Sjabloon:Normenkader-aspect

Uit NORA Online
Ga naar: navigatie, zoeken
Dit is de opmaaksjabloon dat bepaalt hoe aspecten van normenkaders met hoofdzakelijk tekst worden weergegeven binnen de ISOR. De eigenschappen "heeft bron" (het nomenkader) en "beveiligingsaspect" bepalen de relatie naar een normenkader-aspect.
Deze informatie is onderdeel van [[{{{Heeft ouder}}}]].

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR



Risico

{{{Risico}}}

Doelstelling

{{{Doelstelling}}}

Principes uit de {{{Heeft ouder}}} binnen dit aspect

ID principe Criterium
Huisv_B.01 Huisvestingsbeleid Ten behoeve van Huisvestingsbeleid moet een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Huisv_B.02 Wet en regelgeving Alle relevante wettelijke statutaire eisen en regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen moeten voor elk Huisvestingsdiensten expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03 Eigenaarschap Bedrijfsmiddelen m.b.t Huisvesting-IV die in het inventarisoverzicht te worden bijgehouden moeten een eigenaar te hebben.
Huisv_B.04 Certificering De Huisvesting-IV van de leverancier, behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05 Contractmanagement Huisvestingsvoorzieningen die worden verworven voldoen aan kwalitatieve en kwantitatieve eisen, die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06 Service Levelmanagement Het Management van Huisvesting-IV behoort diensten te leveren conform Service Level Agreements (SLA).
Huisv_B.07 Interne en Externe bedreigingen Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
Huisv_B.08 Training en Awareness Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
Huisv_B.09 Organisatiestructuur De Huisvestingsorganisatie zorgt voor een adequate organisatiestructuur voor de te realiseren Huisvesting-IV en stelt de taken beveogdheden en verantwoordelijkheden (TBV) van de aangewezen functionarissen vast.
Huisv_B.10 Huisvestingsstructuur De inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.
Huisv_C.01 Controle richtlijn Bedrijfsmiddelen worden periodiek gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen worden tijdig aan het management gerapporteerd.
Huisv_C.02 Onderhoudsplan Voor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.
Huisv_C.03 Continuiteitsmanagement Continuïteitsmanagement is procesmatig voor de gehele organisatie ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04 Huisvesting-IV Testproces bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.05 Huisvesting-IV Beheerprocessen bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.06 Huisvesting-IV Monitoring bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.07 Huisvesting-IV Beheersingsorganisatie De stakeholder van de huisvesting van de Rekencentra heeft een beheersingsorganisatie ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Huisv_C.08 Huisvesting-IV Beheersingsarchitectuur Deze norm is nog in ontwikkeling.
Huisv_U.01 Richtlijnen gebieden en ruimten Voor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02 Bedrijfsmiddelen inventaris Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03 Fysieke zonering 'Fysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04 Beveiligingsfaciliteiten ruimten Voor het beveiligen van ruimten moeten faciliteiten worden ontworpen en toegepast.
Huisv_U.05 Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06 Apparatuur positionering Apparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07 Onderhoud Apparatuur Apparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08 Apparatuur verwijdering Alle onderdelen van de apparatuur die opslagmedia bevatten moeten worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09 Bedrijfsmiddelen verwijdering Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10 Laad en los locatie Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11 Bekabeling De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12 Huisvesting-IV architectuur Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.
