| ID | Conformiteitsindicator | naam | Elementtype | | AppO_U.08.01 | (industrie) good practice | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm |
| AppO_U.08.02 | (industrie) good practice | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Norm |
| AppO_U.08.03 | (industrie) good practice | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm |
| AppO_U.08.04 | (industrie) good practice | Geen gebruik van onveilig programmatechnieken | Norm |
| AppO_U.08.05 | (industrie) good practice | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm |
| AppO_U.08.06 | (industrie) good practice | Activiteiten van applicatiebouw worden gereviewd | Norm |
| AppO_U.08 | (industrie) good practice,juiste skills/tools | Applicatiebouw | Beveiligingsprincipe |
| AppO_U.06.03 | (specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm |
| TVZ_B.03 |
- technische inrichting
- toegangbeveiligingsarchitectuur
| Toegangbeveiligingsarchitectuur | Beveiligingsprincipe |
| AppO_B.05.03 | BIVC-aspecten | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm |
| SERV_U.01 | Bedieningsprocedures | Bedieningsprocedures | Beveiligingsprincipe |
| TVZ_U.01.02 | Formele registratie en afmeldprocedure | Het gebruik van groepsaccounts is - tenzij gemotiveerd en vastgelegd door de proceseigenaar - niet toegestaan | Norm |
| TVZ_U.10.02 | Personeelsregistratiesysteem | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen | Norm |
| CommVZ_C.05 | Verantwoordelijkheden | Beheerorganisatie netwerkbeveiliging | Beveiligingsprincipe |
| CommVZ_C.05.1 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | Norm |
| CommVZ_C.05.2 | Verantwoordelijkheden | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | Norm |
| PRIV_B.03.03.01 | aantonen | Aantonen onderkende risico's en maatregelen | Norm |
| PRIV_B.03.03.02 | aantonen | Aantonen uitvoeren GEB en opvolgen GEB uitkomsten | Norm |
| PRIV_B.03.03.03 | aantonen | Aantonen aanpak risicomanagement | Norm |
| PRIV_B.03.03.04 | aantonen | Aantonen toepassen GEB toetsmodel | Norm |
| PRIV_B.03.03.05 | aantonen | Aantonen privacy by design | Norm |
| AppO_U.10 | acceptatietests | Systeem acceptatietests | Beveiligingsprincipe |
| AppO_U.10.01 | acceptatietests | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Norm |
| AppO_U.10.02 | acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt | Norm |
| AppO_U.10.03 | acceptatietests | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm |
| AppO_U.10.04 | acceptatietests | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Norm |
| AppO_U.10.05 | acceptatietests | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm |
| AppO_U.10.06 | acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm |
| AppO_U.10.07 | acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm |
| PRIV_U.02.02.01 | actueel en samenhangend beeld | Op verzoek van AP wordt middels de registers een actueel en samenhangend beeld | Norm |
| PRIV_U.02.02.02 | actueel en samenhangend beeld | Registers van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld | Norm |
| PRIV_U.02.02.03 | actueel en samenhangend beeld | Actueel en samenhangend beeld t.a.v. gegevensstromen | Norm |
| PRIV_U.02.02.04 | actueel en samenhangend beeld | Actueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen | Norm |
| PRIV_U.07.05.01 | adequaatheidsbesluit | Adequaatheidsbesluit | Norm |
| PRIV_U.07.02.01 | afdoende garanties | Afdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd | Norm |
| PRIV_U.07.02.02 | afdoende garanties | Vormvereisten aan eisen voor afdoende garanties door verwerker | Norm |
| PRIV_U.07.02.03 | afdoende garanties | Afdoende garanties | Norm |
| PRIV_U.07.07.01 | afwijking voor een specifieke situatie | Afwijking voor een specifieke situatie | Norm |
| AppO_U.15.01 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | Norm |
| AppO_U.15.02 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | Het architectuur document wordt actief onderhouden | Norm |
| AppO_U.15.03 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | Norm |
| AppO_U.15 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.,
samenhang | Applicatie architectuur | Beveiligingsprincipe |
| SERV_B.03 | architectuurdocument | Serverplatform architectuur | Beveiligingsprincipe |
| SERV_B.03.01 | architectuurdocument | Eisen aan het architectuurdocument van het in te richten van het serverplatform | Norm |
| SERV_B.03.02 | architectuurdocument | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen | Norm |
