Overige standaarden

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 1 feb 2023 om 15:56 (Met navigatiemenu Over Standaarden)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

NORA neemt alle Open Standaarden die op de lijsten (Pas toe of leg uit en Aanbevolen) van het Forum Standaardisatie staan over op noraonline. ie FAQ Standaarden Lijsten Forum voor meer informatie hoe standaarden opgenomen worden in hun lijsten.

Daarnaast nemen wij ook andere (open) standaarden op, wanneer het toepassen van deze standaarden:

 • Bijdraagt aan de interoperabiliteit
 • Bijdraagt aan een betere kwaliteit digitale dienstverlening
 • Bijdraagt aan een goede aanpak van een actueel NORA-Thema of onderwerp, zoals Duurzame Toegankelijkheid.

Mis jij een standaard in onze lijsten en wil je deze laten toevoegen? Neem even contact op via nora@ictu.nl

Alle standaarden op noraonline die NIET op de lijsten van het Forum staan[bewerken]

Actuele standaarden[bewerken]

StandaardBeschrijving
ADMS (Asset Description Metadata Schema)ADMS (Asset Description Metadata Schema) is een verbindende standaard die in andere standaarden wordt toegepast waaronder o.a. DCAT (ADMS is het toepassingsprofiel van DCAT). ADMS is een gestandaardiseerd metadata woordenboek om beheerders van standaarden te laten documenteren waar de standaarden over gaan en waar ze kunnen worden gevonden op het web. Oftewel, DCAT beschrijft de datasets en ADMS beschrijft de standaarden en waar ze te vinden zijn. Hiermee zijn deze standaarden een aanvulling op elkaar.
ArchiMateEen beschrijvingstaal voor enterprise-architecturen.
BOMOSEen standaard model voor het beheer en ontwikkelen van open standaarden. Dit model is ook toe te passen voor (referentie)architecturen, afsprakenstelsels en voorzieningen.
BSI-Standard 200-2 - IT-Grundschutz-MethodologyMet BSI-Standard 200-2 biedt Bundesamt für Sicherheit in der Informationstechnik (BSI) een methodologie voor effectief beheer van informatiebeveiliging. Dit kan worden aangepast aan de eisen van organisaties van verschillende soorten en maten. In BSI-Standard 200-2 wordt dit geïmplementeerd via de drie methodieken:
 1. Standard Protection
 2. Basic Protection
 3. Core Protection
CCTS (Core Component Technical Specification)A cornerstone of the UN/CEFACT standardisation activities is the Core Component Technical Specification (CCTS). Core Components are the syntax-neutral and technology-independent building blocks that can be used for data modeling. Major benefits of CCTS include improved reuse of existing data artifacts, improved enterprise interoperability, and consistency across vertical industry standards. (bron: wikipedia)
Cloud Computing Compliance Criteria Catalogue - C5:2020De catalogus met nalevingscriteria voor cloudcomputing (C5) definieert een basisbeveiligingsniveau voor cloudcomputing. Het wordt gebruikt door professionele cloudserviceproviders, auditors en cloudklanten.


Het Bundesamt für Sicherheit in der Informationstechnik (BSI) introduceerde C5 voor het eerst in 2016. Sindsdien is de criteriacatalogus snel ontstaan en heeft deze nu een brede marktpenetratie: BSI kent meer dan een dozijn C5-attesten op nationale, Europese en wereldwijde cloudserviceproviders die een breed scala aan cloudservices dekken. Naast grote cloudserviceproviders passen inmiddels ook middelgrote en kleine providers de catalogus toe. De criteriacatalogus ondersteunt klanten bij het selecteren, controleren en monitoren van hun cloudserviceproviders. De bijbehorende rapportages leggen de basis voor een gedegen risicobeoordeling.