LTV_B.01 Toegangbeveiliging(voorzienings)beleid Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02 Eigenaarschap van bedrijfsmiddelen Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03 Beveiligingsfunctie toegangbeveiliging Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04 Cryptografie bij authenticatie Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05 Beveiligingsorganisatie De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06 Toegangbeveiliging(voorzienings)architectuur De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.
LTV_C.01 Toegangbeveiliging beoordelingsprocedure Er moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.
LTV_C.02 Beoordeling toegangsrechten Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
LTV_C.03 Gebeurtenissen registreren 'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
LTV_C.04 Toegangbeveiliging beheers(ings)organisatie De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
LTV_U.01 Registratieprocedure “Registratie van gebruikers” Een formele registratie- en afmeldingsprocedure moet te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
LTV_U.02 Toegangsverlening procedure Een formele gebruikers toegangsverleningsprocedure (GTV) moet te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
LTV_U.03 Inlogprocedures Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
LTV_U.04 Autorisatieproces Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
LTV_U.05 Wachtwoorden beheer Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
LTV_U.06 Speciale toegangsrechten beheer Het toewijzen en gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
LTV_U.07 Functiescheiding Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
LTV_U.08 Geheime authenticatie-informatie (IA) Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
LTV_U.09 Autorisatie 'Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen moet te worden beperkt in overeenstemming met het beleid voor toegangbeveiliging.
LTV_U.10 Autorisatievoorzieningsfaciliteiten Er moeten technische autorisatievoorzieningsmiddelen (AVM) zijn ter ondersteuning van autorisatiebeheer beschikbaar, een personeelsregistratiesysteem (PS), een autorisatiebeheersysteem (AB), autorisatiefaciliteiten (AF) binnen daartoe in aanmerking komende applicaties.
LTV_U.11 Fysieke toegangbeveiliging Beveiligde gebieden moeten worden beschermd door passende toegangbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.
PRIV_B.01 Privacy Beleid geeft duidelijkheid en sturing De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.
PRIV_B.02 Organieke inbedding De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03 Risicomanagement- Privacy by Design en de GEB De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
PRIV_C.01 Intern toezicht Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG art. 12., tenzij er een specifieke uitzonderingsgrond geldt.
PRIV_C.03 Meldplicht Datalekken De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.
PRIV_U.01 Doelbinding gegevensverwerking De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • de doeleinden, en:
  • de rechtvaardigingsgronden voor:
  1. de verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. de geautomatiseerde besluitvorming;
  3. bijzondere persoonsgegevens;
  4. de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. het nationaal identificerend nummer;
  6. de persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.
PRIV_U.02 Register van verwerkingsactiviteiten De verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens.
PRIV_U.03 Kwaliteitsmanagement De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit op verzoek van betrokkene gebeurd wordt deze over de status van de afhandeling geïnformeerd.
PRIV_U.04 Beveiligen van de verwerking van persoonsgegevens De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen om een verwerking van persoonsgegevens op een passend niveau te beveiligenAVG art. 32..
PRIV_U.05 Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG art. 14..
PRIV_U.06 Bewaren van persoonsgegevens Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden.
PRIV_U.07 Doorgifte persoonsgegevens Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties.

