| ID |
Conformiteitsindicator |
naam |
Elementtype |
|---|
| AppO_B.01 |
regels |
Beleid voor (beveiligd) ontwikkelen |
Beveiligingsprincipe |
| AppO_B.01.01 |
regels |
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
Norm |
| AppO_B.01.02 |
regels |
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
Norm |
| AppO_B.01.03 |
regels |
Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
Norm |
| AppO_B.01.04 |
regels |
Technieken voor beveiligd programmeren |
Norm |
| AppO_B.02 |
systeem ontwikkelmethode,standaarden/procedures,beleid en wet en regelgeving,projectmatige aanpak |
Systeem ontwikkelmethode |
Beveiligingsprincipe |
| AppO_B.02.01 |
systeem ontwikkelmethode |
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
Norm |
| AppO_B.02.02 |
systeem ontwikkelmethode |
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
Norm |
| AppO_B.02.03 |
systeem ontwikkelmethode |
Adoptie van ontwikkelmethodologie wordt gemonitord |
Norm |
| AppO_B.02.04 |
standaarden/procedures |
Software wordt ontwikkelen conform standaarden en procedures |
Norm |
| AppO_B.02.05 |
beleid en wet en regelgeving |
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
Norm |
| AppO_B.02.06 |
projectmatig |
Het softwareontwikkeling wordt projectmatig aangepakt |
Norm |
| AppO_B.03 |
informatie,wettelijke eisen, waarde, belang, gevoeligheid |
Classificatie van Informatie |
Beveiligingsprincipe |
| AppO_B.03.01 |
informatie |
Dataclassificatie' als uitgangspunt voor softwareontwikkeling |
Norm |
| AppO_B.03.02 |
informatie |
Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
Norm |
| AppO_B.03.03 |
informatie |
Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
Norm |
| AppO_B.03.04 |
wettelijke eisen, waarde, belang, gevoeligheid |
Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
Norm |
| AppO_B.04 |
principes |
Engineeringprincipes beveiligde systemen |
Beveiligingsprincipe |
| AppO_B.04.01 |
principes |
Security by Design als uitgangspunt voor softwareontwikkeling |
Norm |
| AppO_B.04.02 |
principes |
Principes voor het beveiligen van informatiesystemen |
Norm |
| AppO_B.04.03 |
principes |
Beveiliging is integraal onderdeel van systeemontwikkeling |
Norm |
| AppO_B.04.04 |
principes |
Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
Norm |
| AppO_B.05 |
perspectieven,scenario's,BIVC-aspecten |
Business Impact Analyse |
Beveiligingsprincipe |
| AppO_B.05.01 |
perspectieven |
Perspectieven bij de Business Impact Analyse |
Norm |
| AppO_B.05.02 |
scenario's |
Scenario's voor de Business Impact Analyse |
Norm |
| AppO_B.05.03 |
BIVC-aspecten |
Vaststelling op welke wijze eventueel compromitteren invloed heeft op de financiën van de organisatie |
Norm |
| AppO_B.06 |
privacy en bescherming van persoonsgegevens,wet- en regelgeving |
Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse) |
Beveiligingsprincipe |
| AppO_B.06.01 |
privacy en bescherming van persoonsgegevens |
GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
Norm |
| AppO_B.06.02 |
privacy en bescherming van persoonsgegevens |
Procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten |
Norm |
| AppO_B.06.03 |
privacy en bescherming van persoonsgegevens |
Een tot standaard verheven GEB-toetsmodel wordt toegepast |
Norm |
| AppO_B.06.04 |
privacy en bescherming van persoonsgegevens |
Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
Norm |
| AppO_B.06.05 |
privacy en bescherming van persoonsgegevens |
Risicomanagement aanpak aantoonbaar toegepast |
Norm |
| AppO_B.06.06 |
wet- en regelgeving |
Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
Norm |
| AppO_B.07 |
ontwikkel en onderhoudsbeleid,kwaliteitsmanagement systeem |
Kwaliteitsmanagement systeem |
Beveiligingsprincipe |
| AppO_B.07.01 |
ontwikkel en onderhoudsbeleid |
De doelorganisatie beschikt over een ontwikkel & onderhoudsbeleid |
Norm |
| AppO_B.07.02 |
ontwikkel en onderhoudsbeleid |
De doelorganisatie beschikt over QA methodiek en QSM methodiek |
Norm |
| AppO_B.07.03 |
kwaliteitsmanagement systeem |
De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