In 2019 werd de catalogus grondig herwerkt, aangepast aan nieuwe ontwikkelingen en de kwaliteit verder verhoogd.
DUTO (Normenkader Duurzaam Toegankelijke Overheidsinformatie)DUTO is een raamwerk waarmee overheidsorganisaties kunnen bepalen welke passende maatregelen ze moeten nemen voor de duurzame toegankelijkheid van hun informatie. DUTO is een norm die is bedoeld voor alle informatieprofessionals die betrokken zijn bij het ontwerpen, kopen, bouwen, inrichten en/of aanpassen van informatiesystemen.
DoD 5015.2-STD:2007 Electronic Records Management Software Applications Design Criteria StandardElectronic Records Management Software applications design criteria Standard DoD 5015.2-STD definieert functionele eisen voor recordsmanagement software en is goedgekeurd door het Nationale archief van de VS. De standaard is ontwikkeld en wordt onderhouden door het Amerikaanse ministerie van Defensie en wordt gebruikt door vele staten en lagere overheden in de VS. Onder de standaard functioneert een uitgebreid certificatieprogramma voor recordsmanagement software en vele (internationale) pakketten zijn inmiddels gecertificeerd. Van de standaard is ook een Nederlandse bewerkte vertaling beschikbaar.
Dublin Core metadata element setWereldwijde set algemene standaarden en richtlijnen voor metadatering van content op internet, ontwikkeld en beheerd door het Dublin Core Metadata Initiative. Het DCMI is een internationale open community van experts en geïnteresseerden in metadata.
EAC-CPF (Encoded Archival Context for Corporate Bodies, Persons, and Families)EAC is een datamodel in XML, voor de toepassing van ISAAR(CPF)en voorziet in een grammatica voor het coderen van de namen van de makers van archiefmateriaal en gerelateerde informatie.
EAD (Encoded Archival Description)EAD is een datamodel in XML, voor de toepassing van ISAD(G), dat is ontwikkeld voor het maken, opslaan, publiceren, koppelen en uitwisselen van archiefbeschrijvingen.
IEEE 802.x (Port-based Network Access Control )
INSPIRE (standaard)De Europese richtlijn INSPIRE zorgt ervoor dat we milieugerelateerde geo-informatie van alle Europese lidstaten kunnen zoeken, bekijken en downloaden van achter onze computer.
ISAAR(CPF)Internationale Norm voor Archivistische Geautoriseerde Beschrijvingen van Organisaties, Personen en Families. Deze norm verschaft richtlijnen voor het maken van archivistische geautoriseerde beschrijvingen van entiteiten (organisaties, personen en families) betrokken bij de vorming en het beheer van archieven.
ISAD(G): General International Standard Archival DescriptionAlgemene Internationale Norm voor Archivistisch Beschrijven, uitgegeven door de ICA.Deze norm verschaft algemene richtlijnen voor het maken van archivistische beschrijvingen. Hij dient te worden gebruikt in combinatie met bestaande nationale normen of als basis voor de ontwikkeling van nationale standaarden.
ISO 42010Richtlijnen voor het beschrijven van architectuur van systemen en software en de kaders voor die architecturen
NEN-EN-ISO 22313:2020 (Richtlijnen voor het gebruik van ISO 22301)Dit document geeft richtlijnen en aanbevelingen voor het toepassen van de eisen van het bedrijfscontinuïteitsmanagementsysteem (BCMS) die worden gegeven in ISO 22301. De richtlijnen en aanbevelingen zijn gebaseerd op goede internationale praktijkvoorbeelden.
NEN-EN-ISO 50001:2018 (Energiemanagementsystemen - Eisen met gebruiksrichtlijnen)NEN-EN-ISO 50001 specificeert eisen voor het inrichten, implementeren, onderhouden en verbeteren van een energiemanagementsysteem (EnMS). Het beoogde resultaat is de organisatie in staat stellen een systematische benadering te volgen om continue verbetering van de energieprestaties en het EnMS te bereiken. Dit document:
 1. is van toepassing op elke organisatie ongeacht type, omvang, complexiteit, geografische locatie, organisatiecultuur of de producten en diensten die zij levert;
 2. is van toepassing op activiteiten die van invloed zijn op energieprestaties die door de organisatie beheerd en beheerst worden;
 3. is van toepassing ongeacht de hoeveelheid, het gebruik of de soorten verbruikte energie;
 4. vereist dat continue verbetering van de energieprestaties wordt aangetoond, maar definieert geen te realiseren niveaus van verbetering van de energieprestaties;
 5. kan zelfstandig worden gebruikt of worden afgestemd op of geïntegreerd in andere managementsystemen.
NEN-EN-ISO/IEC 27018:2020 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)Deze standaard specificeert met name richtlijnen op basis van ISO/IEC 27002, waarbij rekening wordt gehouden met de wettelijke vereisten voor de bescherming van PII die van toepassing kunnen zijn in de context van de informatiebeveiligingsrisico-omgeving(en) van een aanbieder van openbare clouddiensten.


