Alle normen

Uit NORA Online
Versie door Jdirks2 (overleg | bijdragen) op 27 dec 2017 om 02:25 (Import ISOR)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Op deze pagina vind u alle Normen uit de NORA. Normen komen oorspronkelijk voort uit Alle normenkaders van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en zijn eind 2017 in de NORA toegevoegd als onderdeel van de ISOR (Information Security Object Repository). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORA Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Alle normen in de NORA[bewerken]

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen. De onderstaande tabel is te sorteren via kolomtitels en toont standaard de eerste 200 normen.

IDStellingRealiseertNorm
APO_B.01.01De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.Beleid voor (beveiligd) ontwikkelenDe gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
APO_B.01.02De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Beleid voor (beveiligd) ontwikkelenGrip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
APO_B.01.03In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  • beveiliging van de ontwikkelomgeving;
  • richtlijnen over de beveiliging in de levenscyclus van softwareontwikkeling:
    • beveiliging in de software-ontwikkelmethodologie;
    • beveiligde coderingsrichtlijnen voor elke gebruikte programmeertaal;
  • beveiligingseisen in de ontwikkelfase;
  • beveiligingscontrolepunten binnen de mijlpalen van het project;
  • beveiliging van de versiecontrole;
  • vereiste kennis over toepassingsbeveiliging;
  • het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Beleid voor (beveiligd) ontwikkelenOverwegingen bij het beleid voor beveiligd ontwikkelen van software
APO_B.01.04Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen.Beleid voor (beveiligd) ontwikkelenTechnieken voor beveiligd programmeren
APO_B.02.01Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).Systeem-ontwikkelmethodeSoftware wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
APO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Systeem-ontwikkelmethodeSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
APO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord.Systeem-ontwikkelmethodeAdoptie van ontwikkelmethodologie wordt gemonitord
APO_B.02.04Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van de ontwikkelde applicatie naar de productie-omgeving;
  • de training van softwareontwikkelaars.
    		• Systeem-ontwikkelmethodeSoftware wordt ontwikkelen conform standaarden en procedures
    APO_B.02.05De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet- en regelgeving inclusief privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit de business;
  • het classificatiemodel van de organisatie.
    		• Systeem-ontwikkelmethodeDe systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
    APO_B.02.06Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid;
  • het creëren van een risicoregister;
  • het registreren van belangrijke details in een bedrijfsapplicatieregister.
    		• Systeem-ontwikkelmethodeHet softwareontwikkeling wordt projectmatig aangepakt
    APO_B.03.01De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen.Classificatie van informatieDataclassificatie als uitgangspunt voor softwareontwikkeling
    APO_B.03.02De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Classificatie van informatieInformatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
    APO_B.03.03Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Classificatie van informatieBij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
    APO_B.03.04In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements.Classificatie van informatieVerplichtingen uit wet en regelgeving en organisatorische en technische requirements
    APO_B.04.01De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.Engineeringsprincipe voor beveiligde systemenSecurity by Design als uitgangspunt voor softwareontwikkeling
    APO_B.04.02Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
  • Defence in depth (beveiliging op verschillende lagen)
  • Secure by default
  • Default deny
  • Fail secure
  • Input van externe applicaties wantrouwen
  • Secure in deployment
  • Bruikbaarheid en beheersbaarheid
    		• Engineeringsprincipe voor beveiligde systemenPrincipes voor het beveiligen van informatiesystemen
    APO_B.04.03Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.Engineeringsprincipe voor beveiligde systemenBeveiliging is integraal onderdeel van systeemontwikkeling
    APO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen.Engineeringsprincipe voor beveiligde systemenOntwikkelaars zijn getraind om veilige software te ontwikkelen
    APO_B.05.01Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners, business- en IT-specialisten);
  • de scope van de risico-assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving.
    		• Business Impact Analyse (BIA)Perspectieven bij de Business Impact Analyse
    APO_B.05.02De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
    		• Business Impact Analyse (BIA)Scenario's voor de Business Impact Analyse
    APO_B.05.03Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • Verlies van orders en contracten en klanten
  • Verlies van tastbare assets
  • Onvoorziene kosten
  • Verlies van managementcontrol
  • Concurrentie
  • Late leveringen
  • Verlies van productiviteit
  • Compliance
  • Reputatie
    		• Business Impact Analyse (BIA)Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
    APO_B.06.01Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd.Privacy en bescherming persoonsgegevens applicatieontwikkelingGEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
    APO_B.06.02Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.Privacy en bescherming persoonsgegevens applicatieontwikkelingProcesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten
    APO_B.06.03Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen.Privacy en bescherming persoonsgegevens applicatieontwikkeling (ISOR:Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse))Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
    APO_B.06.04Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak.Privacy en bescherming persoonsgegevens applicatieontwikkelingPrivacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
    APO_B.06.05De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Privacy en bescherming persoonsgegevens applicatieontwikkelingRisicomanagement aanpak aantoonbaar toegepast
    APO_B.06.06Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd.Privacy en bescherming persoonsgegevens applicatieontwikkelingOp basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
    APO_B.07.01De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.KwaliteitsmanagementsysteemDe doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
    APO_B.07.02De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek.KwaliteitsmanagementsysteemDe doelorganisatie beschikt over QA- en KMS-methodiek
    APO_B.07.03De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.KwaliteitsmanagementsysteemDe ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
    APO_B.07.04Er zijn informatie- en communicatieprocessen ingericht.KwaliteitsmanagementsysteemVoor informatie- en communicatie zijn processen ingericht
    APO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd.KwaliteitsmanagementsysteemOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    APO_B.07.06Aan het management worden evaluatierapportages verstrekt.KwaliteitsmanagementsysteemAan het management worden evaluatierapportages verstrekt
    APO_B.07.07De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.KwaliteitsmanagementsysteemApplicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS
    APO_B.08.01Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
  • De broncodebibliotheken worden niet in operationele systemen opgeslagen.
  • De programmacode en de broncodebibliotheek behoren te worden beheerd conform vastgestelde procedures.
  • Ondersteunend personeel heeft geen onbeperkte toegang tot broncodebibliotheken.
  • Het updaten van de programmacode en samenhangende items en het verstrekken van de programmacode aan programmeurs vinden alleen plaats na ontvangst van een passend autorisatiebewijs.
  • Programma-uitdraaien worden in een beveiligde omgeving bewaard.
  • Van elke toegang tot broncodebibliotheken wordt een registratie bijgehouden in een auditlogbestand.
  • Onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    		• Toegangsbeveiliging op programmacodeOm de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
    APO_B.08.02Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen.Toegangsbeveiliging op programmacodeAanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
    APO_B.09.01De beveiligingsfunctionaris zorgt onder andere voor:
  • de actualisatie van beveiligingsbeleid;
  • een afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met onder andere de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen.
    		• ProjectorganisatieTaken van de beveiligingsfunctionaris
    APO_B.09.02De beveiligingsfunctionaris geeft onder andere inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoudsvoorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
    		• ProjectorganisatieInzicht gegeven door de beveiligingsfunctionaris
    APO_C.01.01De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.Richtlijn evaluatie-ontwikkelactiviteitenControle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
    APO_C.01.02De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.Richtlijn evaluatie-ontwikkelactiviteitenEvaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
    APO_C.01.03De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.Richtlijn evaluatie-ontwikkelactiviteitenControle richtlijnen die binnen de relevante beheerprocessen worden toegepast
    APO_C.01.04De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.Richtlijn evaluatie-ontwikkelactiviteitenHet kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
    APO_C.01.05De quality assurance-methodiek wordt conform de richtlijnen nageleefd.Richtlijn evaluatie-ontwikkelactiviteitenDe Quality Assurance methodiek wordt conform de richtlijnen nageleefd
    APO_C.01.06De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.Richtlijn evaluatie-ontwikkelactiviteitenControleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
    APO_C.01.07Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.Richtlijn evaluatie-ontwikkelactiviteitenHet applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
    APO_C.02.01Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.Versiebeheer applicatieontwikkkelingVersiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
    APO_C.02.02In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd.Versiebeheer applicatieontwikkkelingVersiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
    APO_C.02.03Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versiebeheer applicatieontwikkkelingVersiemanagement wordt ondersteund met procedures en werkinstructies
    APO_C.02.04Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals Ontwikkel, Test, Acceptatie en Productie (OTAP)) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