Bij de doorgifte naar buiten de EU:

  • is er een vertegenwoordiger, en:
  • is geen sprake van uitzonderingsgronden

en:

  • geldt een door de Europese Commissie genomen adequaatheidsbesluit, of:
  • zijn er passende waarborgenAVG art. 44., of:
  • geldt een afwijking voor een specifieke situatie.

Normen uit de {{{Heeft ouder}}} binnen dit aspect

ID Stelling Norm
Huisv_B.01.01 De organisatie heeft een Huisvestingsbeleid opgesteld en:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en afzonderin-gen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02 Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • Bedrijfsstrategie;
  • Wet- en regelgeving;
  • Huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
Beleidsregels behandelen uit bedrijfsstrategie, wet- en regelgeving en bedreigingen voorkomende eisen
Huisv_B.01.03 Beleidsregels zijn gerelateerd aan specifieke onderwerpen m.b.t. Huisvesting-IV, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting-IV
Huisv_B.02.01 De verantwoordelijke voor Huisvestingsorganisatie stelt vast welke wetgeving van toepassing is voor de Huisvesting van IV. De voor Huisvesting-IV-verantwoordelijke bepaalt welke wetgeving van toepassing
Huisv_B.02.02 Het Huisvestingsbeleid waarover de Huisvesting-IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. Overeengekomen Huisvestingsbeleid mede o.b.v. wet- en regelgeving en contractuele verplichtingen
Huisv_B.03.01 Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd. Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
Huisv_B.03.02 Het eigenaarschap van bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het bedrijfsmiddel. Het bedrijfsmiddel-eigenaarschap wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
Huisv_B.03.03 De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel. De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
Huisv_B.03.04 De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
Op passende wijze inventariseren, classificeren. verwijderd en vernietigen van bedrijfsmiddellen
Huisv_B.04.01 De organisatie of een dienstenleverancier laat periodiek de Huisvesting-IV inclusief de voorzieningen en services evalueren met als doel deze te laten certificeren. Periodiek evalueren van Huisvesting-IV voorzieningen en services
Huisv_B.04.02 De Huisvesting-IV die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
De voor de organisatie ingezette Huisvesting-IV is min. gecertificeerd voor ISO 27001 en 50001
Huisv_B.05.01 De eisen en specificaties voor de Huisvestingsvoorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
Huisv_B.05.02 Het verwerven van Huisvestingsvoorzieningen geschiedt uitsluitend op basis van een overeenkomst of andere formele afspraak. Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
Huisv_B.05.03 De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd. Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd
Huisv_B.05.04 Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s. Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
Huisv_B.05.05 De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd. De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
Huisv_B.06.01 De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven. Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
Huisv_B.06.02 Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV. Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV
Huisv_B.06.03 De Service Levels zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, disaster recovery, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering). De aspecten waarop de Service Levels o.a. zijn gericht
Huisv_B.07.01 De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn. De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
Huisv_B.07.02 Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. Tegen externe bedreigingen zijn beveiligingsmaatregelen genomeno.b.v. een expliciete risicoafweging
Huisv_B.07.03 Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen. Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
Huisv_B.07.04 De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
Huisv_B.08.01 Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover. Aweareness-activiteiten m.b.t. de binnen de Huisvesting-IV actieve medewerkers
Huisv_B.08.02 Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters. Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
Huisv_B.09.01 Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor de Huisvesting-IV een formele positie. De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
Huisv_B.09.02 Er is een Huisvestingsorganisatieschema beschikbaar. Er is een Huisvestingsorganisatieschema beschikbaar
Huisv_B.09.03 Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie. Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
Huisv_B.09.04 De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd. De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
Huisv_C.01.01 De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen. De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Huisv_C.01.02 De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Huisv_C.01.03 De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Huisv_C.01.04 De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-RC-organisatie. Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Huisv_C.01.05 De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd. Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02.01 De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan. Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Huisv_C.02.02 Voor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Huisv_C.03.01 Het BCSM is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Huisv_C.03.02 De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Huisv_C.03.03 Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit. Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Huisv_C.03.04 De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd. De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Huisv_C.03.05 Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. Realisatie van afdoende uitwijkfaciliteiten
Huisv_C.03.06 Gebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest. Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Huisv_C.03.07 De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen. Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Huisv_C.07.01 De samenhang van de processen wordt door middel van een processtructuur vastgelegd. De samenhang van de processen wordt door middel van een processtructuur vastgelegd
Huisv_C.07.02 De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Huisv_C.07.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Huisv_C.07.04 De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
Huisv_U.01.01 Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten in een beveiligd gebied. Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
Huisv_U.01.02 Zonder toezicht werken in beveiligde gebieden behoort te worden vermeden, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. In beveiligde gebieden wordt slechts onder toezicht gewerkt
Huisv_U.01.03 Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd. Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd
Huisv_U.01.04 Foto-, video-, audio- of andere opnameapparatuur, zoals camera’s in mobiele apparatuur, behoort, tenzij goedgekeurd, niet te worden toegelaten. Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
Huisv_U.01.05 Bezoeker tot kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden gemonitord bij aankomst en vertrek;
  • verplicht badges te dragen;
  • worden continu onder toezicht onderworpen;
  • worden bewust gemaakt en krijgen instructie over de beveiliging van de omgeving en noodprocedures;
  • worden aangegeven dat het gebruik van audio en fotomateriaal niet is toegestaan.
Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
Huisv_U.02.01 Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
Huisv_U.02.02 Een RC- organisatie behoort bedrijfsmiddelen voor de Huisvesting-RC die relevant zijn in de levenscyclus van informatie te identificeren en hun belang te documenteren.