| Huisv_U.12.01 | architectuurvoorschriften | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden | Norm |
| Huisv_U.12.02 | architectuurvoorschriften | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd | Norm |
| CommVZ_U.14 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes | Netwerkauthenticatie | Beveiligingsprincipe |
| CommVZ_U.14.1 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd | Norm |
| CommVZ_U.14.2 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen | Norm |
| CommVZ_U.12 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Wireless Access | Beveiligingsprincipe |
| CommVZ_U.12.1 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken | Norm |
| LTV_B.04.01 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie | Authenticatie-informatie is versleuteld | Norm |
| TVZ_B.02 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie | Cryptografie | Beveiligingsprincipe |
| TVZ_B.02.01 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling | Norm |
| TVZ_U.08.01 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode | Norm |
| TVZ_U.08.02 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld | Norm |
| TVZ_U.08 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie
beheersproces | Authenticatie-informatie | Beveiligingsprincipe |
| LTV_B.04 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie,
cryptografische beheersmaatregelen | Cryptografie bij authenticatie | Beveiligingsprincipe |
| TVZ_U.10.03 | autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen beheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd | Norm |
| TVZ_U.10.01 | autorisatiefaciliteiten | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet | Norm |
| TVZ_U.10.04 | autorisatiefaciliteiten | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties | Norm |
| TVZ_U.10 | autorisatievoorzieningen
personeel registratiesysteem
autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen beheersysteem
autorisatiefaciliteiten | Autorisatievoorzieningsfaciliteiten | Beveiligingsprincipe |
| SERV_U.01.01 | bedieningsprocedures | Gedocumenteerde procedures voor bedieningsactiviteiten | Norm |
| SERV_U.01.02 | bedieningsprocedures | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten | Norm |
| SERV_U.01.03 | bedieningsprocedures | In de bedieningsprocedures opgenomen bedieningsvoorschriften | Norm |
| TVZ_B.01.02 | bedrijfseisen | Eisen aan het Toegangvoorzieningsbeleid | Norm |
| TVZ_B.01.03 | bedrijfseisen | Voor veelvoorkomende rollen zijn standaard gebruikersprofielen met toegangsrechten aanwezig | Norm |
| AppO_U.09.01 | bedrijfsfunctionaliteiten | Functionarissen testen functionele requirements | Norm |
| AppO_U.09 | bedrijfsfunctionaliteiten,
beveiligingsfunctionaliteiten | Testen van systeembeveiliging | Beveiligingsprincipe |
| Huisv_U.09.01 | bedrijfsmiddelen | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd | Norm |
| Huisv_U.09.02 | bedrijfsmiddelen | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen | Norm |
| Huisv_U.09.03 | bedrijfsmiddelen | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd | Norm |
| Huisv_U.09.04 | bedrijfsmiddelen | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd | Norm |
| Huisv_U.09.05 | bedrijfsmiddelen | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt | Norm |
| CommVZ_U.01.6 | beheer | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | Norm |
| CommVZ_U.03.1 | beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | Norm |
| CommVZ_U.03.2 | beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | Norm |
| CommVZ_U.03.3 | beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd | Norm |
| CommVZ_U.03.4 | beheerd | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | Norm |
| CommVZ_U.15.1 | beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie | Norm |
| CommVZ_U.03 | beheerd,
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | Netwerk beveiligingsbeheer | Beveiligingsprincipe |
| CommVZ_U.15 | beheerd,
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | Netwerk beheeractiviteiten | Beveiligingsprincipe |
| CommVZ_U.05.1 | beheereisen | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Norm |
| CommVZ_U.05 | beheereisen,
dienstverleningsniveaus,
beveiligingsmechanismen | Beveiliging netwerkdiensten | Beveiligingsprincipe |
| Huisv_C.04.02 | beheersingsorganisatie | Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk | Norm |
