| ID | Conformiteitsindicator | naam | Elementtype | | APO_U.08.01 | (industrie) good practice | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm |
| APO_U.08.02 | (industrie) good practice | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Norm |
| APO_U.08.03 | (industrie) good practice | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm |
| APO_U.08.04 | (industrie) good practice | Geen gebruik van onveilig programmatechnieken | Norm |
| APO_U.08.05 | (industrie) good practice | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm |
| APO_U.08.06 | (industrie) good practice | Activiteiten van applicatiebouw worden gereviewd | Norm |
| APO_U.08 | (industrie) good practice,juiste skills/tools | Applicatiebouw | Beveiligingsprincipe |
| APO_U.06.03 | (specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm |
| HVI_U.12.01 | Architectuurvoorschriften | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden | Norm |
| HVI_U.12.02 | Architectuurvoorschriften | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd | Norm |
| CVZ_U.14.01 | Authenticatie van netwerknodes | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd | Norm |
| CVZ_U.14.02 | Authenticatie van netwerknodes | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen | Norm |
| CVZ_U.12.01 | Authenticatie, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken | Norm |
| TBV_B.04.01 | Authenticatie-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling | Norm |
| TBV_U.08.01 | Authenticatie-informatie | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode | Norm |
| TBV_U.08.02 | Authenticatie-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld | Norm |
| TBV_U.10.03 | Autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd | Norm |
| TBV_U.10.04 | Autorisatiefaciliteiten | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties | Norm |
| TBV_U.10.01 | Autorisatievoorzieningen | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet | Norm |
| APO_B.05.03 | BIVC-aspecten | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm |
| SERV_U.01 | Bedieningsprocedures | Bedieningsprocedures | Beveiligingsprincipe |
| TBV_B.01.02 | Bedrijfseisen | Aandacht voor wetgeving en verplichtingen | Norm |
| TBV_B.01.03 | Bedrijfseisen | Standaard gebruikersprofielen | Norm |
| HVI_U.09.01 | Bedrijfsmiddelen | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd | Norm |
| HVI_U.09.02 | Bedrijfsmiddelen | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen | Norm |
| HVI_U.09.03 | Bedrijfsmiddelen | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd | Norm |
| HVI_U.09.04 | Bedrijfsmiddelen | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd | Norm |
| HVI_U.09.05 | Bedrijfsmiddelen | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt | Norm |
| CVZ_U.01.06 | Beheer | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | Norm |
| CVZ_U.03.01 | Beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | Norm |
| CVZ_U.03.02 | Beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | Norm |
| CVZ_U.03.03 | Beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd | Norm |
| CVZ_U.03.04 | Beheerd | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | Norm |
| CVZ_U.15.01 | Beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie | Norm |
| CVZ_U.05.05 | Beheereisen | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | Norm |
| CVZ_U.05.06 | Beheereisen | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | Norm |
| CVZ_B.01.07 | Beheersmaatregelen | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | Norm |
| CVZ_U.11.04 | Beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden | Norm |
| HVI_C.04.01 | Beheersorganisatie | Er zijn functionarissen voor de beheersorganisatie benoemd | Norm |
| HVI_C.04.02 | Beheersorganisatie | Verantwoordelijkheden zijn toegewezen en vastgelegd | Norm |
| HVI_C.04.03 | Beheersorganisatie | Verantwoordelijkheden zijn beschreven en vastgelegd | Norm |
| TBV_U.08.03 | Beheersproces | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden | Norm |
| TBV_U.08.04 | Beheersproces | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens | Norm |
| CVZ_U.03.05 | Beheerst | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | Norm |
| CVZ_U.03.06 | Beheerst | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | Norm |
| CVZ_U.15.02 | Beheerst | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken | Norm |
| TBV_U.06.03 | Beheerst | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld | Norm |
| CVZ_B.01.01 | Beleidsregels | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | Norm |
| CVZ_B.01.02 | Beleidsregels | Beleid of richtlijnen omschrijven het toepassen van cryptografie | Norm |
| CVZ_B.01.03 | Beleidsregels | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | Norm |
| HVI_B.01.02 | Beleidsregels huisvesting IV | Beleidsregels huisvesting IV | Norm |
