| ID | Conformiteitsindicator | naam | Elementtype | | AppO_U.08.01 | (industrie) good practice | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm |
| AppO_U.08.02 | (industrie) good practice | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Norm |
| AppO_U.08.03 | (industrie) good practice | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm |
| AppO_U.08.04 | (industrie) good practice | Geen gebruik van onveilig programmatechnieken | Norm |
| AppO_U.08.05 | (industrie) good practice | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm |
| AppO_U.08.06 | (industrie) good practice | Activiteiten van applicatiebouw worden gereviewd | Norm |
| AppO_U.08 | (industrie) good practice,juiste skills/tools | Applicatiebouw | Beveiligingsprincipe |
| AppO_U.06.03 | (specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm |
| TVZ_B.06 |
- technische inrichting* toegangbeveiligingsarchitectuur
| Toegangsbeveiligingsarchitectuur | Beveiligingsprincipe |
| AppO_B.05.03 | BIVC-aspecten | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm |
| SERV_U.01 | Bedieningsprocedures | Bedieningsprocedures | Beveiligingsprincipe |
| TVZ_U.01.02 | Formele registratie en afmeldprocedure | Het gebruik van groepsaccounts is - tenzij gemotiveerd en vastgelegd door de proceseigenaar - niet toegestaan | Norm |
| Cloud_B.07.01 | IT-functionaliteiten | Treffen maatregelen voor beveiliging IT-functionaliteiten | Norm |
| Cloud_B.07.02 | IT-functionaliteiten | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur | Norm |
| Cloud_B.07.03 | IT-functionaliteiten | Bewaken en beheersen IT-infrastructuur | Norm |
| Cloud_B.07 | IT-functionaliteitenrobuuste en beveiligde systeemketen | IT-functionaliteiten | Beveiligingsprincipe |
| CommVZ_C.05 | Verantwoordelijkheden | Beheerorganisatie netwerkbeveiliging | Beveiligingsprincipe |
| CommVZ_C.05.1 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | Norm |
| CommVZ_C.05.2 | Verantwoordelijkheden | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | Norm |
| Cloud_B.01.06 | aanpak | Vaststellen alle van toepassing zijnde wet- en regelgeving | Norm |
| Cloud_C.03.06 | aansluiting | Aansluiten uitkomsten uit diverse rapportages e.d. | Norm |
| PRIV_B.03.03.01 | aantonen | Aantonen onderkende risico's en maatregelen | Norm |
| PRIV_B.03.03.02 | aantonen | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten | Norm |
| PRIV_B.03.03.03 | aantonen | Aantonen aanpak risicomanagement | Norm |
| PRIV_B.03.03.04 | aantonen | Aantonen toepassen DPIA toetsmodel | Norm |
| PRIV_B.03.03.05 | aantonen | Aantonen privacy by design | Norm |
| AppO_U.10 | acceptatietests | Systeem acceptatietests | Beveiligingsprincipe |
| AppO_U.10.01 | acceptatietests | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Norm |
| AppO_U.10.02 | acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt | Norm |
| AppO_U.10.03 | acceptatietests | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm |
| AppO_U.10.04 | acceptatietests | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Norm |
| AppO_U.10.05 | acceptatietests | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm |
| AppO_U.10.06 | acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm |
| AppO_U.10.07 | acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm |
| PRIV_U.02.02.01 | actueel en samenhangend beeld | De registers geven een samenhangend beeld | Norm |
| PRIV_U.02.02.02 | actueel en samenhangend beeld | Actueel beeld voor de AP | Norm |
| PRIV_U.02.02.03 | actueel en samenhangend beeld | Beschrijving gegevensstromen | Norm |
| PRIV_U.02.02.04 | actueel en samenhangend beeld | Resultaten DPIA in register | Norm |
| PRIV_U.07.05.01 | adequaatheidsbesluit | Adequaatheidsbesluit | Norm |
| PRIV_U.07.02.01 | afdoende garanties | Afdoende garanties formeel vastgelegd | Norm |
| PRIV_U.07.02.02 | afdoende garanties | Bepalingen overeengekomen met de verwerker | Norm |
| PRIV_U.07.02.03 | afdoende garanties | Schriftelijk vastleggen | Norm |
| PRIV_U.07.07.01 | afwijking voor een specifieke situatie | Afwijking voor een specifieke situatie | Norm |
| AppO_U.15.01 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | Norm |
| AppO_U.15.02 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | Het architectuur document wordt actief onderhouden | Norm |
| AppO_U.15.03 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | Norm |
| AppO_U.15 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.,
samenhang | Applicatie architectuur | Beveiligingsprincipe |
| SERV_B.03 | architectuurdocument | Serverplatform architectuur | Beveiligingsprincipe |
| SERV_B.03.01 | architectuurdocument | Eisen aan het architectuurdocument van het in te richten van het serverplatform | Norm |
| SERV_B.03.02 | architectuurdocument | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen | Norm |
| Huisv_U.12.01 | architectuurvoorschriften | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden | Norm |
| Huisv_U.12.02 | architectuurvoorschriften | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd | Norm |
| Cloud_C.03.04 | assurance | Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten | Norm |
| Cloud_C.03.05 | assurance | Betrekken cloud-omgeving en administratie bij assessment | Norm |
| CommVZ_U.14 | authenticatie van netwerknodes | Netwerkauthenticatie | Beveiligingsprincipe |
| CommVZ_U.14.1 | authenticatie van netwerknodes | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd | Norm |
| CommVZ_U.14.2 | authenticatie van netwerknodes | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen | Norm |
| CommVZ_U.12 | authenticatie, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Wireless Access | Beveiligingsprincipe |
| CommVZ_U.12.1 | authenticatie, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken | Norm |
| TVZ_B.04.01 | authenticatie-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling | Norm |
| TVZ_U.08.01 | authenticatie-informatie | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode | Norm |
| TVZ_U.08.02 | authenticatie-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld | Norm |
| TVZ_U.08 | authenticatie-informatiebeheersproces | Geheime authenticatie-informatie | Beveiligingsprincipe |
| TVZ_B.04 | authenticatie-informatiecryptografische beheersmaatregelen | Cryptografie | Beveiligingsprincipe |
| TVZ_U.10.03 | autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd | Norm |
| TVZ_U.10.04 | autorisatiefaciliteiten | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties | Norm |
| TVZ_U.10.01 | autorisatievoorzieningen | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet | Norm |
| TVZ_U.10 | autorisatievoorzieningenpersoneel registratiesysteemautorisatiebeheer systeemautorisatiefaciliteiten | Autorisatievoorzieningen | Beveiligingsprincipe |
| SERV_U.01.01 | bedieningsprocedures | Gedocumenteerde procedures voor bedieningsactiviteiten | Norm |
| SERV_U.01.02 | bedieningsprocedures | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten | Norm |
| SERV_U.01.03 | bedieningsprocedures | In de bedieningsprocedures opgenomen bedieningsvoorschriften | Norm |
| Cloud_B.08.06 | bedrijfscontinuïteitsplanning | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit | Norm |
| TVZ_B.01.02 | bedrijfseisen | Aandacht aan relevante wetgeving en contractuele verplichtingen | Norm |
| TVZ_B.01.03 | bedrijfseisen | Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen | Norm |
| AppO_U.09.01 | bedrijfsfunctionaliteiten | Functionarissen testen functionele requirements | Norm |
| AppO_U.09 | bedrijfsfunctionaliteiten,
beveiligingsfunctionaliteiten | Testen van systeembeveiliging | Beveiligingsprincipe |
| Huisv_U.09.01 | bedrijfsmiddelen | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd | Norm |
| Huisv_U.09.02 | bedrijfsmiddelen | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen | Norm |
| Huisv_U.09.03 | bedrijfsmiddelen | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd | Norm |
| Huisv_U.09.04 | bedrijfsmiddelen | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd | Norm |
| Huisv_U.09.05 | bedrijfsmiddelen | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt | Norm |
| CommVZ_U.01.6 | beheer | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | Norm |
| CommVZ_U.03.1 | beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | Norm |
| CommVZ_U.03.2 | beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | Norm |
| CommVZ_U.03.3 | beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd | Norm |
| CommVZ_U.03.4 | beheerd | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | Norm |
| CommVZ_U.15.1 | beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie | Norm |
| CommVZ_U.03 | beheerd,
beheerst | Netwerk beveiligingsbeheer | Beveiligingsprincipe |
| CommVZ_U.15 | beheerd,
beheerst | Netwerk beheeractiviteiten | Beveiligingsprincipe |
| CommVZ_U.05.1 | beheereisen | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Norm |
| CommVZ_U.05 | beheereisen,
dienstverleningsniveaus,
beveiligingsmechanismen | Beveiliging netwerkdiensten | Beveiligingsprincipe |
| Cloud_U.07.03 | beheerfuncties | Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik | Norm |
| Huisv_C.04.02 | beheersingsorganisatie | Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk | Norm |
| Huisv_C.04.03 | beheersingsorganisatie | Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd | Norm |
| Huisv_C.04.04 | beheersingsorganisatie | Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd | Norm |
| Cloud_U.09.01 | beheersmaatregelen | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen | Norm |
| Cloud_U.09.02 | beheersmaatregelen | Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter | Norm |
| CommVZ_B.01.7 | beheersmaatregelen | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | Norm |
| Cloud_U.09 | beheersmaatregelendetectie, preventie en herstel | Malware-protectie | Beveiligingsprincipe |
| TVZ_U.08.03 | beheersproces | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden | Norm |
| TVZ_U.08.04 | beheersproces | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens | Norm |
| Cloud_U.12.07 | beheerst | Delen nieuwe dreigingen binnen overheid | Norm |
| CommVZ_U.03.5 | beheerst | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | Norm |
| CommVZ_U.03.6 | beheerst | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | Norm |
| CommVZ_U.15.2 | beheerst | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken | Norm |
| TVZ_U.06.03 | beheerst | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld | Norm |
| Cloud_U.11.01 | beleid | Uitwerken cryptografiebeleid | Norm |
| Cloud_B.08.05 | beleid en procedures | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices | Norm |
| AppO_B.02.05 | beleid en wet en regelgeving | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | Norm |
| Cloud_U.11 | beleidcryptografische maatregelenversleuteld | Crypto-services | Beveiligingsprincipe |
| CommVZ_B.01.1 | beleidsregels | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | Norm |
| CommVZ_B.01.2 | beleidsregels | Beleid of richtlijnen omschrijven het toepassen van cryptografie | Norm |
| CommVZ_B.01.3 | beleidsregels | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | Norm |
| Huisv_B.01.02 | beleidsregels | Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen | Norm |
| Huisv_B.01.03 | beleidsregels | Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening | Norm |
| CommVZ_B.01 | beleidsregels,
procedures,
beheersmaatregelen | Beleid en procedures informatietransport | Beveiligingsprincipe |
| PRIV_B.02.02.01 | benodigde middelen | Benodigde middelen | Norm |
| CommVZ_U.16.2 | beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen | Norm |
| TVZ_C.03.07 | beoordeeld | De logbestanden worden gedurende een overeengekomen periode bewaard | Norm |
| LTV_C.03.04 | beoordelen | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld | Norm |
| TVZ_C.02.06 | beoordelen | Het beoordelen vind plaats op basis van een formeel proces | Norm |
| TVZ_C.02.07 | beoordelen | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting | Norm |
| Cloud_B.03.01 | bepalingen | Vastleggen bepalingen over exit-regeling | Norm |
| Cloud_B.03 | bepalingencondities | Exit-strategie | Beveiligingsprincipe |
| AppO_U.03.04 | best practices | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | Norm |
| AppO_U.03.05 | best practices | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | Norm |
| AppO_U.03.06 | best practices | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | Norm |
| AppO_U.03.07 | best practices | Gebruik van programmacode uit externe programmabibliotheken | Norm |
| TVZ_U.11.01 | beveiligde gebieden | Toegang tot beveiligingszones of gebouwen is slechts toegankelijk voor geautoriseerde personen | Norm |
| TVZ_U.11 | beveiligde gebiedenpassende toegangsbeveiliging | Fysieke toegangsbeveiliging | Beveiligingsprincipe |
| TVZ_U.03 | beveiligde inlogprocedure | Inlogprocedures | Beveiligingsprincipe |