| Huisv_C.04.03 | beheersingsorganisatie | Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd | Norm |
| Huisv_C.04.04 | beheersingsorganisatie | Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd | Norm |
| CommVZ_B.01.7 | beheersmaatregelen | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | Norm |
| TVZ_U.08.03 | beheersproces | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden | Norm |
| TVZ_U.08.04 | beheersproces | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens | Norm |
| CommVZ_U.03.5 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | Norm |
| CommVZ_U.03.6 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | Norm |
| CommVZ_U.15.2 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken | Norm |
| TVZ_U.06.03 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld | Norm |
| AppO_B.02.05 | beleid en wet en regelgeving | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | Norm |
| CommVZ_B.01.1 | beleidsregels | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | Norm |
| CommVZ_B.01.2 | beleidsregels | Beleid of richtlijnen omschrijven het toepassen van cryptografie | Norm |
| CommVZ_B.01.3 | beleidsregels | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | Norm |
| Huisv_B.01.02 | beleidsregels | Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen | Norm |
| Huisv_B.01.03 | beleidsregels | Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening | Norm |
| CommVZ_B.01 | beleidsregels,
procedures,
beheersmaatregelen | Beleid en procedures informatietransport | Beveiligingsprincipe |
| PRIV_B.02.02.01 | benodigde middelen | Benodigde middelen | Norm |
| CommVZ_U.16.2 | beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen | Norm |
| TVZ_C.02.07 | beoordeeld | De logbestanden worden gedurende een overeengekomen periode bewaard | Norm |
| LTV_C.03.04 | beoordelen | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld | Norm |
| AppO_U.03.04 | best practices | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | Norm |
| AppO_U.03.05 | best practices | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | Norm |
| AppO_U.03.06 | best practices | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | Norm |
| AppO_U.03.07 | best practices | Gebruik van programmacode uit externe programmabibliotheken | Norm |
| TVZ_U.11.01 | beveiligde gebieden | Toegang tot beveiligingszones of gebouwen is slechts toegankelijk voor geautoriseerde personen | Norm |
| TVZ_U.11 | beveiligde gebieden
passende toegangbeveiliging | Fysieke toegangbeveiliging | Beveiligingsprincipe |
| TVZ_U.03 | beveiligde inlogprocedure | Inlogprocedures | Beveiligingsprincipe |
| TVZ_U.03.01 | beveiligde inlogprocedure | Toegang vanuit een niet naar een wel vertrouwde zone vindt plaats op basis van minimaal 2-factor authenticatie | Norm |
| TVZ_U.03.02 | beveiligde inlogprocedure | Vooraf aan het verlenen van toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaakt | Norm |
| TVZ_U.03.03 | beveiligde inlogprocedure | Met een risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen | Norm |
| AppO_U.12 | beveiligde ontwikkelomgevingen | Beveiligde ontwikkel- (en test) omgeving | Beveiligingsprincipe |
| AppO_U.12.01 | beveiligde ontwikkelomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Norm |
| AppO_U.12.02 | beveiligde ontwikkelomgevingen | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | Norm |
| AppO_U.12.03 | beveiligde ontwikkelomgevingen | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | Norm |
| AppO_U.12.04 | beveiligde ontwikkelomgevingen | Voor remote werkzaamheden is een werkwijze vastgelegd | Norm |
| AppO_U.12.05 | beveiligde ontwikkelomgevingen | Ontwikkelaars hebben geen toegang tot productieomgeving | Norm |
| AppO_U.12.06 | beveiligde ontwikkelomgevingen | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | Norm |
| AppO_U.12.07 | beveiligde ontwikkelomgevingen | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | Norm |
| AppO_U.12.08 | beveiligde ontwikkelomgevingen | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | Norm |
| AppO_U.12.09 | beveiligde ontwikkelomgevingen | De overdracht naar de Productieomgeving vindt gecontroleerd plaats | Norm |
| Huisv_U.03.01 | beveiligde zones | Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften | Norm |
| Huisv_U.03.02 | beveiligde zones | Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen | Norm |
| Huisv_U.03.03 | beveiligde zones | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten | Norm |