| HVI_B.01.03 | Beleidsregels huisvesting IV | Beleidsregels verwijzen naar specifieke huisvesting onderwerpen | Norm |
| CVZ_U.16.02 | Beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen | Norm |
| TBV_C.03.07 | Beoordeeld | De logbestanden worden gedurende een overeengekomen periode bewaard | Norm |
| TBV_C.02.06 | Beoordelen | Het beoordelen vind plaats op basis van een formeel proces | Norm |
| TBV_C.02.07 | Beoordelen | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting | Norm |
| TBV_U.11.01 | Beveiligde gebieden | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen | Norm |
| TBV_U.03 | Beveiligde inlogprocedure | Inlogprocedure | Beveiligingsprincipe |
| TBV_U.03.01 | Beveiligde inlogprocedure | Minimaal 2-factor authenticatie | Norm |
| TBV_U.03.02 | Beveiligde inlogprocedure | Risicoafweging bij toegang tot netwerk | Norm |
| TBV_U.03.03 | Beveiligde inlogprocedure | Een risicoafweging bepaalt de voorwaarden voor toegang | Norm |
| TBV_B.03 | Beveiligingsfunctie | Beveiligingsfunctie | Beveiligingsprincipe |
| TBV_B.03.01 | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie zijn benoemd | Norm |
| TBV_B.03.02 | Beveiligingsfunctie | Het toegangbeveiligingssysteem wordt periodiek geevalueerd | Norm |
| CVZ_U.05.01 | Beveiligingsmechanismen | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Norm |
| CVZ_U.05.02 | Beveiligingsmechanismen | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | Norm |
| CVZ_U.05.03 | Beveiligingsmechanismen | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | Norm |
| HVI_U.03 | Beveiligingszones | Fysieke zonering | Beveiligingsprincipe |
| HVI_U.03.01 | Beveilingszones | Voorschriften voor het inrichten van beveiligde zones | Norm |
| HVI_U.03.02 | Beveilingszones | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen | Norm |
| HVI_U.03.03 | Beveilingszones | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten | Norm |
| HVI_U.03.04 | Beveilingszones | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel | Norm |
| HVI_U.03.05 | Beveilingszones | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd | Norm |
| CVZ_U.13.02 | Bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd | Norm |
| TBV_C.03.04 | Bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld | Norm |
| TBV_C.03.05 | Bewaard | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd | Norm |
| TBV_C.03.06 | Bewaard | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. | Norm |
| HVI_B.08.01 | Bewustzijnsopleiding, –training en Bijscholing | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers | Norm |
| HVI_B.08.02 | Bewustzijnsopleiding, –training en Bijscholing | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging | Norm |
| HVI_U.07.01 | Correcte wijze | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden | Norm |
| HVI_U.07.02 | Correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel | Norm |
| HVI_U.07.03 | Correcte wijze | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel | Norm |
| HVI_U.07.04 | Correcte wijze | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd | Norm |
| HVI_U.07.05 | Correcte wijze | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd | Norm |
| HVI_U.07.06 | Correcte wijze | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd | Norm |
| CVZ_B.03 | Cryptografiebeleid | Cryptografiebeleid voor communicatie | Beveiligingsprincipe |
| CVZ_B.03.01 | Cryptografiebeleid | In het cryptografiebeleid uitgewerkte onderwerpen | Norm |
| CVZ_B.03.02 | Cryptografiebeleid | Aanvullende onderdelen in het cryptografiebeleid | Norm |
| CVZ_U.11.03 | Cryptografische | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden | Norm |
| TBV_B.04.02 | Cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen | Norm |
| CVZ_U.05.04 | Dienstverleningsniveaus | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | Norm |
| HVI_U.12.03 | Documentatie | Aan het architectuurdocument gestelde eisen | Norm |
| HVI_B.03.01 | Eigenaar | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd | Norm |
| HVI_B.03.02 | Eigenaar | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel | Norm |
| HVI_B.03.03 | Eigenaar | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus | Norm |
| HVI_B.03.04 | Eigenaar | Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen | Norm |
| TBV_B.02.01 | Eigenaarschap | Het eigenaarschap is specifiek toegekend | Norm |
| TBV_B.02.02 | Eigenaarschap | De eigenaar beschikt over kennis, middelen, mensen en autoriteit | Norm |
| HVI_U.04.01 | Faciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn | Norm |
| HVI_U.04.02 | Faciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar | Norm |
| HVI_U.04.03 | Faciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk | Norm |
| HVI_U.04.04 | Faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan | Norm |
| CVZ_U.09.01 | Filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument | Norm |
| CVZ_U.09.02 | Filterfunctie | De filterfunctie van gateways en firewalls is instelbaar | Norm |
| CVZ_U.09.03 | Filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM | Norm |
| TBV_U.04 | Formeel autorisatieproces | Autorisatieproces | Beveiligingsprincipe |
| TBV_U.04.02 | Formeel autorisatieproces | Formele autorisatieopdracht | Norm |
| TBV_U.04.03 | Formeel autorisatieproces | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd | Norm |
| TBV_U.01.01 | Formele registratie- en afmeldprocedure | Een sluitende formele registratie- en afmeldprocedure | Norm |
| TBV_U.01.02 | Formele registratie- en afmeldprocedure | Groepsaccounts niet toegestaan tenzij | Norm |
| TBV_U.01.03 | Formele registratie- en afmeldprocedure | Autorisaties worden gecontroleerd | Norm |
| HVI_B.09.03 | Functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie | Norm |
| TBV_B.05.04 | Functionarissen | Functionarissen zijn benoemd | Norm |
| TBV_C.04.03 | Functionarissen | De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd | Norm |
| HVI_B.04.01 | Gangbare standaarden | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen | Norm |
| HVI_B.04.02 | Gangbare standaarden | Certificeringseisen van de ingezette Huisvesting Informatievoorziening | Norm |
| TBV_U.02.01 | Gebruikers toegangverleningsprocedure | Uitsluitend toegang na autorisatie | Norm |
| TBV_U.02.02 | Gebruikers toegangverleningsprocedure | Risicoafweging voor functiescheiding en toegangsrechten | Norm |
| TBV_U.02.03 | Gebruikers toegangverleningsprocedure | Mandaatregister voor toekennen van toegangsrechten en functieprofielen | Norm |
| TBV_C.03.03 | Gebruikersactiviteiten | De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC | Norm |
| TBV_U.02 | Gebruikerstoegangsverlening procedure | Toegangsverleningsprocedure | Beveiligingsprincipe |
| CVZ_U.16.01 | Gemaakt en bewaard | Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs | Norm |
| HVI_U.06.01 | Geplaatst en beschermd | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten | Norm |
| HVI_U.06.02 | Geplaatst en beschermd | Apparatuur wordt beschermd tegen externe bedreigingen | Norm |
| TBV_U.07.01 | Gescheiden | Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast | Norm |
| TBV_U.07.02 | Gescheiden | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen | Norm |
| CVZ_U.06.01 | Gescheiden (in domeinen) | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau | Norm |
| CVZ_U.06.02 | Gescheiden (in domeinen) | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding | Norm |
| CVZ_U.06.03 | Gescheiden (in domeinen) | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst | Norm |
| CVZ_U.06.04 | Gescheiden (in domeinen) | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding | Norm |
| CVZ_U.10.01 | Gescheiden end-to-end connectie | De end-to-end | Norm |
| TBV_U.07 | Gescheidentakenveranedoeld | Functiescheiding | Beveiligingsprincipe |
| HVI_U.08.01 | Geverifieerd | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat | Norm |
| HVI_C.03.03 | Hersteld en voortgezet | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages | Norm |
| HVI_C.03.04 | Hersteld en voortgezet | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd | Norm |
| HVI_C.03.05 | Hersteld en voortgezet | Realisatie van afdoende uitwijkfaciliteiten | Norm |
| HVI_C.03.06 | Hersteld en voortgezet | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest | Norm |
| HVI_C.03.07 | Hersteld en voortgezet | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen | Norm |
| HVI_B.01.01 | Huisvesting IV-beleid | Er is een huisvesting IV beleid | Norm |
| Cloud_B.07.01 | IT-functionaliteiten | Treffen maatregelen voor beveiliging IT-functionaliteiten | Norm |
| Cloud_B.07.02 | IT-functionaliteiten | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur | Norm |
| Cloud_B.07.03 | IT-functionaliteiten | Bewaken en beheersen IT-infrastructuur | Norm |
| Cloud_B.07 | IT-functionaliteitenrobuuste en beveiligde systeemketen | IT-functionaliteiten | Beveiligingsprincipe |
| CVZ_U.01.05 | Implementatie | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat | Norm |
| TBV_U.09.01 | InformatieBetekenisvolle gegevens. | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken | Norm |
| TBV_B.01.04 | Informatiebeveiligingseisen | Toepassen van need-to-know en need-to-use principes | Norm |
| TBV_B.01.05 | Informatiebeveiligingseisen | Het autorisatiebeheer is procesmatig ingericht | Norm |
| CVZ_U.02.01 | Inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt | Norm |
| CVZ_U.02.02 | Inlogprocedure | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone | Norm |
| CVZ_U.02.03 | Inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers | Norm |
| CVZ_C.02.01 | Inrichting | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s | Norm |
| CVZ_U.11.02 | Integriteit | Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast | Norm |
| HVI_U.02.01 | Inventaris | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen | Norm |
| HVI_U.02.02 | Inventaris | Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV | Norm |
| HVI_U.02.03 | Inventaris | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen | Norm |
| HVI_U.02.04 | Inventaris | Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten | Norm |
| HVI_B.05.01 | Kwalitatieve en kwantitatieve eisen | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties | Norm |
| TBV_C.03.01 | Log-bestanden | Een log-regel bevat de vereiste gegevens | Norm |
| TBV_C.03.02 | Log-bestanden | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken | Norm |
| CVZ_C.01.01 | Naleving | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd | Norm |
| HVI_B.07.01 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn | Norm |
| HVI_B.07.02 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging | Norm |
| HVI_B.07.03 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen | Norm |
| HVI_B.07.04 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid | Norm |
| HVI_U.05.01 | Nutsvoorzieningen | De nutsvoorzieningen | Norm |
| HVI_U.05.02 | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn | Norm |
| HVI_U.05.03 | Nutsvoorzieningen | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is | Norm |
| HVI_U.05.04 | Nutsvoorzieningen | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder | Norm |
| TBV_U.07.05 | Onbedoeld | Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen | Norm |
| HVI_C.02.02 | Onderhoudsbepalingen | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld | Norm |
| HVI_C.02.01 | Onderhoudsplan | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan | Norm |
| CVZ_C.04.01 | Onderzoek van gebeurtenissen | Zeer belangrijke onderdelen van netwerkbeveiliging | Norm |
| CVZ_C.04.02 | Onderzoek van gebeurtenissen | Continue bewaking via monitoring | Norm |
| CVZ_U.01.01 | Ontwerp | Stappen ter voorbereiding van veilige netwerkontwerpen | Norm |
| CVZ_U.01.02 | Ontwerp | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” | Norm |
| CVZ_U.01.03 | Ontwerp | Netwerkbeveiliging is gebaseerd op ITU-T X.80x | Norm |
| CVZ_U.01.04 | Ontwerp | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten | Norm |
| CVZ_U.08.01 | Openbare netwerken | Met communicerende partijen worden afspraken gemaakt | Norm |
| CVZ_B.04.01 | Organisatiestructuur | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd | Norm |
| CVZ_B.04.02 | Organisatiestructuur | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie | Norm |
| CVZ_B.04.03 | Organisatiestructuur | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd | Norm |
| HVI_B.09.01 | Organisatiestructuur | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie | Norm |
| HVI_B.09.02 | Organisatiestructuur | Er is een Huisvestingsorganisatieschema beschikbaar | Norm |
| TBV_B.05.01 | Organisatorische positie | De beveiligingsorganisatie heeft een formele positie | Norm |
| CVZ_B.02.01 | Overeenkomsten | Elementen in overeenkomsten over informatietransport | Norm |
| CVZ_B.02.02 | Overeenkomsten | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn | Norm |
| HVI_B.05.02 | Overeenkomsten | Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst | Norm |
| HVI_B.05.03 | Overeenkomsten | Bij SLA en DAP betrokken rollen voor Contractmanagement en Service Level Management zijn vastgelegd | Norm |
| HVI_B.05.04 | Overeenkomsten | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s | Norm |
| HVI_B.05.05 | Overeenkomsten | De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd | Norm |
| CVZ_U.07 | Passend | Elektronische berichten | Beveiligingsprincipe |
| CVZ_U.07.01 | Passend | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren | Norm |
| CVZ_U.07.02 | Passend | Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling | Norm |
| CVZ_U.07.03 | Passend | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten | Norm |
| CVZ_U.07.04 | Passend | Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1 | Norm |
| CVZ_U.07.05 | Passend | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen | Norm |
| TBV_U.11.02 | Passende toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd | Norm |
| TBV_U.11.03 | Passende toegangsbeveiliging | Medewerkers en contractanten en externen dragen zichtbare identificatie | Norm |
| TBV_U.11.04 | Passende toegangsbeveiliging | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten | Norm |
| CVZ_C.02.02 | Periodiek | Checklist voor veilige inrichting van netwerk(diensten) | Norm |
| TBV_U.10.02 | Personeelsregistratiesysteem | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen | Norm |
| CVZ_B.01.04 | Procedures | Procedures beschrijven het beveiligen van informatie | Norm |
| CVZ_B.01.05 | Procedures | Procedures beschrijven het opsporen van en beschermen tegen malware | Norm |
| CVZ_B.01.06 | Procedures | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie | Norm |
| TBV_C.01.01 | Procedures | De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties | Norm |
| TBV_C.01.02 | Procedures | De organisatie beschikt over een beschrijving van de relevante controleprocessen | Norm |
| TBV_C.01.03 | Procedures | De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus | Norm |
| TBV_C.01.04 | Procedures | De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management | Norm |
| HVI_C.03.01 | Procesmatig | Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management | Norm |
| HVI_C.03.02 | Procesmatig | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken | Norm |
| HVI_C.04.04 | Processtructuur | De samenhang van processen is in een processtructuur vastgelegd. | Norm |
| TBV_C.04.01 | Processtructuur | De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd | Norm |
| TBV_B.05.05 | Rapportagelijnen | Verantwoordings- en rapportagelijnen zijn vastgesteld | Norm |
| TBV_B.05.06 | Rapportagelijnen | Frequentie en eisen voor rapportages | Norm |
| HVI_C.01.01 | Richtlijnen | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen | Norm |
| HVI_C.01.02 | Richtlijnen | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten | Norm |
| HVI_C.01.03 | Richtlijnen | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie | Norm |
| HVI_C.01.04 | Richtlijnen | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie | Norm |
| HVI_C.01.05 | Richtlijnen | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen | Norm |
| HVI_U.01.01 | Richtlijnen | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied | Norm |
| HVI_U.01.02 | Richtlijnen | In beveiligde gebieden wordt slechts onder toezicht gewerkt | Norm |
| HVI_U.01.03 | Richtlijnen | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd | Norm |
| HVI_U.01.04 | Richtlijnen | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten | Norm |
| HVI_U.01.05 | Richtlijnen | Richtlijnen m.b.t. bezoek tot kritieke faciliteiten | Norm |
| CVZ_C.03 | Robuustheid | Evalueren robuustheid netwerkbeveiliging | Beveiligingsprincipe |
| CVZ_C.03.01 | Robuustheid | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd | Norm |
| CVZ_U.17 | Samenhang | Netwerkbeveiligingsarchitectuur | Beveiligingsprincipe |
| CVZ_U.17.01 | Samenhang | De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem | Norm |
| CVZ_U.17.02 | Samenhang | De beveiligingsarchitectuur is gelaagd | Norm |
| CVZ_U.17.03 | Samenhang | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden | Norm |
| HVI_B.06.01 | Service level agreement | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau | Norm |
| HVI_B.06.02 | Service level agreement | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening | Norm |
| HVI_B.06.03 | Service level agreement | De aspecten waarop de Service Levels o.a. zijn gericht | Norm |
| TBV_U.06.02 | Speciale toegangsrechten | Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken | Norm |
| TBV_U.05 | Sterke wachtwoorden | Wachtwoordbeheer | Beveiligingsprincipe |
| TBV_U.05.01 | Sterke wachtwoorden | Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie | Norm |
| TBV_U.05.02 | Sterke wachtwoorden | Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd | Norm |
| TBV_U.09.02 | Systeemfuncties | Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen | Norm |
| TBV_U.07.03 | Taken | Een scheiding is aangebracht tussen beheertaken en gebruikstaken | Norm |
| HVI_B.09.04 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd | Norm |
| TBV_C.04.02 | Taken, verantwoordelijkheden en bevoegdheden | De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk | Norm |
| TBV_B.05.02 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | Verantwoordelijkheden zijn beschreven en toegewezen | Norm |
| TBV_B.05.03 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd | Norm |
| TBV_B.06.01 | Technische inrichting | De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen | Norm |
| TBV_U.09.03 | Toegangbeveiligingsbeleid | Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden | Norm |
| TBV_U.09.04 | Toegangbeveiligingsbeleid | Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie | Norm |
| TBV_B.06.02 | Toegangsbeveiligingsarchitectuur | Er is een toegangbeveiligingsarchitectuur | Norm |
| TBV_B.01.01 | Toegangsbeveiligingsbeleid | Eisen aan het Toegangvoorzieningsbeleid | Norm |
| HVI_U.10.01 | Toegangspunten | Een procedure beschrijft het omgaan met verdachte brieven en pakketten | Norm |
| HVI_U.10.02 | Toegangspunten | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel | Norm |
| HVI_U.10.03 | Toegangspunten | Eisen aan de laad- en loslocatie | Norm |
| HVI_U.10.04 | Toegangspunten | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn | Norm |
| HVI_U.10.05 | Toegangspunten | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd | Norm |
| HVI_U.10.06 | Toegangspunten | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden | Norm |
| HVI_U.10.07 | Toegangspunten | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing | Norm |
| TBV_C.02.01 | Toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld | Norm |
| TBV_C.02.02 | Toegangsrechten | Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld | Norm |
| TBV_C.02.03 | Toegangsrechten | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld | Norm |
| TBV_C.02.04 | Toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd | Norm |
| TBV_C.02.05 | Toegangsrechten | De opvolging van bevindingen is gedocumenteerd. | Norm |
| TBV_U.01.04 | Toegangsrechten | Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen | Norm |
| TBV_U.01.05 | Toegangsrechten | Systeemprivileges op basis van een bevoegdhedenmatrix | Norm |
| TBV_U.04.04 | Toegangsrechten | Toegangsrechten intrekken bij beëindigen van dienstverband | Norm |
| TBV_U.04.05 | Toegangsrechten | Toegangsrechten corresponderen met wijzigingen in het dienstverband | Norm |
| TBV_U.04.06 | Toegangsrechten | Toegangsrechten intrekken voordat dienstverband eindigt of wijzigt, afhankelijk van risicofactoren | Norm |
| CVZ_U.09.04 | Toegestaan netwerkverkeer | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten | Norm |
| TBV_U.06.01 | Toewijzen | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures | Norm |
| CVZ_C.02.03 | Verantwoordelijk | Resultaten worden gerapporteerd aan het verantwoordelijke management | Norm |
| CVZ_C.05.01 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | Norm |
| CVZ_C.05.02 | Verantwoordelijkheden | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | Norm |
| TBV_U.07.04 | Verantwoordelijkheden | Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol | Norm |
| TBV_B.02.04 | Verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen | Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen | Norm |
| TBV_B.02.03 | Verantwoordelijkheden voor logische toegangsbeveiligingssystemen | Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen | Norm |
| CVZ_U.13.01 | Verbindingen | Voor de beheersing van netwerken worden minimumeisen | Norm |
| CVZ_U.11.01 | Vertrouwelijkheid | Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen | Norm |
| CVZ_U.04.01 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | Norm |
| HVI_U.08.02 | Verwijdering of betrouwbaar veilig zijn overschreven | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen | Norm |
| HVI_U.11.01 | Voedingskabels | Kabels worden bij voorkeur ondergronds aangelegd | Norm |
| HVI_U.11.02 | Voedingskabels | De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” | Norm |
| HVI_U.11.03 | Voedingskabels | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden | Norm |
| HVI_B.02.01 | Wettelijke, Statutaire, Regelgevende en Contractuele eisen | De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast | Norm |
| HVI_B.02.02 | Wettelijke, Statutaire, Regelgevende en Contractuele eisen | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen | Norm |
| Cloud_B.01.06 | aanpak | Vaststellen alle van toepassing zijnde wet- en regelgeving | Norm |
| Cloud_C.03.06 | aansluiting | Aansluiten uitkomsten uit diverse rapportages e.d. | Norm |
| PRIV_B.03.03.01 | aantonen | Aantonen onderkende risico's en maatregelen | Norm |
| PRIV_B.03.03.02 | aantonen | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten | Norm |
| PRIV_B.03.03.03 | aantonen | Aantonen aanpak risicomanagement | Norm |
| PRIV_B.03.03.04 | aantonen | Aantonen toepassen DPIA toetsmodel | Norm |
| PRIV_B.03.03.05 | aantonen | Aantonen privacy by design | Norm |
| APO_U.10 | acceptatietests | Systeem acceptatietests | Beveiligingsprincipe |
| APO_U.10.01 | acceptatietests | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Norm |
| APO_U.10.02 | acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt | Norm |
| APO_U.10.03 | acceptatietests | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm |
| APO_U.10.04 | acceptatietests | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Norm |
| APO_U.10.05 | acceptatietests | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm |
| APO_U.10.06 | acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm |
| APO_U.10.07 | acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm |
| PRIV_U.02.02.01 | actueel en samenhangend beeld | De registers geven een samenhangend beeld | Norm |
| PRIV_U.02.02.02 | actueel en samenhangend beeld | Actueel beeld voor de AP | Norm |
| PRIV_U.02.02.03 | actueel en samenhangend beeld | Beschrijving gegevensstromen | Norm |