Deze standaard is van toepassing op alle soorten en maten organisaties, inclusief openbare en particuliere bedrijven, overheidsinstanties en non-profitorganisaties, die onder contract aan andere organisaties informatieverwerkingsdiensten leveren als PII-verwerkers via cloud computing. De richtlijnen in deze internationale norm kunnen ook relevant zijn voor organisaties die optreden als PII-controllers; PII-beheerders kunnen echter onderworpen zijn aan aanvullende wetgeving, voorschriften en verplichtingen inzake PII-bescherming, die niet van toepassing zijn op PII-verwerkers. Deze internationale norm is niet bedoeld om dergelijke aanvullende verplichtingen te dekken.
NEN-EN-ISO/IEC 27040:2016 (Storage security)Opslagbeveiliging is van toepassing op de bescherming (beveiliging) van informatie waar deze is opgeslagen en op de beveiliging van de informatie die wordt overgedragen via de communicatieverbindingen die verband houden met opslag.


Opslagbeveiliging omvat de beveiliging van apparaten en media, de beveiliging van beheeractiviteiten met betrekking tot de apparaten en media, de beveiliging van applicaties en diensten, en beveiliging die relevant is voor eindgebruikers tijdens de levensduur van apparaten en media en na het einde van het gebruik.


Opslagbeveiliging is relevant voor iedereen die betrokken is bij het bezitten, exploiteren of gebruiken van apparaten, media en netwerken voor gegevensopslag. Dit omvat senior managers, verkrijgers van opslagproducten en -diensten en andere niet-technische managers of gebruikers, naast managers en beheerders die specifieke verantwoordelijkheden hebben voor informatiebeveiliging of opslagbeveiliging, opslagbeheer, of die verantwoordelijk zijn voor de algehele beveiliging van een organisatie ontwikkeling van programma's en veiligheidsbeleid. Het is ook relevant voor iedereen die betrokken is bij de planning, het ontwerp en de implementatie van de architecturale aspecten van de beveiliging van opslagnetwerken.
NEN-ISO 27033-1 (Network security - Overview and concepts)
NEN-ISO/IEC 17788:2014 (Cloud computing - Overview and vocabulary)Deze standaard is een terminologiebasis voor cloudcomputingstandaarden. Deze internationale norm van aanbeveling is van toepassing op alle soorten organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties).
NEN-ISO/IEC 17789:2014 (Cloud computing - Reference architecture)De referentiearchitectuur omvat de cloud computing-rollen, cloud computing-activiteiten en de functionele componenten voor cloudcomputing en hun relaties.
NEN-ISO/IEC 18033-1:2015 (IT Security techniques - Encryption algorithms - General)NEN-ISO/IEC 18033-1 is algemeen van aard en geeft definities die van toepassing zijn in volgende delen van deze internationale norm. De aard van encryptie wordt geïntroduceerd en bepaalde algemene aspecten van het gebruik en de eigenschappen ervan worden beschreven. De criteria die worden gebruikt om de algoritmen te selecteren die in de volgende delen van deze internationale norm worden gespecificeerd, zijn gedefinieerd in bijlagen A en B.
NEN-ISO/IEC 18033-2:2006 (IT Security techniques - Encryption algorithms - Asymmetric ciphers)Dit deel van ISO/IEC 18033 specificeert verschillende asymmetrische cijfers. Deze specificaties schrijven de functionele interfaces en correcte methoden voor het gebruik van dergelijke versleutelingen in het algemeen voor, evenals de precieze functionaliteit en het versleutelde tekstformaat voor verschillende specifieke asymmetrische versleutelingen (hoewel conforme systemen ervoor kunnen kiezen om alternatieve formaten te gebruiken voor het opslaan en verzenden van versleutelde teksten) . Een normatieve bijlage (Annex A) geeft ASN.1-syntaxis voor object-ID's, openbare sleutels en parameterstructuren die moeten worden geassocieerd met de algoritmen die zijn gespecificeerd in dit deel van ISO/IEC 18033. Deze specificaties schrijven echter geen protocollen voor voor het op betrouwbare wijze verkrijgen van een openbare sleutel, voor het bewijs van bezit van een privésleutel, of voor validatie van openbare of privésleutels; zie ISO/IEC 11770-3 voor richtlijnen over dergelijke belangrijke managementkwesties. De asymmetrische cijfers die in dit deel van ISO/IEC 18033 worden gespecificeerd, worden aangegeven in clausule 7.6.
NEN-ISO/IEC 18033-4:2012 (IT Security techniques - Encryption algorithms - Stream ciphers )Dit deel van ISO/IEC 18033 specificeert:
 1. uitvoerfuncties om een keystream te combineren met leesbare tekst;
 2. keystream-generators voor het produceren van keystream;
 3. object-ID's die zijn toegewezen aan speciale keystream-generators in overeenstemming met ISO/IEC 9834.
NEN-ISO/IEC 18033-5:2015 (IT Security techniques - Encryption algorithms - Identity-based ciphers)NEN-ISO/IEC 18033-5 specificeert op identiteit gebaseerde versleutelingsmechanismen. Voor elk mechanisme worden de functionele interface, de precieze werking van het mechanisme en het cijfertekstformaat gespecificeerd. Conforme systemen kunnen echter alternatieve formaten gebruiken voor het opslaan en verzenden van cijferteksten.
NEN-ISO/IEC 19086-1:2016 (Service level agreement (SLA) framework - Part 1: Overview and concepts)NEN-ISO/IEC 19086-1 streeft naar het vaststellen van een set gemeenschappelijke cloud SLA-bouwstenen (concepten, termen, definities, contexten) die kunnen worden gebruikt om cloud Service Level Agreements (SLA's) te creëren. Dit document specificeert:
 • een overzicht van cloud-SLA's;
 • identificatie van de relatie tussen de cloudserviceovereenkomst en de cloud-SLA;
 • concepten die kunnen worden gebruikt om cloud-SLA's te bouwen;
 • termen die vaak worden gebruikt in cloud-SLA's.