| Huisv_U.03.04 | beveiligde zones | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel | Norm |
| Huisv_U.03.05 | beveiligde zones | Van elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord | Norm |
| SERV_C.06.02 | beveiligingsbeleid | Inhoud van het beveiligingsbeleid | Norm |
| AppO_U.05 | beveiligingseisen | Analyse en specificatie van informatiebeveiligingseisen | Beveiligingsprincipe |
| AppO_U.05.01 | beveiligingseisen | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | Norm |
| AppO_U.05.02 | beveiligingseisen | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | Norm |
| AppO_U.05.03 | beveiligingseisen | Informatiebeveiligingseisen | Norm |
| AppO_U.05.04 | beveiligingseisen | Overwogen informatiebeveiligingseisen | Norm |
| AppO_U.09.02 | beveiligingsfunctionaliteiten | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | Norm |
| AppO_B.09.01 | beveiligingsfunctionaris | Taken van de beveiligingsfunctionaris | Norm |
| SERV_C.06.01 | beveiligingsfunctionaris | Activiteiten van de beveiligingsfunctionaris | Norm |
| SERV_C.06 | beveiligingsfunctionaris,
beveiligingsbeleid | Beheerorganisatie serverplatforms | Beveiligingsprincipe |
| AppO_B.09 | beveiligingsfunctionaris,beveiligingsvoorschriften | Projectorganisatie | Beveiligingsprincipe |
| CommVZ_U.05.3 | beveiligingsmechanismen | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | Norm |
| CommVZ_U.05.5 | beveiligingsmechanismen | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | Norm |
| CommVZ_U.05.6 | beveiligingsmechanismen | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | Norm |
| AppO_B.09.02 | beveiligingsvoorschriften | Inzicht gegeven door de beveiligingsfunctionaris | Norm |
| CommVZ_U.13.2 | bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd | Norm |
| LTVZ_C.02.05 | bewaard | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd | Norm |
| TVZ_C.02.04 | bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld | Norm |
| TVZ_C.02.06 | bewaard | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. | Norm |
| PRIV_U.06.02.01 | bewaartermijn | Bewaartermijn, vastgesteld en bekrachtigd | Norm |
| PRIV_U.06.02.02 | bewaartermijn | Bewaartermijn, maximale periode | Norm |
| PRIV_U.06.02.03 | bewaartermijn | Bewaartermijn, in sectorspecifieke wetgeving vastgelegde bewaartermijn | Norm |
| PRIV_U.06.02.04 | bewaartermijn | Bewaartermijn, eisen aan evt. langere opslagperiode | Norm |
| PRIV_U.06 | bewaartermijn, nodige maatregelen | Bewaren van persoonsgegevens | Privacyprincipe |
| Huisv_B.08.01 | bewustzijnsopleiding, –training en bijscholing | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers | Norm |
| Huisv_B.08.02 | bewustzijnsopleiding, –training en bijscholing | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging | Norm |
| AppO_U.06.01 | business vereisten en reviews | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | Norm |
| AppO_U.06 | business vereisten en reviews,omgevingsanalyse,(specifieke) beveiliging | Applicatie ontwerp | Beveiligingsprincipe |
| AppO_C.05 | compliance management proces | Compliance management | Beveiligingsprincipe |
| AppO_C.05.01 | compliance management proces | Het compliance management proces is gedocumenteerd en vastgesteld | Norm |
| AppO_C.05.02 | compliance management proces | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | Norm |
| AppO_C.04 | configuratie-administratie | (Software) configuratie management | Beveiligingsprincipe |
| AppO_C.04.01 | configuratie-administratie | Software configuratiescomponenten worden conform procedures vastgelegd | Norm |
| AppO_C.04.02 | configuratie-administratie | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | Norm |
| AppO_C.04.03 | configuratie-administratie | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | Norm |
| AppO_C.01.06 | controleactiviteiten en rapportages | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | Norm |
| Huisv_U.07.01 | correct | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden | Norm |
| Huisv_U.07.02 | correct | Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren | Norm |
| Huisv_U.07.03 | correct | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel | Norm |
| Huisv_U.07.04 | correct | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd | Norm |
| Huisv_U.07.05 | correct | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd | Norm |