    		• Versiebeheer applicatieontwikkkelingOndersteuning vanuit het toegepaste versiebeheertool
    APO_C.03.01Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement applicatieontwikkelingPatchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
    APO_C.03.02De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement.Patchmanagement applicatieontwikkelingOntwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
    APO_C.03.03Het al dan niet uitvoeren van patches voor programmacode is geregistreerd.Patchmanagement applicatieontwikkelingHet al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
    APO_C.03.04Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Patchmanagement applicatieontwikkelingHet beheer van technische kwetsbaarheden in code uit externe bibliotheken
    APO_C.03.05Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.Patchmanagement applicatieontwikkelingInstalleren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
    APO_C.03.06Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd.Patchmanagement applicatieontwikkelingUpdates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
    APO_C.04.01Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd.(Software)configuratiebeheerSoftware configuratiescomponenten worden conform procedures vastgelegd
    APO_C.04.02De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.(Software)configuratiebeheerDe configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
    APO_C.04.03Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB).(Software)configuratiebeheerWijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
    APO_C.05.01De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek.Quality assuranceHet compliance management proces is gedocumenteerd en vastgesteld
    APO_C.05.02Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
  • het evalueren van de requirementsanalyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingscontrols (beleid, methoden en geprogrammeerde mechanismen voor de betrouwbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) zoals overeengekomen tijdens het risico-assessment zijn ontwikkeld en adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
    		• Quality assuranceDe noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
    APO_C.05.03De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.Quality assuranceRapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
    APO_C.05.04Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd.Quality assuranceToetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
    APO_C.06.01Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management.Compliance-managementDe Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
    APO_C.06.02Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (Algemene Verordening Gegevensbescherming (AVG), wet Computercriminaliteit, Encryptie e.d.) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van de wet- en regelgeving en het overeengekomen informatiebeveiligingsbeleid, de architectuur en de standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance-checks op wet- en regelgeving en overeengekomen beleid, architectuur en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen voor security-compliance in een autorisatiematrix.
    		• Compliance-managementGedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
    APO_C.07.01Bij verandering van besturingssystemen wordt onder andere het volgende getest:
  • de toepassingscontrole procedures;
  • het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
  • het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en invloed hebben op de beveiliging van de applicatie;
  • het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    		• Technische beoordeling informatiesystemenTesten bij verandering van besturingssystemen
    APO_C.08.01De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd.Beheersorganisatie applicatieontwikkelingDe samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
    APO_C.08.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beheersorganisatie applicatieontwikkelingDe belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
    APO_C.08.03De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Beheersorganisatie applicatieontwikkelingDe verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
    APO_C.08.04De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheersorganisatie applicatieontwikkelingDe taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven
    APO_U.01.01Wijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD).Wijzigingsbeheerprocedure voor applicaties en systemenVoor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
    APO_U.01.02Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren.Wijzigingsbeheerprocedure voor applicaties en systemenMedewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
    APO_U.01.03Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.Wijzigingsbeheerprocedure voor applicaties en systemenNieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
    APO_U.01.04Enkele elementen van procedures voor wijzigingsbeheer zijn:
  • Alle wijzigingsverzoeken/Request for Changes (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • Het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • Wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • Van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • Uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • Aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
    		• Wijzigingsbeheerprocedure voor applicaties en systemenElementen van de procedures voor wijzigingsbeheer
    APO_U.02.01De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren.Beperking software-installatie applicatieontwikkelingBeleid ten aanzien van het type software dat mag worden geïnstalleerd
    APO_U.02.02Het toekennen van rechten om software te installeren vindt plaats met ‘least privilege’.Beperking software-installatie applicatieontwikkelingHet toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
    APO_U.02.03De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars.Beperking software-installatie applicatieontwikkelingDe rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars
    APO_U.03.01De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops en gebruikte externe bronnen.