 • Dit document is bedoeld voor het voordeel en het gebruik van zowel cloudserviceproviders als cloudserviceklanten. Het doel is om verwarring te voorkomen en een gemeenschappelijk begrip tussen cloudserviceproviders en cloudserviceklanten te bevorderen. Cloudserviceovereenkomsten en de bijbehorende cloud-SLA's variëren tussen cloudserviceproviders, en in sommige gevallen kunnen verschillende cloudserviceklanten verschillende contractvoorwaarden onderhandelen met dezelfde cloudserviceprovider voor dezelfde cloudservice. Dit document is bedoeld om klanten van cloudservices te helpen bij het vergelijken van cloudservices van verschillende cloudserviceproviders. Dit document biedt geen standaardstructuur die kan worden gebruikt voor een cloud-SLA of een standaardset van doelstellingen voor cloudserviceniveau (SLO's) en kwalitatieve doelstellingen voor cloudservices (SQO's) die van toepassing zijn op alle cloudservices of alle cloudserviceproviders. Deze aanpak biedt cloudserviceproviders flexibiliteit bij het afstemmen van hun cloud-SLA's op de specifieke kenmerken van de aangeboden cloudservices. Dit document vervangt geen enkele wettelijke vereiste.
  NEN-ISO/IEC 19941:2017 (Information technology - Cloud computing - Interoperability and portability)NEN-ISO/IEC 19941 specificeert interoperabiliteit en portabiliteitstypen voor cloudcomputing, de relatie en interacties tussen deze twee transversale aspecten van cloudcomputing en algemene terminologie en concepten die worden gebruikt om interoperabiliteit en portabiliteit te bespreken, met name met betrekking tot clouddiensten.


  Dit document heeft betrekking op andere normen, namelijk ISO/IEC 17788, ISO/IEC 17789, ISO/IEC 19086-1, ISO/IEC 19944, en verwijst in het bijzonder naar de transversale aspecten en componenten die zijn geïdentificeerd in ISO/IEC 17788 en ISO/IEC 17789 respectievelijk.


  Het doel van dit document is ervoor te zorgen dat alle partijen die betrokken zijn bij cloud computing, met name Cloud Service Consumers (CSC's), (Cloud Service Providers (CSP's) en cloudservicepartners (CSN's) die optreden als cloudserviceontwikkelaars, een gemeenschappelijk begrip hebben van interoperabiliteit en portabiliteit voor hun specifieke behoeften. Dit gemeenschappelijke begrip helpt om interoperabiliteit en draagbaarheid in cloud computing te bereiken door gemeenschappelijke terminologie en concepten vast te stellen.
  NEN-ISO/IEC 25010:2011 (Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models)Deze internationale norm definieert:
  1. een gebruikskwaliteitsmodel dat bestaat uit vijf kenmerken (waarvan sommige verder zijn onderverdeeld in subkenmerken) die betrekking hebben op de uitkomst van interactie wanneer een product wordt gebruikt in een bepaalde gebruikscontext. Dit systeemmodel is toepasbaar op het volledige mens-computersysteem, inclusief zowel gebruikte computersystemen als gebruikte softwareproducten.
  2. Een productkwaliteitsmodel bestaande uit acht kenmerken (die verder zijn onderverdeeld in subkenmerken) die betrekking hebben op statische eigenschappen van software en dynamische eigenschappen van het computersysteem. Het model is toepasbaar op zowel computersystemen als softwareproducten. De kenmerken die door beide modellen worden gedefinieerd, zijn relevant voor alle softwareproducten en computersystemen. De kenmerken en subkenmerken bieden consistente terminologie voor het specificeren, meten en evalueren van systeem- en softwareproductkwaliteit. Ze bieden ook een reeks kwaliteitskenmerken waarmee de gestelde kwaliteitseisen op volledigheid kunnen worden vergeleken.
  NEN-ISO/IEC 27003:2017 (Security techniques - Information security management systems - Guidance)
  NEN-ISO/IEC 27005:2018 (Information security risk management)Deze standaard geeft richtlijnen voor het beheer van informatiebeveiligingsrisico's. Dit document ondersteunt de algemene concepten die zijn gespecificeerd in ISO/IEC 27001 en is ontworpen om de bevredigende implementatie van informatiebeveiliging op basis van een risicobeheerbenadering. Kennis van de concepten, modellen, processen en terminologieën beschreven in ISO/IEC 27001 en ISO/IEC 27002 is belangrijk voor een volledig begrip van dit document.
  NEN-ISO/IEC 27021:2017 (Competence requirements for information security management systems professionals)NEN-ISO/IEC 27021 specificeert de competentie-eisen voor Information Security Management systemen (ISMS)-professionals.
  NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts)NEN-ISO/IEC 27033-1 geeft een overzicht van netwerkbeveiliging en gerelateerde definities. Het definieert en beschrijft de concepten die verband houden met, en biedt managementrichtlijnen voor netwerkbeveiliging.


  Het is relevant voor iedereen die betrokken is bij het bezitten, exploiteren of gebruiken van een netwerk. Dit omvat senior managers en andere niet-technische managers of gebruikers, naast managers en beheerders die specifieke verantwoordelijkheden hebben voor informatiebeveiliging en/of netwerkbeveiliging, netwerkbeheer, of die verantwoordelijk zijn voor het algehele beveiligingsprogramma en de ontwikkeling van het beveiligingsbeleid van een organisatie. Het is ook relevant voor iedereen die betrokken is bij de planning, het ontwerp en de implementatie van de architecturale aspecten van netwerkbeveiliging.


  Dit deel van ISO/IEC 27033 omvat ook het volgende:

  • biedt richtlijnen voor het identificeren en analyseren van netwerkbeveiligingsrisico's en de definitie van netwerkbeveiligingsvereisten op basis van die analyse;
  • biedt een overzicht van de controles die netwerktechnische beveiligingsarchitecturen ondersteunen en gerelateerde technische controles, evenals die niet-technische controles en technische controles die niet alleen van toepassing zijn op netwerken;
  • introduceert hoe u een netwerktechnische beveiligingsarchitecturen van goede kwaliteit kunt bereiken, en de risico-, ontwerp- en controleaspecten die verband houden met typische netwerkscenario's en netwerk "technologie"-gebieden (die in de volgende delen van ISO/IEC 27033 in detail worden behandeld), en gaan in het kort in op de problemen die verband houden met het implementeren en uitvoeren van netwerkbeveiligingscontroles, en de voortdurende bewaking en beoordeling van hun implementatie. Over het algemeen biedt het een overzicht van deze internationale norm en een "routekaart" naar alle andere onderdelen.
  NEN-ISO/IEC 27033-2:2012 (Network security - Guidelines for the design and implementation of network security)Dit deel van ISO/IEC 27033 geeft richtlijnen voor organisaties om netwerkbeveiliging te plannen, ontwerpen, implementeren en documenteren.
  NEN-ISO/IEC 27033-3:2010 (Network security - Reference networking scenarios - Threats, design techniques and control issues)
  NEN-ISO/IEC 27033-4:2014 (Network security - Securing communications between networks using security gateways)
  NEN-ISO/IEC 27033-5:2013 (Network security - Securing communications across networks using Virtual Private Networks)
  NEN-ISO/IEC 27034-5:2017 (Protocols and application security controls data structure)NEN-ISO/IEC 27034-5 schetst en verklaart de minimale set van essentiële attributen van Application Security Controls (ASC's) en beschrijft de activiteiten en rollen van het Application Security Life Cycle Reference Model (ASLCRM).
  NEN-ISO/IEC 7498-4:1989 (Information processing systems - Open Systems Interconnection - Basic Reference Model - Management framework)
  NEN-ISO/IEC 7498-4:1991 (Informatietechnologie - Onderlinge verbinding van open systemen (OSI) - Basisreferentiemodel - Deel 4 - Beheerskader)Dit deel van ISO/IEC 7498 stelt een kader vast voor de coördinatie van de ontwikkeling van bestaande en toekomstige normen voor OSI-beheer en wordt door die normen ter referentie verstrekt. Het
  1. definieert terminologie van en beschrijft concepten voor OSI-management;
  2. biedt een structuur voor OSI-Management samen met een overzicht van de doelstellingen en faciliteiten die OSI-Management biedt, en;
  3. beschrijft OSI management-activiteiten. Dit deel van ISO/IEC 7498 specificeert geen services of protocollen voor OSI-beheer.
  Het is geen implementatiespecificatie voor systemen, noch een basis voor het beoordelen van de conformiteit van implementaties.
  NEN-ISO/IEC DIS 18033-6 (IT Security techniques - Encryption algorithms - Homomorphic encryption)Deze standaard is in ontwikkeling
  NIST SP 800-145 (The NIST Definition of Cloud Computing)Cloudcomputing is een model voor het mogelijk maken van alomtegenwoordige, gemakkelijke, on-demand netwerktoegang tot een gedeelde pool van configureerbare computerresources (bijvoorbeeld netwerken, servers, opslag, applicaties en services) die snel kunnen worden geleverd en vrijgegeven met minimale beheerinspanning of interactie met de serviceprovider. Dit cloudmodel bestaat uit vijf essentiële kenmerken, drie servicemodellen en vier implementatiemodellen.
  NIST SP 800-27 Rev. A 2004 (Engineering Principles for Information Technology Security (A Baseline for Achieving Security)Deze standaard bevat een lijst van beveiligingsprincipes op systeemniveau waarmee rekening moet worden gehouden bij het ontwerp, de ontwikkeling en de werking van een informatiesysteem. Deze principes vormen een basis waarop een meer consistente en gestructureerde benadering van het ontwerp, de ontwikkeling en de implementatie van IT-beveiligingsmogelijkheden kan worden gebouwd. Hoewel de primaire focus van deze principes blijft op de implementatie van technische tegenmaatregelen, benadrukken deze principes het feit dat, om effectief te zijn, een systeembeveiligingsontwerp ook rekening moet houden met niet-technische kwesties, zoals beleid, operationele procedures en gebruikerseducatie.
  OWASP Application Security Verification Standard 4.0.2Het OWASP Application Security Verification Standard (ASVS)-project biedt een basis voor het testen van technische beveiligingscontroles voor webtoepassingen en biedt ontwikkelaars ook een lijst met vereisten voor veilige ontwikkeling.