| Huisv_U.07.06 | correct | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd | Norm |
| CommVZ_B.03 | cryptografiebeleid | Cryptografiebeleid voor communicatie | Beveiligingsprincipe |
| CommVZ_B.03.1 | cryptografiebeleid | In het cryptografiebeleid uitgewerkte onderwerpen | Norm |
| CommVZ_B.03.2 | cryptografiebeleid | Aanvullende onderdelen in het cryptografiebeleid | Norm |
| CommVZ_U.11.4 | cryptografische beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden | Norm |
| LTV_B.04.02 | cryptografische beheersmaatregelen | Uitwerking van het cryptografiebeleid voor authenticatie | Norm |
| LTV_B.04.03 | cryptografische beheersmaatregelen | Eisen aan Crypografische toepassingen voldoen aan passende standaarden | Norm |
| TVZ_B.02.02 | cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen | Norm |
| PRIV_U.01.02.01 | de doeleinden | Doeleinden, toereikend, ter zake dienend en beperkt | Norm |
| PRIV_U.01.02.02 | de doeleinden | Doeleinden, rechtmatig | Norm |
| PRIV_U.01.02.03 | de doeleinden | Doeleinden, behoorlijk en transparant | Norm |
| SERV_U.03.06 | detectie | Servers en hiervoor gebruikte media worden routinematig gescand op malware | Norm |
| SERV_U.03.07 | detectie | De malware scan wordt op alle omgevingen uitgevoerd | Norm |
| CommVZ_U.05.2 | dienstverleningsniveaus | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | Norm |
| CommVZ_U.05.4 | dienstverleningsniveaus | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | Norm |
| Huisv_U.12.03 | documentatie | Aan het architectuurdocument gestelde eisen | Norm |
| PRIV_C.03.03.01 | documenteert de inbreuk | Documenteert de inbreuk, eisen aan de registratie | Norm |
| PRIV_C.03.03.02 | documenteert de inbreuk | Documenteert de inbreuk, mogelijkheid tot controle | Norm |
| PRIV_C.03.03.03 | documenteert de inbreuk | Documenteert de inbreuk, noodzakelijke gegevens | Norm |
| PRIV_C.03.03.04 | documenteert de inbreuk | Documenteert de inbreuk, m.b.t. kennisgeving | Norm |
| AppO_C.02.04 | efficiënte wijze | Ondersteuning vanuit het toegepaste versiebeheertool | Norm |
| Huisv_B.03.01 | eigenaar | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd | Norm |
| Huisv_B.03.02 | eigenaar | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel | Norm |
| Huisv_B.03.03 | eigenaar | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus | Norm |
| Huisv_B.03.04 | eigenaar | Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen | Norm |
| PRIV_C.01.01.01 | evaluatie | Evaluatie, controle op het voldoen aan wettelijke verplichtingen | Norm |
| PRIV_C.01.01.02 | evaluatie | Evaluatie, rapportage bij niet voldoen | Norm |
| PRIV_C.01.01.03 | evaluatie | Evaluatie, planning en compliancy | Norm |
| PRIV_C.01 | evaluatie, rechtmatigheid aangetoond | Intern toezicht | Privacyprincipe |
| AppO_U.16 | faciliteiten | Tooling ontwikkelmethode | Beveiligingsprincipe |
| AppO_U.16.01 | faciliteiten | Het tool ondersteunt alle fasen van het ontwikkelproces | Norm |
| AppO_U.16.02 | faciliteiten | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | Norm |
| AppO_U.16.03 | faciliteiten | Het tool beschikt over faciliteiten voor versie- en releasebeheer | Norm |
| AppO_U.16.04 | faciliteiten | Faciliteiten van het tool | Norm |
| AppO_U.16.05 | faciliteiten | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | Norm |
| Huisv_U.04.01 | faciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn | Norm |
| Huisv_U.04.02 | faciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar | Norm |
| Huisv_U.04.03 | faciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk | Norm |
| Huisv_U.04.04 | faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan | Norm |
| CommVZ_U.09.1 | filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument | Norm |
| CommVZ_U.09.2 | filterfunctie | De filterfunctie van gateways en firewalls is instelbaar | Norm |
| CommVZ_U.09.3 | filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM | Norm |
| CommVZ_U.09 | filterfunctie,
toegestaan netwerkverkeer | Gateway/Firewall | Beveiligingsprincipe |
| TVZ_U.04.01 | formeel autorisatieproces | Een formeel proces voor het aanvragen, verwerken en archiveren van autorisaties wordt toegepast | Norm |
| TVZ_U.04.02 | formeel autorisatieproces | Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht | Norm |
| TVZ_U.04.03 | formeel autorisatieproces | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd | Norm |
| TVZ_U.04 | formeel autorisatieproces