| TVZ_U.03.01 | beveiligde inlogprocedure | Toegang vanuit een niet naar een wel vertrouwde zone vindt plaats op basis van minimaal 2-factor authenticatie | Norm |
| TVZ_U.03.02 | beveiligde inlogprocedure | Vooraf aan het verlenen van toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaakt | Norm |
| TVZ_U.03.03 | beveiligde inlogprocedure | Met een risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen | Norm |
| AppO_U.12 | beveiligde ontwikkelomgevingen | Beveiligde ontwikkel- (en test) omgeving | Beveiligingsprincipe |
| AppO_U.12.01 | beveiligde ontwikkelomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Norm |
| AppO_U.12.02 | beveiligde ontwikkelomgevingen | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | Norm |
| AppO_U.12.03 | beveiligde ontwikkelomgevingen | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | Norm |
| AppO_U.12.04 | beveiligde ontwikkelomgevingen | Voor remote werkzaamheden is een werkwijze vastgelegd | Norm |
| AppO_U.12.05 | beveiligde ontwikkelomgevingen | Ontwikkelaars hebben geen toegang tot productieomgeving | Norm |
| AppO_U.12.06 | beveiligde ontwikkelomgevingen | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | Norm |
| AppO_U.12.07 | beveiligde ontwikkelomgevingen | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | Norm |
| AppO_U.12.08 | beveiligde ontwikkelomgevingen | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | Norm |
| AppO_U.12.09 | beveiligde ontwikkelomgevingen | De overdracht naar de Productieomgeving vindt gecontroleerd plaats | Norm |
| Cloud_B.09.01 | beveiligingsaspecten en stadia | Treffen maatregelen voor opslag, verwerking en transport van data | Norm |
| Cloud_B.09 | beveiligingsaspecten en stadiatoegang en privacyclassificatie/labeleneigenaarschaplocatie | Data en privacy | Beveiligingsprincipe |
| SERV_C.06.02 | beveiligingsbeleid | Inhoud van het beveiligingsbeleid | Norm |
| AppO_U.05 | beveiligingseisen | Analyse en specificatie van informatiebeveiligingseisen | Beveiligingsprincipe |
| AppO_U.05.01 | beveiligingseisen | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | Norm |
| AppO_U.05.02 | beveiligingseisen | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | Norm |
| AppO_U.05.03 | beveiligingseisen | Informatiebeveiligingseisen | Norm |
| AppO_U.05.04 | beveiligingseisen | Overwogen informatiebeveiligingseisen | Norm |
| Cloud_B.10.01 | beveiligingsfunctie | Bewerkstelligen en promoten cloudbeveiligingsbeleid | Norm |
| Cloud_B.10.02 | beveiligingsfunctie | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen | Norm |
| TVZ_B.03 | beveiligingsfunctie | Beveiligingsfunctie | Beveiligingsprincipe |
| TVZ_B.03.01 | beveiligingsfunctie | De rollen binnen de beveiligingsfunctie moeten zijn benoemd | Norm |
| TVZ_B.03.02 | beveiligingsfunctie | Het toegangbeveiligingssysteem wordt periodiek geevalueerd | Norm |
| Cloud_B.10 | beveiligingsfunctieorganisatorische positietaken, verantwoordelijkheden en bevoegdhedenfunctionarissenrapportagelijnen | Beveiligingsorganisatie | Beveiligingsprincipe |
| AppO_U.09.02 | beveiligingsfunctionaliteiten | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | Norm |
| AppO_B.09.01 | beveiligingsfunctionaris | Taken van de beveiligingsfunctionaris | Norm |
| SERV_C.06.01 | beveiligingsfunctionaris | Activiteiten van de beveiligingsfunctionaris | Norm |
| SERV_C.06 | beveiligingsfunctionaris,
beveiligingsbeleid | Beheerorganisatie serverplatforms | Beveiligingsprincipe |
| AppO_B.09 | beveiligingsfunctionaris,beveiligingsvoorschriften | Projectorganisatie | Beveiligingsprincipe |
| CommVZ_U.05.3 | beveiligingsmechanismen | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | Norm |
| CommVZ_U.05.5 | beveiligingsmechanismen | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | Norm |
| CommVZ_U.05.6 | beveiligingsmechanismen | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | Norm |
| AppO_B.09.02 | beveiligingsvoorschriften | Inzicht gegeven door de beveiligingsfunctionaris | Norm |
| Huisv_U.03.01 | beveilingszones | Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften | Norm |
| Huisv_U.03.02 | beveilingszones | Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen | Norm |
| Huisv_U.03.03 | beveilingszones | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten | Norm |
| Huisv_U.03.04 | beveilingszones | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel | Norm |
| Huisv_U.03.05 | beveilingszones | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd | Norm |
| Cloud_U.10.04 | bevoegd | Toekennen bevoegdheden voor gebruikers via formele procedures | Norm |
| Cloud_U.10.05 | bevoegd | Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren | Norm |
| Cloud_U.12.05 | bewaakt | Bewaken en analyseren dataverkeer op kwaadaardige elementen | Norm |
| Cloud_U.12.06 | bewaakt | Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM | Norm |
| CommVZ_U.13.2 | bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd | Norm |
| TVZ_C.03.04 | bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld | Norm |
| TVZ_C.03.05 | bewaard | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd | Norm |
| TVZ_C.03.06 | bewaard | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. | Norm |
| Cloud_U.06.01 | bewaartermijn | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet | Norm |
| PRIV_U.06.02.01 | bewaartermijn | Bewaartermijnen worden vastgesteld en bekrachtigd | Norm |
| PRIV_U.06.02.02 | bewaartermijn | Maximale bewaartermijn | Norm |
| PRIV_U.06.02.03 | bewaartermijn | Sectorspecifieke bewaartermijnen | Norm |
| PRIV_U.06.02.04 | bewaartermijn | Langere opslagperiode voor specifieke doelen (onderzoek, statistiek) | Norm |
| PRIV_U.06 | bewaartermijn, nodige maatregelen | Bewaren van persoonsgegevens | Privacyprincipe |
| Cloud_U.06 | bewaartermijntechnologie-onafhankelijk raadpleegbaaronveranderbaarvernietigd | Dataretentie en vernietiging gegevens | Beveiligingsprincipe |
| Huisv_B.08.01 | bewustzijnsopleiding, –training en bijscholing | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers | Norm |
| Huisv_B.08.02 | bewustzijnsopleiding, –training en bijscholing | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging | Norm |
| AppO_U.06.01 | business vereisten en reviews | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | Norm |
| AppO_U.06 | business vereisten en reviews,omgevingsanalyse,(specifieke) beveiliging | Applicatie ontwerp | Beveiligingsprincipe |
| Cloud_B.05.04 | certificaten | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten | Norm |
| Cloud_B.09.03 | classificatie/labelen | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt | Norm |
| Cloud_B.09.04 | classificatie/labelen | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken | Norm |
| Cloud_B.09.05 | classificatie/labelen | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten | Norm |
| Cloud_B.04 | cloudbeveiligingsbeleid | Clouddienstenbeleid | Beveiligingsprincipe |
| Cloud_B.04.01 | cloudbeveiligingsbeleid | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid | Norm |
| Cloud_B.02.01 | cloudbeveiligingsstrategie | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt | Norm |
| Cloud_B.02.02 | cloudbeveiligingsstrategie | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext | Norm |
| Cloud_B.02 | cloudbeveiligingsstrategiesamenhangt | Cloudbeveiligingsstrategie | Beveiligingsprincipe |
| AppO_C.05 | compliance management proces | Compliance management | Beveiligingsprincipe |
| AppO_C.05.01 | compliance management proces | Het compliance management proces is gedocumenteerd en vastgesteld | Norm |
| AppO_C.05.02 | compliance management proces | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | Norm |
| Cloud_C.03.01 | compliancy | Inrichten compliance-proces voor governance van clouddienstverlening | Norm |
| Cloud_C.03.02 | compliancy | Registreren reguliere rapportages in administratie | Norm |
| Cloud_C.03.03 | compliancy | Aansluiten compliance-proces op ISMS | Norm |
| Cloud_C.03 | compliancyassuranceaansluiting | Compliance en assurance | Beveiligingsprincipe |
| Cloud_B.08.09 | computercentra | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen | Norm |
| Cloud_B.03.02 | condities | Overgaan tot exit buiten verstrijken contractperiode | Norm |
| AppO_C.04 | configuratie-administratie | (Software) configuratie management | Beveiligingsprincipe |
| AppO_C.04.01 | configuratie-administratie | Software configuratiescomponenten worden conform procedures vastgelegd | Norm |
| AppO_C.04.02 | configuratie-administratie | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | Norm |
| AppO_C.04.03 | configuratie-administratie | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | Norm |
| Cloud_U.03.02 | continuïteitseisen | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen | Norm |
| Cloud_B.01.05 | contractuele eisen | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen | Norm |
| Cloud_C.01.03 | controle-activiteiten en rapportages | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties | Norm |
| AppO_C.01.06 | controleactiviteiten en rapportages | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | Norm |
| Huisv_U.07.01 | correcte wijze | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden | Norm |
| Huisv_U.07.02 | correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel | Norm |
| Huisv_U.07.03 | correcte wijze | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel | Norm |
| Huisv_U.07.04 | correcte wijze | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd | Norm |
| Huisv_U.07.05 | correcte wijze | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd | Norm |
| Huisv_U.07.06 | correcte wijze | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd | Norm |
| Cloud_U.13.01 | coördinatie | Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie | Norm |
| Cloud_U.13 | coördinatieservice-componenten | Service-orkestratie | Beveiligingsprincipe |
| CommVZ_B.03 | cryptografiebeleid | Cryptografiebeleid voor communicatie | Beveiligingsprincipe |
| CommVZ_B.03.1 | cryptografiebeleid | In het cryptografiebeleid uitgewerkte onderwerpen | Norm |
| CommVZ_B.03.2 | cryptografiebeleid | Aanvullende onderdelen in het cryptografiebeleid | Norm |
| CommVZ_U.11.4 | cryptografische beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden | Norm |
| TVZ_B.04.02 | cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen | Norm |
| Cloud_U.05 | cryptografische maatregelen | Data-protectie | Beveiligingsprincipe |
| Cloud_U.05.01 | cryptografische maatregelen | ‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer | Norm |
| Cloud_U.05.02 | cryptografische maatregelen | ‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie | Norm |
| Cloud_U.11.02 | cryptografische maatregelen | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer | Norm |
| SERV_U.03.06 | detectie | Servers en hiervoor gebruikte media worden routinematig gescand op malware | Norm |
| SERV_U.03.07 | detectie | De malware scan wordt op alle omgevingen uitgevoerd | Norm |
| Cloud_U.09.03 | detectie, preventie en herstel | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie | Norm |
| CommVZ_U.05.2 | dienstverleningsniveaus | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | Norm |
| CommVZ_U.05.4 | dienstverleningsniveaus | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | Norm |
| Huisv_U.12.03 | documentatie | Aan het architectuurdocument gestelde eisen | Norm |
| PRIV_C.03.03.01 | documenteert de inbreuk | Registratie en documentatie van de inbreuken | Norm |
| PRIV_C.03.03.02 | documenteert de inbreuk | Naleving controleren op basis van documentatie | Norm |
| PRIV_C.03.03.03 | documenteert de inbreuk | Noodzakelijke gegevens in de documentatie | Norm |
| PRIV_C.03.03.04 | documenteert de inbreuk | Kennisgeving vastleggen | Norm |
| PRIV_U.01.02.01 | doeleinden | Doeleinden; toereikend, ter zake dienend en beperkt | Norm |
| PRIV_U.01.02.02 | doeleinden | Doeleinden; rechtmatigheid | Norm |
| PRIV_U.01.02.03 | doeleinden | Doeleinden; transparant, behoorlijk en veilig | Norm |
| PRIV_U.04.02.02 | een passend beveiligingsniveau | Risicoanalyse | Norm |
| PRIV_U.04.02.03 | een passend beveiligingsniveau | Gedragscode, certificering | Norm |
| AppO_C.02.04 | efficiënte wijze | Ondersteuning vanuit het toegepaste versiebeheertool | Norm |
| Huisv_B.03.01 | eigenaar | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd | Norm |
| Huisv_B.03.02 | eigenaar | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel | Norm |
| Huisv_B.03.03 | eigenaar | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus | Norm |
| Huisv_B.03.04 | eigenaar | Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen | Norm |
| Cloud_B.09.06 | eigenaarschap | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten | Norm |
| Cloud_B.09.07 | eigenaarschap | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst | Norm |
| TVZ_B.02.01 | eigenaarschap | Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen | Norm |
| TVZ_B.02.02 | eigenaarschap | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit | Norm |
| TVZ_B.02 | eigenaarschapverantwoordelijkheden voor logische bedrijfsmiddelen | Eigenaarschap bedrijfsmiddelen | Beveiligingsprincipe |
| PRIV_C.01.01.01 | evaluatie | Toezien op het voldoen aan de wettelijke verplichtingen | Norm |
| PRIV_C.01.01.02 | evaluatie | Evaluatierapportage bij niet voldoen | Norm |
| PRIV_C.01.01.03 | evaluatie | Planmatige controle op compliancy | Norm |
| AppO_U.16 | faciliteiten | Tooling ontwikkelmethode | Beveiligingsprincipe |
| AppO_U.16.01 | faciliteiten | Het tool ondersteunt alle fasen van het ontwikkelproces | Norm |
| AppO_U.16.02 | faciliteiten | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | Norm |
| AppO_U.16.03 | faciliteiten | Het tool beschikt over faciliteiten voor versie- en releasebeheer | Norm |
| AppO_U.16.04 | faciliteiten | Faciliteiten van het tool | Norm |
| AppO_U.16.05 | faciliteiten | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | Norm |
| Huisv_U.04.01 | faciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn | Norm |
| Huisv_U.04.02 | faciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar | Norm |
| Huisv_U.04.03 | faciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk | Norm |
| Huisv_U.04.04 | faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan | Norm |
| CommVZ_U.09.1 | filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument | Norm |
| CommVZ_U.09.2 | filterfunctie | De filterfunctie van gateways en firewalls is instelbaar | Norm |
| CommVZ_U.09.3 | filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM | Norm |
| CommVZ_U.09 | filterfunctie,
toegestaan netwerkverkeer | Gateway/Firewall | Beveiligingsprincipe |
| TVZ_U.04.01 | formeel autorisatieproces | Een formeel proces voor het aanvragen, verwerken en archiveren van autorisaties wordt toegepast | Norm |
| TVZ_U.04.02 | formeel autorisatieproces | Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht | Norm |
| TVZ_U.04.03 | formeel autorisatieproces | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd | Norm |
| TVZ_U.04 | formeel autorisatieprocestoegangsrechten | Autorisatieproces | Beveiligingsprincipe |
| AppO_U.01.03 | formele procedures | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | Norm |
| AppO_U.01.04 | formele procedures | Elementen van de procedures voor wijzigingsbeheer | Norm |
| TVZ_U.01.01 | formele registratie en afmeldprocedure | Voor alle gebruikers wordt een sluitende formele registratie- en afmeldprocedure toegepast | Norm |
| TVZ_U.01.03 | formele registratie en afmeldprocedure | De aanvraag van autorisaties en de toegewezen autorisatieniveaus worden gecontroleerd | Norm |
| TVZ_U.01 | formele registratie en afmeldproceduretoegangsrechten | Registratieprocedure | Beveiligingsprincipe |
| SERV_U.09.01 | functies | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld | Norm |
| SERV_U.09.02 | functies | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt | Norm |
| SERV_U.09 | functies,
toegang | Hardenen van servers | Beveiligingsprincipe |
| AppO_C.08.02 | functionarissen | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | Norm |
| Cloud_B.10.06 | functionarissen | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken | Norm |
| Cloud_C.06.03 | functionarissen | Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties | Norm |
| Huisv_B.09.03 | functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie | Norm |
| TVZ_B.05.02 | functionarissen | Organisatieschema met de belangrijkste functionarissen | Norm |
| TVZ_C.04.02 | functionarissen | De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk | Norm |
| AppO_U.04 | functionele eisen | Analyse en specificatie van informatiesystemen | Beveiligingsprincipe |
| AppO_U.04.01 | functionele eisen | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | Norm |
| AppO_U.04.02 | functionele eisen | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | Norm |
| AppO_U.04.03 | functionele eisen | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | Norm |
| AppO_U.04.04 | functionele eisen | Alle vereisten worden gevalideerd door peer review of prototyping | Norm |
| AppO_U.04.05 | functionele eisen | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | Norm |