De levenscyclus van informatie behoort aanmaak, verwerking, opslag. overdracht, verwijdering en vernietiging te omvatten.

Documentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-RC
Huisv_U.02.03 De inventarislijst van de bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijn. Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
Huisv_U.02.04 Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend
Huisv_U.02.05 Inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt en kunnen ook voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële (beheer van bedrijfsmiddelen) redenen. Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
Huisv_U.03.01 Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende voorschriften:
  1. het Kader Rijkstoegangsbeleid (2010);
  2. het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  3. het Beveiligingsvoorschrift Rijk (BVR 2013).
Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
Huisv_U.03.02 Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
Huisv_U.03.03 Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
Huisv_U.03.04 Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen. Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
Huisv_U.03.05 Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord. Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord
Huisv_U.04.01 Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn. Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
Huisv_U.04.02 Faciliteiten moeten zijn geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn. Voor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen. Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
Huisv_U.04.03 Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten niet vrij toegankelijk te zijn voor onbevoegden. Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
Huisv_U.04.04 Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4). Sleutelbeheer is ingericht op basis van een sleutelplan
Huisv_U.05.01 Nutsvoorzieningen dienen:
  • in overeenstemming te zijn met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • regelmatig te worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met an-dere nutsvoorzieningen;
  • regelmatig te worden geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zo nodig, te worden voorzien van een alarmsysteem om disfunctio-neren op te sporen;
  • voor zover nodig, te beschikken over meervoudige voeding met een verschillende fysieke route.
De nutsvoorzieningen
Huisv_U.05.02 Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn. Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
Huisv_U.05.03 Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
Huisv_U.05.04 Er is redundantie voor de netwerkverbinding verkregen via meerdere routes vanaf meer dan één aanbieder. Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
Huisv_U.06.01 Apparatuur, informatie verwerkende- en opslag faciliteiten worden zodanig geplaats dat onbevoegden geen toegang toe hebben en beveiligd tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
Huisv_U.06.02 Apparatuur worden beschermd tegen bedreiging buitenaf (vb: overspanningen, blikseminslag, diefstal, weglekken van informatie door EM straling). Apparatuur wordt beschermd tegen externe bedreigingen
Huisv_U.07.01 Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
Huisv_U.07.02 Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren. Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
Huisv_U.07.03 Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is (R). Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
Huisv_U.07.04 Er worden registraties bijgehouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en correctieve onderhoud. Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
Huisv_U.07.05 Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
Huisv_U.07.06 Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert. Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
Huisv_U.08.01 Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat. Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
Huisv_U.08.02 Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
Huisv_U.09.01 In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. Het toestemmingstrajec voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
Huisv_U.09.02 Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten te worden geïdentificeerd. Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
Huisv_U.09.03 Aan de afwezigheid van bedrijfsmiddelen moet tijdsgrenzen worden gesteld en geverifieerd te worden of ze worden teruggebracht. Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
Huisv_U.09.04 Voor zover nodig en gepast moet het meenemen en de terugkeer van bedrijfsmiddelen te worden geregistreerd. Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
Huisv_U.09.05 De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, behoort te worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
Huisv_U.10.01 Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R). Een procedure beschrijft het omgaan met verdachte brieven en pakketten
Huisv_U.10.02 Toegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel. Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
Huisv_U.10.03 De laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. Eisen aan de laad- en loslocatie
Huisv_U.10.04 De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn. De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
Huisv_U.10.05 Inkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer. Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
Huisv_U.10.06 Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden. Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
Huisv_U.10.07 Inkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld. Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
Huisv_U.11.01 Kabels worden bij voorkeur ondergronds aangelegd. Kabels worden bij voorkeur ondergronds aangelegd
Huisv_U.11.02 De huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
Huisv_U.11.03 Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
Huisv_U.12.01 Er zijn architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen die actief worden onderhouden. De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
Huisv_U.12.02 De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd. De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
Huisv_U.12.03 Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aange-past);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastge-steld/geaccordeerd.
Aan het architectuurdocument gestelde eisen
LTV_B.01.01 Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02 Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03 Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04 Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05 Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01 Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02 De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem. De eigenaar heeft de beschikking over noodzakelijke kennis middelen en mensen en autoriteit