toegangsrechten | Autorisatieproces | Beveiligingsprincipe |
| AppO_U.01.03 | formele procedures | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | Norm |
| AppO_U.01.04 | formele procedures | Elementen van de procedures voor wijzigingsbeheer | Norm |
| TVZ_U.01.01 | formele registratie en afmeldprocedure | Voor alle gebruikers wordt een sluitende formele registratie- en afmeldprocedure toegepast | Norm |
| TVZ_U.01.03 | formele registratie en afmeldprocedure | De aanvraag van autorisaties en de toegewezen autorisatieniveaus worden gecontroleerd | Norm |
| TVZ_U.01 | formele registratie en afmeldprocedure
toegangsrechten | Registratieprocedure | Beveiligingsprincipe |
| SERV_U.09.01 | functies | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld | Norm |
| SERV_U.09.02 | functies | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt | Norm |
| SERV_U.09 | functies,
toegang | Hardenen van servers | Beveiligingsprincipe |
| AppO_C.08.02 | functionarissen | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | Norm |
| Huisv_B.09.03 | functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie | Norm |
| LTV_B.05.02 | functionarissen | Organisatieschema met de belangrijkste functionarissen | Norm |
| LTV_C.04.02 | functionarissen | Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk | Norm |
| TVZ_C.03.02 | functionarissen | De belangrijkste functionarissen voor de beheerorganisatie zijn benoemd en inzichtelijk in een organisatieschema | Norm |
| AppO_U.04 | functionele eisen | Analyse en specificatie van informatiesystemen | Beveiligingsprincipe |
| AppO_U.04.01 | functionele eisen | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | Norm |
| AppO_U.04.02 | functionele eisen | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | Norm |
| AppO_U.04.03 | functionele eisen | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | Norm |
| AppO_U.04.04 | functionele eisen | Alle vereisten worden gevalideerd door peer review of prototyping | Norm |
| AppO_U.04.05 | functionele eisen | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | Norm |
| SERV_U.11.01 | fysieke servers | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd | Norm |
| Huisv_B.04.01 | gangbare standaarden | ISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen | Norm |
| Huisv_B.04.02 | gangbare standaarden | Certificeringseisen van de ingezette Huisvesting Informatievoorziening | Norm |
| PRIV_U.01.04.01 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. ras of etnische afkomst | Norm |
| PRIV_U.01.04.02 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. politieke opvattingen | Norm |
| PRIV_U.01.04.03 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. religieuze of levensbeschouwende overtuigingen | Norm |
| PRIV_U.01.04.04 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. lidmaatschap vakbond | Norm |
| PRIV_U.01.04.05 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. genetische gegevens | Norm |
| PRIV_U.01.04.06 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. biometrische gegevens | Norm |
| PRIV_U.01.04.07 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. gezondheidsgegevens | Norm |
| PRIV_U.01.04.08 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. sexueel gedrag of gerichtheid | Norm |
| PRIV_U.01.04.09 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. voorwaarden aan de verwerking | Norm |
| PRIV_U.01.04.10 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. noodzakelijke uitzonderingen | Norm |
| PRIV_U.01.04.11 | geautomatiseerde besluitvorming | Bijzondere persoonsgegevens, m.b.t. verplichtingen of algemeen belang | Norm |
| PRIV_U.01.07.01 | geautomatiseerde besluitvorming | Geautomatiseerde besluitvorming, geen geautomatiseerde individuele besluitvorming tenzij | Norm |
| PRIV_U.01.07.02 | geautomatiseerde besluitvorming | Geautomatiseerde besluitvorming, m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene | Norm |
| PRIV_U.01.07.03 | geautomatiseerde besluitvorming | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens | Norm |
| TVZ_U.02 | gebruikers toegangverleningsprocedure | Toegangsverlening procedure | Beveiligingsprincipe |
| TVZ_U.02.01 | gebruikers toegangverleningsprocedure | Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatie door een bevoegde functionaris | Norm |
| TVZ_U.02.02 | gebruikers toegangverleningsprocedure | Het toepassen van functiescheiding en toegangsrechten wordt op basis van een risicoafweging bepaald | Norm |
