.04 | Voor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
| Analyse en specificatie informatiebeveiligingseisen | Overwogen informatiebeveiligingseisen |
APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Applicatie-ontwerp | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
APO_U.06.02 | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
| Applicatie-ontwerp | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit. | Applicatie-ontwerp | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Applicatiefunctionaliteit | Bereikcontroles worden toegepast en gegevens worden gevalideerd |
APO_U.07.02 | Geprogrammeerde controles worden ondersteund. | Applicatiefunctionaliteit | Geprogrammeerde controles worden ondersteund |
APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Applicatiefunctionaliteit | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
APO_U.07.04 | Voorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar. | Applicatiefunctionaliteit | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail). | Applicatiefunctionaliteit | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
APO_U.07.06 | Opgeleverde/over te dragen gegevens worden gevalideerd. | Applicatiefunctionaliteit | Opgeleverde en over te dragen gegevens worden gevalideerd |
APO_U.07.07 | De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd. | Applicatiefunctionaliteit | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens |
APO_U.07.08 | Met vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Applicatiefunctionaliteit | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid. | Applicatiefunctionaliteit | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
APO_U.08.01 | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Applicatiebouw | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
APO_U.08.02 | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages. | Applicatiebouw | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
APO_U.08.03 | Voor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering). | Applicatiebouw | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
APO_U.08.04 | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Applicatiebouw | Geen gebruik van onveilig programmatechnieken |
APO_U.08.05 | De programmacode is beschermd tegen ongeautoriseerde wijzigingen. | Applicatiebouw | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd. | Applicatiebouw | Activiteiten van applicatiebouw worden gereviewd |
APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Applicatiebouw | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
APO_U.09.01 | Vanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules). | Testen systeembeveiliging | Functionarissen testen functionele requirements |
APO_U.09.02 | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | Testen systeembeveiliging | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
APO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd. | Systeemacceptatietest | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt. | Systeemacceptatietest | Van de resultaten van de testen wordt een verslag gemaakt |
APO_U.10.03 | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Systeemacceptatietest | Testresultaten worden formeel geëvalueerd en beoordeeld |
APO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Systeemacceptatietest | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
APO_U.10.05 | Voordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Systeemacceptatietest | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang |
APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Systeemacceptatietest | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
APO_U.10.07 | Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
| Systeemacceptatietest | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken |
APO_U.11.01 | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
| Beschermen testgegevens | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
APO_U.12.01 | Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Beveiligde ontwikkelomgeving | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
APO_U.12.02 | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces. | Beveiligde ontwikkelomgeving | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen |
APO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen. | Beveiligde ontwikkelomgeving | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen |
APO_U.12.04 | Voor remote-werkzaamheden is een werkwijze vastgelegd. | Beveiligde ontwikkelomgeving | Voor remote werkzaamheden is een werkwijze vastgelegd |
APO_U.12.05 | Ontwikkelaars hebben geen toegang tot de productieomgeving. | Beveiligde ontwikkelomgeving | Ontwikkelaars hebben geen toegang tot productieomgeving |
APO_U.12.06 | Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures. | Beveiligde ontwikkelomgeving | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen |
APO_U.12.07 | De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan. | Beveiligde ontwikkelomgeving | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats |
APO_U.12.08 | De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Beveiligde ontwikkelomgeving | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats |
APO_U.12.09 | De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | Beveiligde ontwikkelomgeving | De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
APO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen. | Applicatiekoppeling | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
APO_U.13.02 | Van het type koppelingen is een overzicht aanwezig. | Applicatiekoppeling | Van het type koppelingen is een overzicht aanwezig |
APO_U.13.03 | Koppelingen worden uitgevoerd via geautoriseerde opdrachten. | Applicatiekoppeling | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
APO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd. | Applicatiekoppeling | De uitgevoerde koppelingen worden geregistreerd |
APO_U.14.01 | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd. | Logging en monitoring applicatieontwikkeling | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
APO_U.14.02 | Informatie over autorisatie(s) wordt vastgelegd. | Logging en monitoring applicatieontwikkeling | Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
APO_U.14.03 | De loggegevens zijn beveiligd. | Logging en monitoring applicatieontwikkeling | De loggegevens zijn beveiligd |
APO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging en monitoring applicatieontwikkeling | De locatie van de vastlegging van de loggegevens is vastgesteld |
APO_U.14.05 | De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Logging en monitoring applicatieontwikkeling | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
APO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Logging en monitoring applicatieontwikkeling | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
APO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
| Applicatie-architectuur | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
APO_U.15.02 | Het architectuurdocument wordt actief onderhouden. | Applicatie-architectuur | Het architectuur document wordt actief onderhouden |
APO_U.15.03 | De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast. | Applicatie-architectuur | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
APO_U.15.04 | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Applicatie-architectuur | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
APO_U.15.05 | Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten). | Applicatie-architectuur | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar |
APO_U.15.06 | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk. | Applicatie-architectuur | De relatie tussen de persoonsgegevens is inzichtelijk |
APO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Tooling ontwikkelmethode | Het tool ondersteunt alle fasen van het ontwikkelproces |
APO_U.16.02 | Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Tooling ontwikkelmethode | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
APO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor versie- en releasebeheer |
APO_U.16.04 | Het tool beschikt over faciliteiten voor:
| Tooling ontwikkelmethode | Faciliteiten van het tool |
APO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
CLD_B.01.01 | De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten. | Wet- en regelgeving Clouddiensten | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
CLD_B.01.02 | De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen. | Wet- en regelgeving Clouddiensten | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
CLD_B.01.03 | De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). | Wet- en regelgeving Clouddiensten | Identificeren vereisten die van toepassing zijn |
CLD_B.01.04 | De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wet- en regelgeving Clouddiensten | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
CLD_B.01.05 | Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Wet- en regelgeving Clouddiensten | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
CLD_B.01.06 | De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Wet- en regelgeving Clouddiensten | Vaststellen alle van toepassing zijnde wet- en regelgeving |
CLD_B.02.01 | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
CLD_B.02.02 | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
| Cloudbeveiligingsstrategie | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
CLD_B.02.03 | De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
| Cloudbeveiligingsstrategie | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
CLD_B.03.01 | De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
| Exit-strategie clouddiensten | Vastleggen bepalingen over exit-regeling |
CLD_B.03.02 | De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie clouddiensten | Overgaan tot exit buiten verstrijken contractperiode |
CLD_B.04.01 | Het cloud-beveiligingsbeleid bevat:
| Clouddienstenbeleid | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
CLD_B.05.01 | De systeembeschrijving bevat de volgende aspecten:
| Transparantie | Bevatten diverse aspecten in systeembeschrijving |
CLD_B.05.02 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Transparantie | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
CLD_B.05.03 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden. | Transparantie | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
CLD_B.05.04 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten. | Transparantie | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
CLD_B.06.01 | De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
| Risicomanagement | Hebben CSP-verantwoordelijkheden |
CLD_B.06.02 | De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP). | Risicomanagement | Goedkeuren organisatie van risicomanagementproces |
CLD_B.06.03 | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagement | Beschrijven risicomanagementproces |
CLD_B.07.01 | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteit | Treffen maatregelen voor beveiliging IT-functionaliteiten |
CLD_B.07.02 | Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur. | IT-functionaliteit | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
CLD_B.07.03 | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteit | Bewaken en beheersen IT-infrastructuur |
CLD_B.07.04 | De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten. | IT-functionaliteit | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
CLD_B.07.05 | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | IT-functionaliteit | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
CLD_B.08.01 | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
CLD_B.08.02 | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
CLD_B.08.03 | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Bedrijfscontinuïteitsmanagement | Committeren aan vastgestelde BCM-vereisten |
CLD_B.08.04 | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Vaststellen en communiceren BCM- en BIA-beleid |
CLD_B.08.05 | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
CLD_B.08.06 | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
CLD_B.08.07 | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
CLD_B.08.08 | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
CLD_B.08.09 | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen |
CLD_B.09.01 | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Privacy en bescherming persoonsgegevens clouddiensten | Treffen maatregelen voor opslag, verwerking en transport van data |
CLD_B.09.02 | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Privacy en bescherming persoonsgegevens clouddiensten | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie |
CLD_B.09.03 | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Privacy en bescherming persoonsgegevens clouddiensten | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
CLD_B.09.04 | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Privacy en bescherming persoonsgegevens clouddiensten | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
CLD_B.09.05 | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Privacy en bescherming persoonsgegevens clouddiensten | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
CLD_B.09.06 | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Privacy en bescherming persoonsgegevens clouddiensten | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten |
CLD_B.09.07 | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Privacy en bescherming persoonsgegevens clouddiensten | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
CLD_B.09.08 | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Privacy en bescherming persoonsgegevens clouddiensten | Specificeren en documenteren opslag op welke locatie data |
CLD_B.10.01 | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Beveiligingsorganisatie clouddiensten | Bewerkstelligen en promoten cloudbeveiligingsbeleid |
CLD_B.10.02 | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie clouddiensten | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
CLD_B.10.03 | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Beveiligingsorganisatie clouddiensten | Geven positie van informatiebeveiligingsorganisatie binnen organisatie |
CLD_B.10.04 | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie clouddiensten | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
CLD_B.10.05 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie clouddiensten | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging |
CLD_B.10.06 | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie clouddiensten | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix |
CLD_B.10.07 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen |
CLD_B.10.08 | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages |
... meer resultaten |