Norm |
| AppO_B.07.04 |
kwaliteitsmanagement systeem |
Voor informatie- en communicatie zijn processen ingericht |
Norm |
| AppO_B.07.05 |
kwaliteitsmanagement systeem |
Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
Norm |
| AppO_B.07.06 |
kwaliteitsmanagement systeem |
Aan het management worden evaluatierapportages worden verstrekt |
Norm |
| AppO_B.07.07 |
kwaliteitsmanagement systeem |
Applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS |
Norm |
| AppO_B.08 |
programmabroncode en broncode bibliotheken |
Toegangsbeveiliging op programmacode |
Beveiligingsprincipe |
| AppO_B.08.01 |
programmabroncode en broncode bibliotheken |
Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
Norm |
| AppO_B.08.02 |
programmabroncode en broncode bibliotheken |
Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
Norm |
| AppO_B.09 |
beveiligingsfunctionaris,beveiligingsvoorschriften |
Projectorganisatie |
Beveiligingsprincipe |
| AppO_B.09.01 |
beveiligingsfunctionaris |
Taken van de beveiligingsfunctionaris |
Norm |
| AppO_B.09.02 |
beveiligingsvoorschriften |
Inzicht gegeven door de beveiligingsfunctionaris |
Norm |
| AppO_C.01 |
richtlijnen,controleactiviteiten en rapportages,ontwikkelactiviteiten |
Richtlijnen evaluatie ontwikkelactiviteiten |
Beveiligingsprincipe |
| AppO_C.01.01 |
richtlijnen |
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
Norm |
| AppO_C.01.02 |
richtlijnen |
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
Norm |
| AppO_C.01.03 |
richtlijnen |
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
Norm |
| AppO_C.01.04 |
richtlijnen |
Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen |
Norm |
| AppO_C.01.05 |
richtlijnen |
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
Norm |
| AppO_C.01.06 |
controleactiviteiten en rapportages |
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
Norm |
| AppO_C.01.07 |
ontwikkelactiviteiten |
Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
Norm |
| AppO_C.02 |
procesmatige,efficiënte |
Versie Management |
Beveiligingsprincipe |
| AppO_C.02.01 |
procesmatig |
Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris |
Norm |
| AppO_C.02.02 |
procesmatig |
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
Norm |
| AppO_C.02.03 |
procesmatig |
Versiemanagement wordt ondersteund met procedures en werkinstructies |
Norm |
| AppO_C.02.04 |
efficiënte wijze |
Ondersteuning vanuit het toegepaste versiebeheertool |
Norm |
| AppO_C.03 |
procesmatig en procedureel,
technische kwetsbaarheden,
tijdig |
Patchmanagement van externe programmacode |
Beveiligingsprincipe |
| AppO_C.03.01 |
procesmatig en procedureel |
Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt |
Norm |
| AppO_C.03.02 |
procesmatig en procedureel |
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
Norm |
| AppO_C.03.03 |
procesmatig en procedureel |
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
Norm |
| AppO_C.03.04 |
technische kwetsbaarheden |
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
Norm |
| AppO_C.03.05 |
technische kwetsbaarheden |
Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes |
Norm |
| AppO_C.03.06 |
tijdig |
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
Norm |
| AppO_C.04 |
configuratie-administratie |
(Software) configuratie management |
Beveiligingsprincipe |
| AppO_C.04.01 |
configuratie-administratie |
Software configuratiescomponenten worden conform procedures vastgelegd |
Norm |
| AppO_C.04.02 |
configuratie-administratie |
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
Norm |
| AppO_C.04.03 |
configuratie-administratie |
Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB |
Norm |
| AppO_C.05 |
quality assurance proces |
Quality assurance |
Beveiligingsprincipe |
| AppO_C.05.01 |
quality assurance proces |
De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
Norm |
| AppO_C.05.02 |
quality assurance proces |
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
Norm |
| AppO_C.05.03 |
quality assurance proces |