| TVZ_U.02.03 | gebruikers toegangverleningsprocedure | Uit een actueel mandaatregister blijkt wie toegangsrechten en functieprofielen mogen verlenen | Norm |
| TVZ_C.02.03 | gebruikersactiviteiten | De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt door een SIEM en/of SOC | Norm |
| SERV_U.10.01 | geconfigureerd | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures | Norm |
| SERV_U.10.02 | geconfigureerd | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage | Norm |
| SERV_U.10 | geconfigureerd,ongeautoriseerd | Serverconfiguratie | Beveiligingsprincipe |
| PRIV_U.03.02.01 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, rectificatie op verzoek van betrokkene | Norm |
| PRIV_U.03.02.02 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, vervollediging op verzoek van betrokkene | Norm |
| PRIV_U.03.02.03 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, wissen op verzoek van betrokkene | Norm |
| PRIV_U.03.02.04 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, steken van de verwerking op verzoek van betrokkene | Norm |
| PRIV_U.03.02.05 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevens | Norm |
| PRIV_U.03.02.06 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, beperking van de verwerking op verzoek van betrokkene | Norm |
| PRIV_U.03.02.07 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijke | Norm |
| PRIV_U.03.02.08 | gecorrigeerd, gestaakt of overgedragen | Gecorrigeerd, gestaakt of overgedragen, overdracht aan andere verwerkingsverantwoordelijke | Norm |
| SERV_U.13.01 | gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd | Norm |
| SERV_U.13 | gedocumenteerd,gesynchroniseerd | Kloksynchronisatie | Beveiligingsprincipe |
| Huisv_U.06.01 | gepositioneerd en beschermd | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten | Norm |
| Huisv_U.06.02 | gepositioneerd en beschermd | Apparatuur wordt beschermd tegen externe bedreigingen | Norm |
| CommVZ_U.16.1 | geregistreerd en bewaard | Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs | Norm |
| CommVZ_U.16 | geregistreerd en bewaard,
beoordeeld | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Beveiligingsprincipe |
| TVZ_U.07.01 | gescheiden | Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast | Norm |
| TVZ_U.07.02 | gescheiden | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen | Norm |
| TVZ_U.07 | gescheiden
taken
verantwoordelijkheden
onbedoeld | Functiescheiding | Beveiligingsprincipe |
| CommVZ_U.06 | gescheiden (in domeinen) | Zonering en filtering | Beveiligingsprincipe |
| CommVZ_U.06.01 | gescheiden (in domeinen) | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau | Norm |
| CommVZ_U.06.02 | gescheiden (in domeinen) | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding | Norm |
| CommVZ_U.06.03 | gescheiden (in domeinen) | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst | Norm |
| CommVZ_U.06.04 | gescheiden (in domeinen) | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding | Norm |
| CommVZ_U.10 | gescheiden end-to-end connectie | Virtual Private Networks (VPN) | Beveiligingsprincipe |
| CommVZ_U.10.1 | gescheiden end-to-end connectie | De end-to-end | Norm |
| PRIV_C.03.02.01 | gestelde termijn | Termijn melden aan verwerkingsverantwoordelijke | Norm |
| PRIV_C.03.02.02 | gestelde termijn | Termijn melden aan AP | Norm |
| PRIV_C.03.02.03 | gestelde termijn | Termijn, motivering bij vertraagd melden | Norm |
| PRIV_C.03.02.04 | gestelde termijn | Termijn aan betrokkene | Norm |
| SERV_U.13.02 | gesynchroniseerd | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd. | Norm |
| Huisv_U.08.01 | geverifieerd | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat | Norm |
| SERV_U.08.02 | geverifieerd | Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat | Norm |
| SERV_U.04.07 | geëvalueerd | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd | Norm |
| PRIV_U.03.03.01 | geïnformeerd | Geïnformeerd, van iedere ontvanger van elke rectificatie, gegevenswissing of verwerkingsbeperking | Norm |
| PRIV_U.03.03.02 | geïnformeerd | Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt | Norm |
| PRIV_U.03.03.03 | geïnformeerd | Geïnformeerd, bretrokkene over gevolg van verzoek van betrokken | Norm |
| PRIV_U.03.03.04 | geïnformeerd | Geïnformeerd, elketronische verwerking van het verzoek | Norm |
| PRIV_U.03.03.06 | geïnformeerd | Geïnformeerd, informeren bij geen gevolg geven aan het verzoek | Norm |