  Het primaire doel van het OWASP Application Security Verification Standard (ASVS)-project is het normaliseren van het bereik in de dekking en het striktheidsniveau dat op de markt beschikbaar is als het gaat om het uitvoeren van beveiligingsverificatie van webapplicaties met behulp van een commercieel werkbare open standaard. De standaard biedt een basis voor het testen van technische beveiligingscontroles van applicaties, evenals alle technische beveiligingscontroles in de omgeving, die worden gebruikt om te beschermen tegen kwetsbaarheden zoals Cross-Site Scripting (XSS) en SQL-injectie. Deze standaard kan worden gebruikt om een niveau van vertrouwen in de beveiliging van webapplicaties vast te stellen.


  De eisen zijn ontwikkeld met de volgende doelstellingen in gedachten:

  • Gebruik als maatstaf, Biedt applicatieontwikkelaars en applicatie-eigenaren een maatstaf om de mate van vertrouwen te beoordelen die in hun webapplicaties kan worden gesteld.
  • Gebruiken als richtlijn, Geeft richtlijnen aan ontwikkelaars van beveiligingscontroles over wat ze moeten inbouwen in beveiligingscontroles om te voldoen aan de beveiligingsvereisten van applicaties.
  • Gebruik tijdens inkoop, Biedt een basis voor het specificeren van vereisten voor verificatie van applicatiebeveiliging in contracten.
  Telecommunications Infrastructure Standard for Data CentersDe wereldwijd aangenomen ANSI/TIA-942 Telecommunicatie-infrastructuurstandaard voor datacenters specificeert de minimumvereisten voor datacenters en omvat alle fysieke infrastructuur, inclusief maar niet beperkt tot locatielocatie, bouwkundig, elektrisch, mechanisch, brandveiligheid, telecommunicatie, beveiliging en andere vereisten.

  Standaarden in concept (pagina nog niet af of standaard nog niet gereed)[bewerken]

  StandaardBeschrijving
  BSI-Standard 200-4 - Business Continuity ManagementHet onderwerp bedrijfscontinuïteitsbeheer (BCM) is al jaren stevig verankerd in IT-Grundschutz en biedt met de vorige BSI-standaard 100-4 een gefundeerde ondersteuning voor calamiteitenbeheer. De voortdurende ontwikkelingen en ervaringen op het gebied van BCM, emergency management en (IT) crisismanagement, evenals de gerelateerde BSI-standaarden voor informatiebeveiliging, hebben de noodzaak aangetoond om de BSI Standard 100-4 fundamenteel te moderniseren.


  De BSI 200-4 biedt praktische instructies voor het opzetten en opzetten van een Business Continuity Management Systeem (BCMS) in uw eigen organisatie. Op deze manier maakt het vooral onervaren BCM-gebruikers een gemakkelijke introductie tot het onderwerp mogelijk. Voor ervaren BCM-gebruikers wordt een normatieve catalogus van eisen ter beschikking gesteld. Er is momenteel geen certificering voor de standaard gepland.


  Na de Community Draft-fase tot 30 juni 2021 zullen alle opmerkingen dienovereenkomstig worden bekeken en verwerkt.

  Standaarden die zijn vervangen door nieuwere versies of andere standaarden[bewerken]

  StandaardBeschrijving
  NEN-ISO 31000:2018 (Risicomanagement - Richtlijnen)NEN-ISO 31000 geeft richtlijnen voor het beheersen van risico's waarmee organisaties worden geconfronteerd. De toepassing van deze richtlijnen kan worden aangepast aan elke organisatie en haar context. Deze standaard biedt een algemene benadering voor het beheer van elk type risico en is niet branche- of sectorspecifiek. Dit document kan gedurende de levenscyclus van de organisatie worden gebruikt en kan worden toegepast op elke activiteit, inclusief besluitvorming op alle niveaus.
  NEN-ISO/IEC 18033-3:2005 (IT Security techniques - Encryption algorithms - Block ciphers)Dit deel van ISO/IEC 18033 specificeert blokcijfers. Een blokcijfer koppelt blokken van n-bits aan blokken van n-bits, onder besturing van een sleutel van k-bits. Er zijn in totaal zes verschillende blokcijfers gedefinieerd. Aan de algoritmen die in dit deel van ISO/IEC 18033 zijn gespecificeerd, zijn object-ID's toegewezen in overeenstemming met ISO/IEC 9834. De lijst met toegewezen object-ID's wordt gegeven in bijlage B. Eventuele wijzigingen in de specificatie van de algoritmen resulterend in een wijziging van functionele gedrag zal resulteren in een wijziging van de object-ID die aan het algoritme is toegewezen.
  NEN-ISO/IEC 27007:2017 (Guidelines for information security management systems auditing)ISO/IEC 27007 biedt richtlijnen voor het beheer van een auditprogramma voor een informatiebeveiligingsbeheersysteem (ISMS), voor het uitvoeren van audits en voor de competentie van ISMS-auditors, naast de richtlijnen in ISO 19011. Dit document is van toepassing op degenen die of interne of externe audits van een ISMS uit te voeren of een ISMS-auditprogramma te beheren.
  NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)NEN-ISO/IEC 27017 geeft richtlijnen voor informatiebeveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van clouddiensten door:
  • aanvullende implementatierichtlijnen te geven voor relevante beheersmaatregelen gespecificeerd in ISO/IEC 27002;
  • aanvullende controles met implementatiebegeleiding die specifiek betrekking hebben op clouddiensten.
  NEN-ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)Deze standaard specificeert met name richtlijnen op basis van ISO/IEC 27002, waarbij rekening wordt gehouden met de wettelijke vereisten voor de bescherming van PII die van toepassing kunnen zijn in de context van de informatiebeveiligingsrisico-omgeving(en) van een aanbieder van openbare clouddiensten.


  Deze standaard is van toepassing op alle soorten en maten organisaties, inclusief openbare en particuliere bedrijven, overheidsinstanties en non-profitorganisaties, die onder contract aan andere organisaties informatieverwerkingsdiensten leveren als PII-verwerkers via cloud computing. De richtlijnen in deze internationale norm kunnen ook relevant zijn voor organisaties die optreden als PII-controllers; PII-beheerders kunnen echter onderworpen zijn aan aanvullende wetgeving, voorschriften en verplichtingen inzake PII-bescherming, die niet van toepassing zijn op PII-verwerkers. Deze internationale norm is niet bedoeld om dergelijke aanvullende verplichtingen te dekken.
  NEN-ISO/IEC 27033-6:2016 (Securing wireless IP network acces)Volledige titel: NEN-ISO/IEC 27033-6 Information technology - Security techniques - Network security - Part 6: Securing wireless IP network access
  The Standard of Good Practice for Information Security 2018Het doel van elke informatiebeveiligingsprofessional is om de organisatie in staat te stellen haar activiteiten veilig en beveiligd uit te voeren en om bedreigingen met succes te vermijden. Maar tussen al het onderzoek, de planning en vergaderingen, en een veilige werkomgeving, ligt een cruciale schakel: het beveiligingsbeleid en de beveiligingsnormen van de organisatie.


  The Standard of Good Practice for Information Security (SoGP) 2020 biedt een bedrijfsgerichte focus op huidige en opkomende informatiebeveiligingsproblemen en helpt organisaties bij het ontwikkelen van een effectief kader voor informatiebeveiligingsbeleid, -normen en -procedures.


  Deze nieuwste editie van de SoGP bevat nieuwe of verbeterde dekking van de volgende categorieën, gebieden en onderwerpen: beveiligingspersoneel, kerncontroles voor cloudbeveiliging, beveiligingsoperatiecentra, beheer van mobiele applicaties, activaregisters, beveiligingsborging, beheer van toeleveringsketen en beheer van beveiligingsgebeurtenissen.


  SoGP wordt door leden van het Information Security Forum (ISF) gebruikt om:

  • de weerbaarheid verbeteren tegen het steeds veranderende dreigingslandschap
  • een basis bieden voor uw informatierisicobeoordelingen
  • informatiebeveiligingsregelingen in de toeleveringsketen valideren
  • ondersteuning van de naleving van belangrijke normen voor informatiebeveiliging
  • een basis vormen voor beleid, normen en procedures.

  Standaarden die zijn uitgefaseerd[bewerken]

  StandaardBeschrijving
  NEN 2082Eisen voor Functionaliteit van Informatie- en Archiefmanagement in programmatuur. NEN 2082 is een Nederlandse norm gebaseerd op de NEN-ISO 15489 en de NEN-ISO 23081. Alhoewel de titel het wel suggereert is de norm is geen echte softwarespecificatie, maar geeft het algemene functionele eisen voor informatie- en archiefmanagement, die ook door software ondersteund dienen te worden.