Rapportage van de resultaten uit QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
Norm |
| AppO_C.05.04 |
quality assurance proces |
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
Norm |
| AppO_C.06 |
compliance management proces |
Compliance management |
Beveiligingsprincipe |
| AppO_C.06.01 |
compliance management proces |
Het compliance management proces is gedocumenteerd en vastgesteld |
Norm |
| AppO_C.06.02 |
compliance management proces |
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
Norm |
| AppO_C.07 |
verandering van besturingsplatforms |
Technische beoordeling van informatiesystemen na wijziging besturingsplatform |
Beveiligingsprincipe |
| AppO_C.07.01 |
verandering van besturingsplatforms |
Testen bij verandering van besturingssystemen |
Norm |
| AppO_C.08 |
structuur van de beheersprocessen,functionarissen,taken, verantwoordelijkheden en bevoegdheden |
Beheersing van software ontwikkeling(sprojecten) |
Beveiligingsprincipe |
| AppO_C.08.01 |
structuur van de beheersprocessen |
De samenhang van de beheerprocessen wordt door middel van een processtructuur vastgelegd |
Norm |
| AppO_C.08.02 |
functionarissen |
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
Norm |
| AppO_C.08.03 |
taken, verantwoordelijkheden en bevoegdheden |
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
Norm |
| AppO_C.08.04 |
taken, verantwoordelijkheden en bevoegdheden |
De taken verantwoordelijkheden en bevoegdheden voor evaluatie- en beheerwerkzaamheden zijn beschreven |
Norm |
| AppO_U.01 |
levenscyclus,
formele procedures |
Procedures voor wijzigingsbeheer m.b.t. applicaties |
Beveiligingsprincipe |
| AppO_U.01.01 |
levenscyclus |
Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
Norm |
| AppO_U.01.02 |
levenscyclus |
Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
Norm |
| AppO_U.01.03 |
formele procedures |
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
Norm |
| AppO_U.01.04 |
formele procedures |
Elementen van de procedures voor wijzigingsbeheer |
Norm |
| AppO_U.02 |
regels |
Beperkingen voor de installatie van software(richtlijnen) |
Beveiligingsprincipe |
| AppO_U.02.01 |
regels |
Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
Norm |
| AppO_U.02.02 |
regels |
Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
Norm |
| AppO_U.02.03 |
regels |
De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars |
Norm |
| AppO_U.03 |
regels,best practices |
Richtlijnen voor programmacode (best practices) |
Beveiligingsprincipe |
| AppO_U.03.01 |
regels |
De programmacode voor functionele specificaties is reproduceerbaar |
Norm |
| AppO_U.03.02 |
regels |
Programmacode wordt aantoonbaar veilig gecreëerd |
Norm |
| AppO_U.03.03 |
regels |
Programmacode is effectief - veranderbaar en testbaar |
Norm |
| AppO_U.03.04 |
best practices |
Over het gebruik van vocabulaire - applicatieframework en toolkits zijn afspraken gemaakt |
Norm |
| AppO_U.03.05 |
best practices |
Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
Norm |
| AppO_U.03.06 |
best practices |
Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
Norm |
| AppO_U.03.07 |
best practices |
Gebruik van programmacode uit externe programmabibliotheken |
Norm |
| AppO_U.04 |
functionele eisen |
Analyse en specificatie van informatiesystemen |
Beveiligingsprincipe |
| AppO_U.04.01 |
functionele eisen |
Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in het FO vastgelegd |
Norm |
| AppO_U.04.02 |
functionele eisen |
Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
Norm |
| AppO_U.04.03 |
functionele eisen |
Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
Norm |
| AppO_U.04.04 |
functionele eisen |
Alle vereisten worden gevalideerd door peer review of prototyping |
Norm |
| AppO_U.04.05 |
functionele eisen |
Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
Norm |
| AppO_U.05 |
beveiligingseisen |
Analyse en specificatie van informatiebeveiligingseisen |
Beveiligingsprincipe |
| AppO_U.05.01 |
beveiligingseisen |
Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
Norm |
| AppO_U.05.02 |
beveiligingseisen |
De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
Norm |
| AppO_U.05.03 |
beveiligingseisen |
Informatiebeveiligingseisen |
Norm |
| AppO_U.05.04 |
beveiligingseisen |
Overwogen informatiebeveiligingseisen |
Norm |
| AppO_U.06 |
business vereisten en reviews,omgevingsanalyse,(specifieke) beveiliging |
Applicatie ontwerp |
Beveiligingsprincipe |
| AppO_U.06.01 |
business vereisten en reviews |
Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
Norm |
| AppO_U.06.02 |
omgevingsanalyse |
Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
Norm |
| AppO_U.06.03 |
(specifieke) beveiliging |
Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
Norm |
| AppO_U.07 |
invoerfuncties,
verwerkingsfuncties,
uitvoerfuncties |
Applicatie functionaliteiten |
Beveiligingsprincipe |
| AppO_U.07.01 |
invoerfuncties |
Bereikcontroles worden toegepast en gegevens worden gevalideerd |
Norm |
| AppO_U.07.02 |
verwerkingsfuncties |
Geprogrammeerde controles worden ondersteund |
Norm |
| AppO_U.07.03 |
verwerkingsfuncties |
Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
Norm |
| AppO_U.07.04 |
verwerkingsfuncties |
Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
Norm |
| AppO_U.07.05 |
verwerkingsfuncties |
Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
Norm |
| AppO_U.07.06 |
verwerkingsfuncties |
Opgeleverde en over te dragen gegevens worden gevalideerd |
Norm |
| AppO_U.07.07 |
verwerkingsfuncties |
Controle op juistheid volledigheid en tijdigheid van input en op verwerking en output van gegevens |
Norm |
| AppO_U.07.08 |
verwerkingsfuncties |
Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
Norm |
| AppO_U.07.09 |
uitvoerfuncties |
Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
Norm |
| AppO_U.08 |
(industrie) good practice,juiste skills/tools |
Applicatiebouw |
Beveiligingsprincipe |
| AppO_U.08.01 |
(industrie) good practice |
Voor het bouwen van programmacode zijn gedocumenteerde standaarden en procedures beschikbaar |
Norm |
| AppO_U.08.02 |
(industrie) good practice |
Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
Norm |
| AppO_U.08.03 |
(industrie) good practice |
Voor het creëren van programma code wordt gebruik gemaakt van good practices |
Norm |
| AppO_U.08.04 |
(industrie) good practice |
Geen gebruik van onveilig programmatechnieken |
Norm |
| AppO_U.08.05 |
(industrie) good practice |
(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
Norm |
| AppO_U.08.06 |
(industrie) good practice |
Activiteiten van applicatiebouw worden gereviewd |
Norm |
| AppO_U.08.07 |
juiste skills/tools |
De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
Norm |
| AppO_U.09 |
bedrijfsfunctionaliteiten,
beveiligingsfunctionaliteiten |
Testen van systeembeveiliging |
Beveiligingsprincipe |
| AppO_U.09.01 |
bedrijfsfunctionaliteiten |
Functionarissen testen functionele requirements |
Norm |
| AppO_U.09.02 |
beveiligingsfunctionaliteiten |
In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
Norm |
| AppO_U.10 |
acceptatietests |
Systeem acceptatietests |
Beveiligingsprincipe |
| AppO_U.10.01 |
acceptatietests |
Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
Norm |
| AppO_U.10.02 |
acceptatietests |
Van de resultaten van de testen wordt een verslag gemaakt |
Norm |
| AppO_U.10.03 |
acceptatietests |
Testresultaten worden formeel geëvalueerd en beoordeeld |
Norm |
| AppO_U.10.04 |
acceptatietests |
Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
Norm |
| AppO_U.10.05 |
acceptatietests |
Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand in productiename |
Norm |
| AppO_U.10.06 |
acceptatietests |
Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
Norm |
| AppO_U.10.07 |
acceptatietests |
Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken |
Norm |
| AppO_U.11 |
testgegevens |
Beschermen van testgegevens |
Beveiligingsprincipe |
| AppO_U.11.01 |
testgegevens |
Toepassen van richtlijnen om operationele voor testdoeleinden te gebruiken gegevens te beschermen |
Norm |
| AppO_U.12 |
beveiligde ontwikkelomgevingen |
Beveiligde ontwikkel- (en test) omgeving |
Beveiligingsprincipe |
| AppO_U.12.01 |
beveiligde ontwikkelomgevingen |
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
Norm |
| AppO_U.12.02 |
beveiligde ontwikkelomgevingen |
Logisch en/of fysiek gescheiden Ontwikkel - Test - Acceptatie en Productie omgevingen |
Norm |
| AppO_U.12.03 |
beveiligde ontwikkelomgevingen |
De taken verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen |
Norm |
| AppO_U.12.04 |
beveiligde ontwikkelomgevingen |
Voor remote werkzaamheden is een werkwijze vastgelegd |
Norm |
| AppO_U.12.05 |
beveiligde ontwikkelomgevingen |
Ontwikkelaars hebben geen toegang tot productieomgeving |
Norm |
| AppO_U.12.06 |
beveiligde ontwikkelomgevingen |
Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen |
Norm |
| AppO_U.12.07 |
beveiligde ontwikkelomgevingen |
De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats |
Norm |
| AppO_U.12.08 |
beveiligde ontwikkelomgevingen |
De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats |
Norm |
| AppO_U.12.09 |
beveiligde ontwikkelomgevingen |
De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
Norm |
| AppO_U.13 |
koppelingsrichtlijnen |
Applicatiekoppelingen |
Beveiligingsprincipe |
| AppO_U.13.01 |
koppelingsrichtlijnen |
Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
Norm |
| AppO_U.13.02 |
koppelingsrichtlijnen |
Van het type koppelingen is een overzicht aanwezig |
Norm |
| AppO_U.13.03 |
koppelingsrichtlijnen |
Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
Norm |
| AppO_U.13.04 |
koppelingsrichtlijnen |
De uitgevoerde koppelingen worden geregistreerd |
Norm |
| AppO_U.14 |
logging,monitoring |
Logging en monitoring |
Beveiligingsprincipe |
| AppO_U.14.01 |
logging |
Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
Norm |
| AppO_U.14.02 |
logging |
Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
Norm |
| AppO_U.14.03 |
logging |
De loggegevens zijn beveiligd |
Norm |
| AppO_U.14.04 |
logging |
De locatie van de vastlegging van de loggegevens is vastgesteld |
Norm |
| AppO_U.14.05 |
monitoring |
De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
Norm |
| AppO_U.14.06 |
monitoring |
De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
Norm |
| AppO_U.15 |
applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. ,
samenhang |
Applicatie architectuur |
Beveiligingsprincipe |
| AppO_U.15.01 |
applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. |
De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
Norm |
| AppO_U.15.02 |
applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. |
Het architectuur document wordt actief onderhouden |
Norm |
| AppO_U.15.03 |
applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. |
De voorschriften, methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
Norm |
| AppO_U.15.04 |
samenhang |
Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
Norm |
| AppO_U.15.05 |
samenhang |
Onderliggende infrastructuurcomponenten zijn beveiligd o.b.v. security baselines |
Norm |
| AppO_U.15.06 |
samenhang |
De relatie tussen de persoonsgegevens is inzichtelijk |
Norm |
| AppO_U.16 |
faciliteiten |
Tooling ontwikkelmethode |
Beveiligingsprincipe |
| AppO_U.16.01 |
faciliteiten |
Het tool ondersteunt alle fasen van het ontwikkelproces |
Norm |
| AppO_U.16.02 |
faciliteiten |
Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
Norm |
| AppO_U.16.03 |
faciliteiten |
Het tool beschikt over faciliteiten voor versie- en releasebeheer |
Norm |
| AppO_U.16.04 |
faciliteiten |
Faciliteiten van het tool |
Norm |
| AppO_U.16.05 |
faciliteiten |
Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
Norm |
| CommVZ_B.01 |
beleidsregels,
procedures,
beheersmaatregelen |
Beleid en procedures informatietransport |
Beveiligingsprincipe |
| CommVZ_B.01.1 |
beleidsregels |
Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
Norm |
| CommVZ_B.01.2 |
beleidsregels |
Beleid of richtlijnen omschrijven het toepassen van cryptografie |
Norm |
| CommVZ_B.01.3 |
beleidsregels |
Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden |
Norm |
| CommVZ_B.01.4 |
procedures |
Procedures beschrijven het beveiligen van informatie |
Norm |
| CommVZ_B.01.5 |
procedures |
Procedures beschrijven het opsporen van en beschermen tegen malware |
Norm |
| CommVZ_B.01.6 |
procedures |
Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
Norm |
| CommVZ_B.01.7 |
beheersmaatregelen |
E-mail berichten worden conform vastgelegde procedures en richtlijnen doorgestuurd |
Norm |
| CommVZ_B.02 |
overeenkomsten |
Overeenkomsten over informatietransport |
Beveiligingsprincipe |
| CommVZ_B.02.1 |
overeenkomsten |
Elementen in overeenkomsten over informatietransport |
Norm |
| CommVZ_B.02.2 |
overeenkomsten |
In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn |
Norm |
| CommVZ_B.03 |
cryptografiebeleid |
Cryptografiebeleid voor communicatie |
Beveiligingsprincipe |
| CommVZ_B.03.1 |
cryptografiebeleid |
In het cryptografiebeleid uitgewerkte onderwerpen |
Norm |
| CommVZ_B.03.2 |
cryptografiebeleid |
Aanvullende onderdelen in het cryptografiebeleid |
Norm |
| CommVZ_B.04 |
organisatiestructuur |
Organisatiestructuur van netwerkbeheer |
Beveiligingsprincipe |
| CommVZ_B.04.1 |
organisatiestructuur |
In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
Norm |
| CommVZ_B.04.2 |
organisatiestructuur |
De beheer(sing)processen hebben een formele positie binnen de gehele organisatie |
Norm |
| CommVZ_B.04.3 |
organisatiestructuur |
Taken en verantwoordelijkheden van verantwoordelijke functionarissen zijn duidelijk gedefinieerd |
Norm |
| CommVZ_C.01 |
naleving |
Naleving richtlijnen netwerkbeheer en evaluaties |
Beveiligingsprincipe |
| CommVZ_C.01.1 |
naleving |
De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
Norm |
| CommVZ_C.02 |
periodiek,
inrichting,
verantwoordelijk |
Netwerk security compliancy checking |
Beveiligingsprincipe |
| CommVZ_C.02.1 |
periodiek |
Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s |
Norm |
| CommVZ_C.02.2 |
inrichting |
Checklist voor veilige inrichting van netwerk(diensten) |
Norm |
| CommVZ_C.02.3 |
verantwoordelijk |
Resultaten worden gerapporteerd aan het verantwoordelijke management |
Norm |
| CommVZ_C.03 |
robuustheid |
Evalueren netwerkbeveiliging |
Beveiligingsprincipe |
| CommVZ_C.03.1 |
robuustheid |
De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
Norm |
| CommVZ_C.04 |
onderzoek van gebeurtenissen |
Evalueren netwerk monitoring |
Beveiligingsprincipe |
| CommVZ_C.04.1 |
onderzoek van gebeurtenissen |
Zeer belangrijke onderdelen van netwerkbeveiliging |
Norm |
| CommVZ_C.04.2 |
onderzoek van gebeurtenissen |
Continue bewaking via monitoring |
Norm |
| CommVZ_C.05 |
Verantwoordelijkheden |
Beheerorganisatie netwerkbeveiliging |
Beveiligingsprincipe |
| CommVZ_C.05.1 |
Verantwoordelijkheden |
De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
Norm |
| CommVZ_C.05.2 |
Verantwoordelijkheden |
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
Norm |
| CommVZ_U.01 |
ontwerp,
implementatie,
beheer |
Richtlijnen netwerkbeveiliging |
Beveiligingsprincipe |
| CommVZ_U.01.1 |
ontwerp |
Stappen ter voorbereiding van veilige netwerkontwerpen |
Norm |
| CommVZ_U.01.2 |
ontwerp |
Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” |
Norm |
| CommVZ_U.01.3 |
ontwerp |
Netwerkbeveiliging is gebaseerd op ITU-T X.80x |
Norm |
| CommVZ_U.01.4 |
ontwerp |
Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten |
Norm |
| CommVZ_U.01.5 |
implementatie |
De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat |
Norm |
| CommVZ_U.01.6 |
beheer |
Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden |
Norm |
| CommVZ_U.02 |
inlogprocedure |
Beveiligde inlogprocedure |
Beveiligingsprincipe |
| CommVZ_U.02.1 |
inlogprocedure |
Risicoafweging voorafgaand aan het verlenen van toegang tot het netwerk aan externe leveranciers |
Norm |
| CommVZ_U.02.2 |
inlogprocedure |
Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone |
Norm |
| CommVZ_U.02.3 |
inlogprocedure |
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers |
Norm |
| CommVZ_U.03 |
beheerd,
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Netwerk beveiligingsbeheer |
Beveiligingsprincipe |
| CommVZ_U.03.1 |
beheerd |
Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld |
Norm |
| CommVZ_U.03.2 |
beheerd |
Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen |
Norm |
| CommVZ_U.03.3 |
beheerd |
Beheeractiviteiten worden nauwgezet gecoördineerd |
Norm |
| CommVZ_U.03.4 |
beheerd |
Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld |
Norm |
| CommVZ_U.03.5 |
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden |
Norm |
| CommVZ_U.03.6 |
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd |
Norm |
| CommVZ_U.04 |
vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Vertrouwelijkheids- of geheimhoudingsovereenkomst |
Beveiligingsprincipe |
| CommVZ_U.04.1 |
vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Norm |
| CommVZ_U.05 |
beheereisen,
dienstverleningsniveaus,
beveiligingsmechanismen |
Beveiliging netwerkdiensten |
Beveiligingsprincipe |
| CommVZ_U.05.1 |
beheereisen |
Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen |
Norm |
| CommVZ_U.05.2 |
dienstverleningsniveaus |
Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid |
Norm |
| CommVZ_U.05.3 |
beveiligingsmechanismen |
Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen |
Norm |
| CommVZ_U.05.4 |
dienstverleningsniveaus |
Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd |
Norm |
| CommVZ_U.05.5 |
beveiligingsmechanismen |
De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst |
Norm |
| CommVZ_U.05.6 |
beveiligingsmechanismen |
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen |
Norm |
| CommVZ_U.06 |
gescheiden (in domeinen) |
Zonering en filtering |
Beveiligingsprincipe |
| CommVZ_U.06.01 |
gescheiden (in domeinen) |
Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau |
Norm |
| CommVZ_U.06.02 |
gescheiden (in domeinen) |
Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding |
Norm |
| CommVZ_U.06.03 |
gescheiden (in domeinen) |
Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst |
Norm |
| CommVZ_U.06.04 |
gescheiden (in domeinen) |
Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding |
Norm |
| CommVZ_U.07 |
passend |
Elektronische berichten |
Beveiligingsprincipe |
| CommVZ_U.07.1 |
passend |
Vastgestelde standaarden tegen phishing en afluisteren gelden voor de elektronische berichten |
Norm |
| CommVZ_U.07.2 |
passend |
Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling |
Norm |
| CommVZ_U.07.3 |
passend |
Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten |
Norm |
| CommVZ_U.07.4 |
passend |
Gebruik van AdES Baseline Profile standaard of ETSI TS 102 176-1 voor elektronische berichten |
Norm |
| CommVZ_U.07.5 |
passend |
Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen |
Norm |
| CommVZ_U.08 |
openbare netwerken |
Toepassingen via openbare netwerken |
Beveiligingsprincipe |
| CommVZ_U.08.1 |
openbare netwerken |
Met communicerende partijen worden afspraken gemaakt |
Norm |
| CommVZ_U.09 |
filterfunctie,
toegestaan netwerkverkeer |
Gateway/Firewall |
Beveiligingsprincipe |
| CommVZ_U.09.1 |
filterfunctie |
Voor elke gateway of firewall bestaat een actueel configuratiedocument |
Norm |
| CommVZ_U.09.2 |
filterfunctie |
De filterfunctie van gateways en firewalls is instelbaar |
Norm |
| CommVZ_U.09.3 |
filterfunctie |
Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM |
Norm |
| CommVZ_U.09.4 |
toegestaan netwerkverkeer |
Uitsluitend toegestaan netwerkverkeer wordt doorgelaten |
Norm |
| CommVZ_U.10 |
gescheiden end-to-end connectie |
Virtual Private Networks (VPN) |
Beveiligingsprincipe |
| CommVZ_U.10.1 |
gescheiden end-to-end connectie |
De end-to-end connectie |
Norm |
| CommVZ_U.11 |
integriteit,
vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen,
cryptografische beheersmaatregelen |
Cryptografische Services |
Beveiligingsprincipe |
| CommVZ_U.11.1 |
vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen |
Versleuteling wordt toegepast voor het waarborgen van de vertrouwelijkheid |
Norm |
| CommVZ_U.11.2 |
integriteit |
Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast |
Norm |
| CommVZ_U.11.3 |
integriteit |
Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden |
Norm |
| CommVZ_U.11.4 |
cryptografische beheersmaatregelen |
Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden |
Norm |
| CommVZ_U.12 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling |
Wireless Access |
Beveiligingsprincipe |
| CommVZ_U.12.1 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling |
Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken |
Norm |
| CommVZ_U.13 |
verbindingen,
bewaakt |
Netwerkconnecties |
Beveiligingsprincipe |
| CommVZ_U.13.1 |
verbindingen |
Voor de beheersing van netwerken worden minimumeisen |
Norm |
| CommVZ_U.13.2 |
bewaakt |
Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd |
Norm |
| CommVZ_U.14 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes |
Netwerkauthenticatie |
Beveiligingsprincipe |
| CommVZ_U.14.1 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes |
Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd |
Norm |
| CommVZ_U.14.2 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes |
Alleen specifiek toegestane netwerkdevices worden gekoppeld met aanwezige clients en informatiesystemen |
Norm |
| CommVZ_U.15 |
beheerd,
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Netwerkbeheer activiteit |
Beveiligingsprincipe |
| CommVZ_U.15.1 |
beheerd |
Netwerkbeveiligingsbeheer omvat activiteiten methoden procedures en gereedschappen voor administratie |
Norm |
| CommVZ_U.15.2 |
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken |
Norm |
| CommVZ_U.16 |
geregistreerd en bewaard,
beoordeeld |
Vastleggen en monitoring van netwerkgebeurtenissen (events) |
Beveiligingsprincipe |
| CommVZ_U.16.1 |
geregistreerd en bewaard |
Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs |
Norm |
| CommVZ_U.16.2 |
beoordeeld |
Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen |
Norm |
| CommVZ_U.17 |
samenhang |
Netwerk beveiligingsarchitectuur |
Beveiligingsprincipe |
| CommVZ_U.17.1 |
samenhang |
De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem |
Norm |
| CommVZ_U.17.2 |
samenhang |
De beveiligingsarchitectuur is gelaagd |
Norm |
| CommVZ_U.17.3 |
samenhang |
De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden |
Norm |
| Huisv_B.01.01 |
huisvestingsbeleid |
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen |
Norm |
| Huisv_B.01.02 |
beleidsregels |
Beleidsregels behandelen uit bedrijfsstrategie, wet- en regelgeving en bedreigingen voorkomende eisen |
Norm |
| Huisv_B.01.03 |
beleidsregels |
Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting-IV |
Norm |
| Huisv_B.02.01 |
wettelijke statutaire eisen |
De voor Huisvesting-IV-verantwoordelijke bepaalt welke wetgeving van toepassing |
Norm |
| Huisv_B.02.02 |
wettelijke statutaire eisen |
Overeengekomen Huisvestingsbeleid mede o.b.v. wet- en regelgeving en contractuele verplichtingen |
Norm |
| Huisv_B.03.01 |
eigenaar |
Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
Norm |
| Huisv_B.03.02 |
eigenaar |
Het bedrijfsmiddel-eigenaarschap wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
Norm |
| Huisv_B.03.03 |
eigenaar |
De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
Norm |
| Huisv_B.03.04 |
eigenaar |
Op passende wijze inventariseren, classificeren. verwijderd en vernietigen van bedrijfsmiddellen |
Norm |
| Huisv_B.04.01 |
gangbare standaarden |
Periodiek evalueren van Huisvesting-IV voorzieningen en services |
Norm |
| Huisv_B.04.02 |
gangbare standaarden |
De voor de organisatie ingezette Huisvesting-IV is min. gecertificeerd voor ISO 27001 en 50001 |
Norm |
| Huisv_B.05.01 |
kwalitatieve en kwantitatieve eisen |
Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
Norm |
| Huisv_B.05.02 |
overeenkomsten |
Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst |
Norm |
| Huisv_B.05.03 |
overeenkomsten |
Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd |
Norm |