LTV_B.02.03 De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
Verantwoordelijkheidvoor de beveiliging van de logische componenten
LTV_B.02.04 De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
Verantwoordelijkheid voor de beveiliging van de fysieke componenten
LTV_B.03.01 De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA). Eisen aan de rollen binnen de beveiligingsfunctie
LTV_B.03.02 De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. Periodieke evluatie van het toegangbeveiligingssysteem
LTV_B.04.01 Authenticatie-informatie wordt beschermd zijn door middel van versleuteling. Authenticatie-informatie is versleuteld
LTV_B.04.02 In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
Uitwerking van het cryptografiebeleid voor authenticatie
LTV_B.04.03 Crypografische toepassingen voldoen aan passende standaarden. Eisen aan Crypografische toepassingen voldoen aan passende standaarden.
LTV_B.05.01 De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. Positie van Beveiligingsorganisatie
LTV_B.05.02 De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Organisatieschema met de belangrijkste functionarissen
LTV_B.05.03 De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
LTV_B.05.04 De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. De Autorisatiematrix met de beschrijving van de taken verantwoordelijkheden en bevoegdheden
LTV_B.05.05 De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
LTV_B.05.06 De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. De frequentie en de eisen voor de inhoudelijke rapportages
LTV_B.06.01 Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
  • de uniformiteit en flexibiliteit van authenticatiemechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
Vormgeving van de technische inrichting van de toegangbeveiliging
LTV_B.06.02 De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
LTV_B.06.03 De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven. Het beschrijven van de IAA beveiligingsmaatregelen
LTV_B.06.04 De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven. Beschrijving van de onderlinge samenhang tussen technische componenten
LTV_C.01.01 De organisatie beschikt over een beschrijving van de relevante controleprocessen. De organisatie beschikt over een beschrijving van de relevante controleprocessen
LTV_C.01.02 De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
LTV_C.01.03 De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren. Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
LTV_C.02.01 Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02 Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03 Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04 De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05 De opvolging van bevindingen is gedocumenteerd. De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06 Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). Het beoordelen vind plaats op basis van een formeelproces
LTV_C.02.07 Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08 De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
LTV_C.03.01 Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
Eisen aan de autorisatie-logregels
LTV_C.03.02 Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.). Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
LTV_C.03.03 De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
LTV_C.03.04 Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.03.05 De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
LTV_C.03.06 Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden. Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
LTV_C.03.07 De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De logbestanden worden gedurende een overeengekomen periode bewaard
LTV_C.04.02 De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
LTV_C.04.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
LTV_C.04.04 De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
LTV_U.01.01 Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers. Sluitende formele registratie- en afmeldprocedure voor alle gebruikers.
LTV_U.01.02 Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd
LTV_U.01.03 De procedures beschrijven alle fasen van de levenscyclus van de gebruikerstoegang en de relaties tussen de autorisatieprocessen (eerste registratie en beëindiging). Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven
LTV_U.01.04 De aanvraag van autorisaties op het gebruik van informatie systemen en de toegewezen autorisatieniveau ’s worden gecontroleerd. Controle van aanvraag en toegewezen autorisatieniveau ’s voor gebruik van informatiesystemen
LTV_U.01.05 Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd tot het gebruik van applicaties. Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties
LTV_U.01.06 Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes. Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes
LTV_U.01.07 Een bevoegdhedenmatrix is beschikbaar op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van zijn taken. Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang
LTV_U.02.01 Toegang tot informatiesystemen wordt uitsluiten verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. Slechts na autorisatie door een bevoegde functionaris.wordt toegang verleend tot informatiesystemen
LTV_U.02.02 Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Functiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging
LTV_U.02.03 Uit een actueel mandaatregister blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen. Het mandaatregister is actueel en toont wie bevoegdheden heeft
LTV_U.03.01 Als vanuit een onvertrouwde zone toegang wordt verleend tot een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Toegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie
LTV_U.03.02 Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Voorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaak
LTV_U.03.03 De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. De risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen
LTV_U.04.01 Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties. Het autorisatie beheerproces
LTV_U.04.02 Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris. O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
LTV_U.04.03 De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd. Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten
LTV_U.04.04 Door de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd. Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
LTV_U.04.05 Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken. Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
LTV_U.04.06 De verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband. Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
LTV_U.04.07 Bij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast. I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
LTV_U.04.08 Toegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren. Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken
LTV_U.05.01 Als geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