    		• Richtlijn programmacodeDe programmacode voor functionele specificaties is reproduceerbaar
    APO_U.03.02De (programma)code wordt aantoonbaar veilig gecreëerd.Richtlijn programmacodeProgrammacode wordt aantoonbaar veilig gecreëerd
    APO_U.03.03De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van bugs in de code;
  • het voorkomen van herintroductie van bugs in de code;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van development en operations (dev/ops) van applicatie (relatie tussen software-objecten);
  • het adequaat documenteren van software-interface, koppelingen en Application Programming Interfaces (API’s).
    		• Richtlijn programmacodeProgrammacode is effectief, veranderbaar en testbaar
    APO_U.03.04Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt.Richtlijn programmacodeOver het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt
    APO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models.Richtlijn programmacodeVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire
    APO_U.03.06Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem.Richtlijn programmacodeOntwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten
    APO_U.03.07Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn.Richtlijn programmacodeGebruik van programmacode uit externe programmabibliotheken
    APO_U.04.01De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp.Analyse en specificatie informatiesysteemFunctionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd
    APO_U.04.02Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden.Analyse en specificatie informatiesysteemHet Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden
    APO_U.04.03Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris.Analyse en specificatie informatiesysteemOp basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd
    APO_U.04.04Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode).Analyse en specificatie informatiesysteemAlle vereisten worden gevalideerd door peer review of prototyping
    APO_U.04.05Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd.Analyse en specificatie informatiesysteemAcceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
    APO_U.05.01Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO).Analyse en specificatie informatiebeveiligingseisenEen expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
    APO_U.05.02De Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.Analyse en specificatie informatiebeveiligingseisenDe Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
    APO_U.05.03Informatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit:
  • beleidsregels en wet- en regelgeving;
  • context- en kwetsbaarheidsanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
    		• Analyse en specificatie informatiebeveiligingseisenInformatiebeveiligingseisen
    APO_U.05.04Voor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatie eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen over beschikbaarheid, integriteit en vertrouwelijkheid;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
    		• Analyse en specificatie informatiebeveiligingseisenOverwogen informatiebeveiligingseisen
    APO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikers-, beveiligings- en kwaliteitseisen;
  • business-vereisten (onder andere nut, noodzaak en kosten);
  • eisen die voortvloeien uit risico-assessments, dreigingsanalyse en prioritering ervan en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen die voortvloeien uit de Business Impact Analyse (BIA) en Privacy Impact Assessment (PIA).
    		• Applicatie-ontwerpHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
    APO_U.06.02Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
  • mogelijke invoerbronnen voor data en connecties met andere applicaties (componenten);
  • connecties tussen modules binnen de applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
    		• Applicatie-ontwerpBij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
    APO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit.Applicatie-ontwerpHet ontwerp is mede gebaseerd op een beveiligingsarchitectuur
    APO_U.07.01Bereikcontroles worden toegepast en gegevens worden gevalideerd.ApplicatiefunctionaliteitBereikcontroles worden toegepast en gegevens worden gevalideerd
    APO_U.07.02Geprogrammeerde controles worden ondersteund.ApplicatiefunctionaliteitGeprogrammeerde controles worden ondersteund
    APO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaan.ApplicatiefunctionaliteitHet uitvoeren van onopzettelijke mutaties wordt tegengegaan
    APO_U.07.04Voorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar.ApplicatiefunctionaliteitVoorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar
    APO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail).ApplicatiefunctionaliteitVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar
    APO_U.07.06Opgeleverde/over te dragen gegevens worden gevalideerd.ApplicatiefunctionaliteitOpgeleverde en over te dragen gegevens worden gevalideerd
    APO_U.07.07De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd.ApplicatiefunctionaliteitControle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens
    APO_U.07.08Met vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.ApplicatiefunctionaliteitVoorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd
    APO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid.ApplicatiefunctionaliteitGegevens worden conform vastgestelde beveiligingsklasse gevalideerd
    APO_U.08.01Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt waarmee zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
    		• ApplicatiebouwVoor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld
    APO_U.08.02Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages.ApplicatiebouwVeilige methodes ter voorkoming van veranderingen in basis code of in software packages
    APO_U.08.03Voor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering).ApplicatiebouwVoor het creëren van programma code wordt gebruik gemaakt van good practices
    APO_U.08.04Het gebruik van onveilig programmatechnieken is niet toegestaan.ApplicatiebouwGeen gebruik van onveilig programmatechnieken
    APO_U.08.05De programmacode is beschermd tegen ongeautoriseerde wijzigingen.Applicatiebouw(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
    APO_U.08.06Activiteiten van applicatiebouw worden gereviewd.ApplicatiebouwActiviteiten van applicatiebouw worden gereviewd
    APO_U.08.07De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.ApplicatiebouwDe ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
    APO_U.09.01Vanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules).Testen systeembeveiligingFunctionarissen testen functionele requirements
    APO_U.09.02De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.Testen systeembeveiligingIn de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek
    APO_U.10.01Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd.SysteemacceptatietestVoor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt
    APO_U.10.02Van de resultaten van de testen wordt een verslag gemaakt.SysteemacceptatietestVan de resultaten van de testen wordt een verslag gemaakt
    APO_U.10.03Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.SysteemacceptatietestTestresultaten worden formeel geëvalueerd en beoordeeld
    APO_U.10.04Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving.SysteemacceptatietestAcceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving
    APO_U.10.05Voordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.SysteemacceptatietestVastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang
    APO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.SysteemacceptatietestTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens
    APO_U.10.07Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
  • het testen van de functionele requirements;
  • het testen van de business rules voor de betrokken bedrijfsprocessen;
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
    		• SysteemacceptatietestBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken
    APO_U.11.01De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatie verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
    		• Beschermen testgegevensRichtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen
    APO_U.12.01Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Beveiligde ontwikkelomgevingUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
    APO_U.12.02De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces.Beveiligde ontwikkelomgevingLogisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
    APO_U.12.03De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen.Beveiligde ontwikkelomgevingDe taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
    APO_U.12.04Voor remote-werkzaamheden is een werkwijze vastgelegd.Beveiligde ontwikkelomgevingVoor remote werkzaamheden is een werkwijze vastgelegd
    APO_U.12.05Ontwikkelaars hebben geen toegang tot de productieomgeving.Beveiligde ontwikkelomgevingOntwikkelaars hebben geen toegang tot productieomgeving
    APO_U.12.06Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures.Beveiligde ontwikkelomgevingOverdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
    APO_U.12.07De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan.Beveiligde ontwikkelomgevingDe overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
    APO_U.12.08De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats.Beveiligde ontwikkelomgevingDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
    APO_U.12.09De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.Beveiligde ontwikkelomgevingDe overdracht naar de Productieomgeving vindt gecontroleerd plaats
    APO_U.13.01Koppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen.ApplicatiekoppelingKoppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
    APO_U.13.02Van het type koppelingen is een overzicht aanwezig.ApplicatiekoppelingVan het type koppelingen is een overzicht aanwezig
    APO_U.13.03Koppelingen worden uitgevoerd via geautoriseerde opdrachten.ApplicatiekoppelingKoppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
    APO_U.13.04De uitgevoerde koppelingen worden geregistreerd.ApplicatiekoppelingDe uitgevoerde koppelingen worden geregistreerd
    APO_U.14.01Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd.Logging en monitoring applicatieontwikkelingVastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
    APO_U.14.02Informatie over autorisatie(s) wordt vastgelegd.Logging en monitoring applicatieontwikkelingInformatie ten aanzien van autorisatie(s) wordt vastgelegd
    APO_U.14.03De loggegevens zijn beveiligd.Logging en monitoring applicatieontwikkelingDe loggegevens zijn beveiligd
    APO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteld.Logging en monitoring applicatieontwikkelingDe locatie van de vastlegging van de loggegevens is vastgesteld
    APO_U.14.05De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.Logging en monitoring applicatieontwikkelingDe applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
    APO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.Logging en monitoring applicatieontwikkelingDe frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
    APO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
    		• Applicatie-architectuurDe architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld
    APO_U.15.02Het architectuurdocument wordt actief onderhouden.Applicatie-architectuurHet architectuur document wordt actief onderhouden
    APO_U.15.03De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast.Applicatie-architectuurDe voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast
    APO_U.15.04Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.Applicatie-architectuurSamenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten
    APO_U.15.05Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten).Applicatie-architectuurDat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar
    APO_U.15.06De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk.Applicatie-architectuurDe relatie tussen de persoonsgegevens is inzichtelijk
    APO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages.Tooling ontwikkelmethodeHet tool ondersteunt alle fasen van het ontwikkelproces
    APO_U.16.02Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.Tooling ontwikkelmethodeFramework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
    APO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheer.Tooling ontwikkelmethodeHet tool beschikt over faciliteiten voor versie- en releasebeheer
    APO_U.16.04Het tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
    		• Tooling ontwikkelmethodeFaciliteiten van het tool
    APO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen.Tooling ontwikkelmethodeHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen
    CLD_B.01.01De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten.Wet- en regelgeving ClouddienstenInformeren welke wet- en regelgeving van toepassing is op clouddiensten
    CLD_B.01.02De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen.Wet- en regelgeving ClouddienstenSelecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
    CLD_B.01.03De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).Wet- en regelgeving ClouddienstenIdentificeren vereisten die van toepassing zijn
    CLD_B.01.04De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Wet- en regelgeving ClouddienstenVoorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
    CLD_B.01.05Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Wet- en regelgeving ClouddienstenTreffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
    CLD_B.01.06De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Wet- en regelgeving ClouddienstenVaststellen alle van toepassing zijnde wet- en regelgeving
    CLD_B.02.01De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt.
    		• CloudbeveiligingsstrategieAangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
    CLD_B.02.02De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
  • geeft onder andere aan hoe zij Cloud Service Consumers (CSC’s) tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie.
    		• CloudbeveiligingsstrategieAangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
    CLD_B.02.03De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloud-beveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
    		• CloudbeveiligingsstrategieOndersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
    CLD_B.03.01De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie conformiteitsindicator Condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn geeft voldoende tijd om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
    		• Exit-strategie clouddienstenVastleggen bepalingen over exit-regeling
    CLD_B.03.02De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
  • Contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de Cloud Service Provider (CSP) van de Service Level Agreement (SLA);
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of-life van clouddienst(en);
    • achterwege blijvende features.
    		• Exit-strategie clouddienstenOvergaan tot exit buiten verstrijken contractperiode
    CLD_B.04.01Het cloud-beveiligingsbeleid bevat:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services;
    • communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy-maatregelen op wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van de CSC;
    • toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services;
    • toegang tot en protectie van de data van de CSC;
    • levenscyclusmanagement van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
    		• ClouddienstenbeleidBevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
    CLD_B.05.01De systeembeschrijving bevat de volgende aspecten:
  • typen en scope van clouddiensten weergegeven met Service Level Agreements (SLA’s);
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de Cloud Service Provider (CSP) en Cloud Service Consumer (CSC), inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.
    		• TransparantieBevatten diverse aspecten in systeembeschrijving
    CLD_B.05.02De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.TransparantieSLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
    CLD_B.05.03De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden.TransparantieSLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
    CLD_B.05.04De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten.TransparantieSLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
    CLD_B.06.01De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
  • ontwikkelen van het risicomanagementproces voor informatiebeveiliging dat toegespitst is op de omgeving van de CSP;
  • identificeren van analyses van de stakeholders;
  • definiëren van de rollen en verantwoordelijkheden van in- en externe partijen;
  • vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders en de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
    		• RisicomanagementHebben CSP-verantwoordelijkheden
    CLD_B.06.02De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP).RisicomanagementGoedkeuren organisatie van risicomanagementproces
    CLD_B.06.03Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.RisicomanagementBeschrijven risicomanagementproces
    CLD_B.07.01Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.IT-functionaliteitTreffen maatregelen voor beveiliging IT-functionaliteiten
    CLD_B.07.02Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur.IT-functionaliteitTreffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
    CLD_B.07.03De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.IT-functionaliteitBewaken en beheersen IT-infrastructuur
    CLD_B.07.04De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten.IT-functionaliteitInrichten infrastructuur met betrouwbare hardware- en software-componenten
    CLD_B.07.05Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.IT-functionaliteitHebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
    CLD_B.08.01De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.BedrijfscontinuïteitsmanagementBenoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
    CLD_B.08.02De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.BedrijfscontinuïteitsmanagementZeker stellen adequate resources voor uitvoeren van BCM-proces
    CLD_B.08.03Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten.BedrijfscontinuïteitsmanagementCommitteren aan vastgestelde BCM-vereisten
    CLD_B.08.04Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd.BedrijfscontinuïteitsmanagementVaststellen en communiceren BCM- en BIA-beleid
    CLD_B.08.05Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere Cloud Service Providers (CSP's) of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatie van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
    		• BedrijfscontinuïteitsmanagementDocumenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
    CLD_B.08.06De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
  • definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor de review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
    		• BedrijfscontinuïteitsmanagementBeschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    CLD_B.08.07Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.BedrijfscontinuïteitsmanagementVerifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    CLD_B.08.08Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen.BedrijfscontinuïteitsmanagementBesteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    CLD_B.08.09De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.BedrijfscontinuïteitsmanagementVeiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
    CLD_B.09.01Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Privacy en bescherming persoonsgegevens clouddienstenTreffen maatregelen voor opslag, verwerking en transport van data
    CLD_B.09.02Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie.Privacy en bescherming persoonsgegevens clouddienstenTreffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
    CLD_B.09.03Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie.Privacy en bescherming persoonsgegevens clouddienstenToekennen classificatie aan data en middelen waarin/waarop zich data bevindt
    CLD_B.09.04Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Privacy en bescherming persoonsgegevens clouddienstenClassificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
    CLD_B.09.05De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten.Privacy en bescherming persoonsgegevens clouddienstenToepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
    CLD_B.09.06Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Privacy en bescherming persoonsgegevens clouddienstenVaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
    CLD_B.09.07In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Privacy en bescherming persoonsgegevens clouddienstenVastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
    CLD_B.09.08De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Privacy en bescherming persoonsgegevens clouddienstenSpecificeren en documenteren opslag op welke locatie data
    CLD_B.10.01De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
  • ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid;
  • ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • definiëren van een set beveiligingsdiensten;
  • coördineren van beveiliging door de gehele organisatie;
  • monitoren van de effectiviteit van clouddienstreglementen;
  • bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
    		• Beveiligingsorganisatie clouddienstenBewerkstelligen en promoten cloudbeveiligingsbeleid
    CLD_B.10.02De beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • activiteiten van cloud-risicoassessment;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiligen van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
    		• Beveiligingsorganisatie clouddienstenVoorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
    CLD_B.10.03De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven.Beveiligingsorganisatie clouddienstenGeven positie van informatiebeveiligingsorganisatie binnen organisatie
    CLD_B.10.04De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.Beveiligingsorganisatie clouddienstenBenoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    CLD_B.10.05De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Beveiligingsorganisatie clouddienstenToewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    CLD_B.10.06De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beveiligingsorganisatie clouddienstenVastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    CLD_B.10.07De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Beveiligingsorganisatie clouddienstenVaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    CLD_B.10.08Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Beveiligingsorganisatie clouddienstenVaststellen type, frequentie en eisen voor inhoudelijke rapportages
    ... meer resultaten

    Nederlandse Overheid Referentie Architectuur.

    Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

    Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

    Betekenisvolle gegevens.

    Betekenisvolle gegevens.

    Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

    Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Houdt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is.

    Overgenomen van "https://www.noraonline.nl/index.php?title=Alle_normen&oldid=25064"