Het aantal inlogpogingen is maximaal 10.

De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
Wachtwoordlengte complexiteit toegestane inlogpogingen en blokkadetijdsduur
LTV_U.05.02 In situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. Waar geen two-factor authenticatie mogelijk is minimaal 1/2-jaarlijks vernieuwen van wachtwoord
LTV_U.05.03 Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd. Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd
LTV_U.05.04 Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd. Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden
LTV_U.05.05 Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden. Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar overige 6 maanden
LTV_U.06.01 Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging en richtlijnen en procedures. Speciale toegangsrechten worden toegewezen o.b.v. risico afweging richtlijnen en procedures
LTV_U.06.02 Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know , need to use). Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening
LTV_U.06.03 Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en beheerfuncties. Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties
LTV_U.06.04 De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
LTV_U.07.01 Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Toepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging
LTV_U.07.02 Niemand in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. of proces mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden. Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden
LTV_U.07.03 Rollen, taken en verantwoordelijkheden zijn vastgesteld conform de gewenste functiescheidingen. Rollen taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld
LTV_U.07.04 Er is een scheiding tussen beheertaken en overige gebruikstaken, waarbij onder andere:
  • Gebruikstaken alleen mogelijk zijn wanneer ingelogd is als standaard gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem;
  • Beheertaken alleen uitgevoerd kunnen worden met een beheerders account (gebruikersnaam en wachtwoord);
  • Controletaken worden uitgevoerd door specifieke functionarissen.
Sheiding is aangebracht tussen beheertaken en overige gebruikstaken
LTV_U.07.05 Verantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol. Verantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen
LTV_U.07.06 Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen of voorkomen. Waarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen
LTV_U.08.01 Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
LTV_U.08.02 Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel. Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen
LTV_U.08.03 Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden. Authenticartie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden
LTV_U.08.04 Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden. Verplichte geheimhoudingsverklaring van gebruikersals onderdeel van de arbeidsvoorwaarden
LTV_U.08.05 Gebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen. Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie
LTV_U.08.06 Tijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt. Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie
LTV_U.08.07 Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden. Niet germakkelijk e raden geheime authenticatie-informatie is uniek toegekend aan een persoon
LTV_U.09.01 Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen. Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
LTV_U.09.02 Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak. Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
LTV_U.09.03 Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen. Beheerdersfuncties in toepassingen zijn voorzien van hebben extra beschermin
LTV_U.09.04 Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
LTV_U.09.05 Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie. Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid
LTV_U.10.01 Door een verantwoordelijke is formeel vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer. Formeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer
LTV_U.10.02 Alle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. Toegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem
LTV_U.10.03 Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
LTV_U.10.04 Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren. Applicaties hebben functionaliteit om autorisaties toe te kennen in te zien en te beheren
LTV_U.11.01 Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn. Beveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen
LTV_U.11.02 Aankomst en vertrektijden van bezoekers worden geregistreerd. Registatie van aankomst en vertrektijden van bezoekers.
LTV_U.11.03 Medewerkers en contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. Medewerkers en contractanten en externen dragen zichtbare identificatie.
LTV_U.11.04 In geval van concrete beveiligingsrisico’s wordt conform onderlinge afspraken een waarschuwing verzonden aan de relevante collega’s binnen het beveiligingsdomein. Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s
LTV_U.11.05 Hiervoor wordt nog een tekst aangeleverd Uitwisseling van persoonsgerelateerde beveiligingsinformatie
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen