| ID |
Conformiteitsindicator |
naam |
Elementtype |
|---|
| Huisv_B.01.01 |
huisvestingsbeleid |
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen |
Norm |
| Huisv_B.01.02 |
beleidsregels |
Beleidsregels behandelen uit bedrijfsstrategie, wet- en regelgeving en bedreigingen voorkomende eisen |
Norm |
| Huisv_B.01.03 |
beleidsregels |
Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting-IV |
Norm |
| Huisv_B.02.01 |
wettelijke statutaire eisen |
De voor Huisvesting-IV-verantwoordelijke bepaalt welke wetgeving van toepassing |
Norm |
| Huisv_B.02.02 |
wettelijke statutaire eisen |
Overeengekomen Huisvestingsbeleid mede o.b.v. wet- en regelgeving en contractuele verplichtingen |
Norm |
| Huisv_B.03.01 |
eigenaar |
Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
Norm |
| Huisv_B.03.02 |
eigenaar |
Het bedrijfsmiddel-eigenaarschap wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
Norm |
| Huisv_B.03.03 |
eigenaar |
De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
Norm |
| Huisv_B.03.04 |
eigenaar |
Op passende wijze inventariseren, classificeren. verwijderd en vernietigen van bedrijfsmiddellen |
Norm |
| Huisv_B.04.01 |
gangbare standaarden |
Periodiek evalueren van Huisvesting-IV voorzieningen en services |
Norm |
| Huisv_B.04.02 |
gangbare standaarden |
De voor de organisatie ingezette Huisvesting-IV is min. gecertificeerd voor ISO 27001 en 50001 |
Norm |
| Huisv_B.05.01 |
kwalitatieve en kwantitatieve eisen |
Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
Norm |
| Huisv_B.05.02 |
overeenkomsten |
Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst |
Norm |
| Huisv_B.05.03 |
overeenkomsten |
Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd |
Norm |
| Huisv_B.05.04 |
overeenkomsten |
Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s |
Norm |
| Huisv_B.05.05 |
overeenkomsten |
De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd |
Norm |
| Huisv_B.06.01 |
service level agrreement |
Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
Norm |
| Huisv_B.06.02 |
service level agrreement |
Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV |
Norm |
| Huisv_B.06.03 |
service level agrreement |
De aspecten waarop de Service Levels o.a. zijn gericht |
Norm |
| Huisv_B.07.01 |
natuurrampen, kwaadwillige aanvallen |
De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
Norm |
| Huisv_B.07.02 |
natuurrampen, kwaadwillige aanvallen |
Tegen externe bedreigingen zijn beveiligingsmaatregelen genomeno.b.v. een expliciete risicoafweging |
Norm |
| Huisv_B.07.03 |
natuurrampen, kwaadwillige aanvallen |
Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
Norm |
| Huisv_B.07.04 |
ongelukken |
De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
Norm |
| Huisv_B.08.01 |
bewustzijnsopleiding, –training en bijscholing |
Aweareness-activiteiten m.b.t. de binnen de Huisvesting-IV actieve medewerkers |
Norm |
| Huisv_B.08.02 |
bewustzijnsopleiding, –training en bijscholing |
Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
Norm |
| Huisv_B.09.01 |
organisatiestructuur |
De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
Norm |
| Huisv_B.09.02 |
organisatiestructuur |
Er is een Huisvestingsorganisatieschema beschikbaar |
Norm |
| Huisv_B.09.03 |
functionarissen |
Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
Norm |
| Huisv_B.09.04 |
taken bevoegdheden en verantwoordelijkheden |
De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
Norm |
| Huisv_C.01.01 |
richtlijnen |
De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
Norm |
| Huisv_C.01.02 |
richtlijnen |
Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
Norm |
| Huisv_C.01.03 |
richtlijnen |
Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
Norm |
| Huisv_C.01.04 |
richtlijnen |
Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie |
Norm |
| Huisv_C.01.05 |
richtlijnen |
Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
Norm |
| Huisv_C.02.01 |
onderhoudsplan |
Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
Norm |
| Huisv_C.02.02 |
onderhoudsbepalingen |
Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
Norm |
| Huisv_C.03.01 |
procesmatig |
Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management |
Norm |
| Huisv_C.03.02 |
procesmatig |
Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen |
Norm |
| Huisv_C.03.03 |
hersteld en voortgezet |
Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
Norm |
| Huisv_C.03.04 |
hersteld en voortgezet |
De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
Norm |
| Huisv_C.03.05 |
hersteld en voortgezet |
Realisatie van afdoende uitwijkfaciliteiten |
Norm |
| Huisv_C.03.06 |
hersteld en voortgezet |
Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
Norm |
| Huisv_C.03.07 |
hersteld en voortgezet |
Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
Norm |
| Huisv_C.07.01 |
processtructuur |
De samenhang van de processen wordt door middel van een processtructuur vastgelegd |
Norm |
| Huisv_C.07.02 |
beheersingsorganisatie |
Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk |
Norm |
| Huisv_C.07.03 |
beheersingsorganisatie |
Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd |
Norm |
| Huisv_C.07.04 |
beheersingsorganisatie |
Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd |
Norm |
| Huisv_U.01.01 |
richtlijnen |
Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
Norm |
| Huisv_U.01.02 |
richtlijnen |
In beveiligde gebieden wordt slechts onder toezicht gewerkt |
Norm |
| Huisv_U.01.03 |
richtlijnen |
Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd |
Norm |
| Huisv_U.01.04 |
richtlijnen |
Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
Norm |
| Huisv_U.01.05 |
richtlijnen |
Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
Norm |
| Huisv_U.02.01 |
inventaris |
Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
Norm |
| Huisv_U.02.02 |
inventaris |
Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-RC |
Norm |
| Huisv_U.02.03 |
inventaris |
Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
Norm |
| Huisv_U.02.04 |
inventaris |
Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend |
Norm |
| Huisv_U.02.05 |
inventaris |
Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
Norm |
| Huisv_U.03.01 |
beveiligde zones |
Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften |
Norm |
| Huisv_U.03.02 |
beveiligde zones |
Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen |
Norm |
| Huisv_U.03.03 |
beveiligde zones |
Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
Norm |
| Huisv_U.03.04 |
beveiligde zones |
Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
Norm |
| Huisv_U.03.05 |
beveiligde zones |
Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord |
Norm |
| Huisv_U.04.01 |
faciliteiten |
Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
Norm |
| Huisv_U.04.02 |
faciliteiten |
Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
Norm |
| Huisv_U.04.03 |
faciliteiten |
Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
Norm |
| Huisv_U.04.04 |
faciliteiten |
Sleutelbeheer is ingericht op basis van een sleutelplan |
Norm |
| Huisv_U.05.01 |
nutsvoor-zieningen |
De nutsvoorzieningen |
Norm |
| Huisv_U.05.02 |
nutsvoor-zieningen |
Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
Norm |
| Huisv_U.05.03 |
nutsvoor-zieningen |
Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
Norm |
| Huisv_U.05.04 |
nutsvoor-zieningen |
Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
Norm |
| Huisv_U.06.01 |
gepositioneerd en beschermd |
Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
Norm |
| Huisv_U.06.02 |
gepositioneerd en beschermd |
Apparatuur wordt beschermd tegen externe bedreigingen |
Norm |
| Huisv_U.07.01 |
correct |
Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
Norm |
| Huisv_U.07.02 |
correct |
Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren |
Norm |
| Huisv_U.07.03 |
correct |
Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
Norm |
| Huisv_U.07.04 |
correct |
Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
Norm |
| Huisv_U.07.05 |
correct |
Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
Norm |
| Huisv_U.07.06 |
correct |
Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
Norm |
| Huisv_U.08.01 |
geverifieerd |
Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
Norm |
| Huisv_U.08.02 |
verwijderd |
Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
Norm |
| Huisv_U.09.01 |
bedrijfsmiddelen |
Het toestemmingstrajec voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd |
Norm |
| Huisv_U.09.02 |
bedrijfsmiddelen |
Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
Norm |
| Huisv_U.09.03 |
bedrijfsmiddelen |
Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
Norm |
| Huisv_U.09.04 |
bedrijfsmiddelen |
Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
Norm |
| Huisv_U.09.05 |
bedrijfsmiddelen |
Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
Norm |
| Huisv_U.10.01 |
toegangspunten |
Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
Norm |
| Huisv_U.10.02 |
toegangspunten |
Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
Norm |
| Huisv_U.10.03 |
toegangspunten |
Eisen aan de laad- en loslocatie |
Norm |
| Huisv_U.10.04 |
toegangspunten |
De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
Norm |
| Huisv_U.10.05 |
toegangspunten |
Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
Norm |
| Huisv_U.10.06 |
toegangspunten |
Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
Norm |
| Huisv_U.10.07 |
toegangspunten |
Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
Norm |
| Huisv_U.11.01 |
voedingskabels |
Kabels worden bij voorkeur ondergronds aangelegd |
Norm |
| Huisv_U.11.02 |
voedingskabels |
De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
Norm |
| Huisv_U.11.03 |
voedingskabels |
Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
Norm |
| Huisv_U.12.01 |
architectuurvoorschriften |
De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden |
Norm |
| Huisv_U.12.02 |
architectuurvoorschriften |
De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd |
Norm |
| Huisv_U.12.03 |
documentatie |
Aan het architectuurdocument gestelde eisen |
Norm |
| LTV_B.01 |
toegangbeveiligingbeleid,
bedrijfseisen,
informatiebeveiligingseisen |
Toegangbeveiliging(voorzienings)beleid |
Beveiligingsprincipe |
| LTV_B.01.01 |
toegangbeveiligingbeleid |
Eisen aan het Toegangvoorzieningsbeleid |
Norm |
| LTV_B.01.02 |
bedrijfseisen |
Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen |
Norm |
| LTV_B.01.03 |
bedrijfseisen |
Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen |
Norm |
| LTV_B.01.04 |
informatiebeveiligingseisen |
Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes |
Norm |
| LTV_B.01.05 |
informatiebeveiligingseisen |
Het autorisatiebeheer is procesmatig ingericht |
Norm |
| LTV_B.02 |
eigenaarschap,
verantwoordelijkheden logisch middelen,
verantwoordelijkheden fysieke middelen |
Eigenaarschap van bedrijfsmiddelen |
Beveiligingsprincipe |
| LTV_B.02.01 |
eigenaarschap |
Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen |
Norm |
| LTV_B.02.02 |
eigenaarschap |
De eigenaar heeft de beschikking over noodzakelijke kennis middelen en mensen en autoriteit |
Norm |
| LTV_B.02.03 |
verantwoordelijkheden logisch middelen |
Verantwoordelijkheidvoor de beveiliging van de logische componenten |
Norm |
| LTV_B.02.04 |
verantwoordelijkheden fysieke middelen |
Verantwoordelijkheid voor de beveiliging van de fysieke componenten |
Norm |
| LTV_B.03 |
beveiligingsfunctie |
Beveiligingsfunctie toegangbeveiliging |
Beveiligingsprincipe |
| LTV_B.03.01 |
beveiligingsfunctie |
Eisen aan de rollen binnen de beveiligingsfunctie |
Norm |
| LTV_B.03.02 |
beveiligingsfunctie |
Periodieke evluatie van het toegangbeveiligingssysteem |
Norm |
| LTV_B.04 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. -informatie,
cryptografische beheersmaatregelen |
Cryptografie bij authenticatie |
Beveiligingsprincipe |
| LTV_B.04.01 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie |
Authenticatie-informatie is versleuteld |
Norm |
| LTV_B.04.02 |
cryptografische beheersmaatregelen |
Uitwerking van het cryptografiebeleid voor authenticatie |
Norm |
| LTV_B.04.03 |
cryptografische beheersmaatregelen |
Eisen aan Crypografische toepassingen voldoen aan passende standaarden. |
Norm |
| LTV_B.05 |
organisatorische positie,
taken verantwoordelijkheden en bevoegdheden,
rapportagelijnen |
Beveiligingsorganisatie |
Beveiligingsprincipe |
| LTV_B.05.01 |
organisatorische positie |
Positie van Beveiligingsorganisatie |
Norm |
| LTV_B.05.02 |
functionarissen |
Organisatieschema met de belangrijkste functionarissen |
Norm |
| LTV_B.05.03 |
taken verantwoordelijkheden en bevoegdheden |
Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie |
Norm |
| LTV_B.05.04 |
taken verantwoordelijkheden en bevoegdheden |
De Autorisatiematrix met de beschrijving van de taken verantwoordelijkheden en bevoegdheden |
Norm |
| LTV_B.05.05 |
rapportagelijnen |
De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen |
Norm |
| LTV_B.05.06 |
rapportagelijnen |
De frequentie en de eisen voor de inhoudelijke rapportages |
Norm |
| LTV_B.06 |
technische inrichting,
toegangbeveiligingsarchitectuur |
Toegangbeveiliging(voorzienings)architectuur |
Beveiligingsprincipe |
| LTV_B.06.01 |
technische inrichting |
Vormgeving van de technische inrichting van de toegangbeveiliging |
Norm |
| LTV_B.06.02 |
toegangbeveiligingsarchitectuur |
Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur |
Norm |
| LTV_B.06.03 |
toegangbeveiligingsarchitectuur |
Het beschrijven van de IAA beveiligingsmaatregelen |
Norm |
| LTV_B.06.04 |
toegangbeveiligingsarchitectuur |
Beschrijving van de onderlinge samenhang tussen technische componenten |
Norm |
| LTV_C.01 |
procedures |
Toegangbeveiliging beoordelingsprocedure |
Beveiligingsprincipe |
| LTV_C.01.01 |
procedures |
De organisatie beschikt over een beschrijving van de relevante controleprocessen |
Norm |
| LTV_C.01.02 |
procedures |
De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen |
Norm |
| LTV_C.01.03 |
procedures |
Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties |
Norm |
| LTV_C.02 |
toegangsrechten,
beoordelen |
Beoordeling toegangsrechten |
Beveiligingsprincipe |
| LTV_C.02.01 |
toegangsrechten |
Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld |
Norm |
| LTV_C.02.02 |
toegangsrechten |
Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld |
Norm |
| LTV_C.02.03 |
toegangsrechten |
Autorisaties voor speciale toegangsrechten worden vaker beoordeeld |
Norm |
| LTV_C.02.04 |
toegangsrechten |
Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden |
Norm |
| LTV_C.02.05 |
toegangsrechten |
De opvolging van bevindingen is gedocumenteerd |
Norm |
| LTV_C.02.06 |
beoordelen |
Het beoordelen vind plaats op basis van een formeelproces |
Norm |
| LTV_C.02.07 |
beoordelen |
Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging |
Norm |
| LTV_C.02.08 |
beoordelen |
Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd |
Norm |
| LTV_C.03 |
log-bestanden,
gebruikersactiviteiten,
beoordelen,
bewaard |
Gebeurtenissen registreren |
Beveiligingsprincipe |
| LTV_C.03.01 |
log-bestanden |
Eisen aan de autorisatie-logregels |
Norm |
| LTV_C.03.02 |
log-bestanden |
Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken |
Norm |
| LTV_C.03.03 |
gebruikersactiviteiten |
De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC |
Norm |
| LTV_C.03.04 |
beoordelen |
Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld |
Norm |
| LTV_C.03.05 |
beoordelen |
De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management |
Norm |
| LTV_C.03.06 |
beoordelen |
Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden |
Norm |
| LTV_C.03.07 |
bewaard |
De logbestanden worden gedurende een overeengekomen periode bewaard |
Norm |
| LTV_C.04 |
processtructuur,
functionarissen,
taken verantwoordelijkheden en bevoegdheden |
Toegangbeveiliging beheers(ings)organisatie |
Beveiligingsprincipe |
| LTV_C.04.02 |
functionarissen |
Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk |
Norm |
| LTV_C.04.03 |
taken verantwoordelijkheden en bevoegdheden |
De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd |
Norm |
| LTV_C.04.04 |
taken verantwoordelijkheden en bevoegdheden |
De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd |
Norm |
| LTV_U.01 |
formele procedures,
toegangsrechten |
Registratieprocedure “Registratie van gebruikers” |
Beveiligingsprincipe |
| LTV_U.01.01 |
formele procedures |
Sluitende formele registratie- en afmeldprocedure voor alle gebruikers. |
Norm |
| LTV_U.01.02 |
formele procedures |
Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd |
Norm |
| LTV_U.01.03 |
formele procedures |
Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven |
Norm |
| LTV_U.01.04 |
formele procedures |
Controle van aanvraag en toegewezen autorisatieniveau ’s voor gebruik van informatiesystemen |
Norm |
| LTV_U.01.05 |
toegangsrechten |
Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties |
Norm |
| LTV_U.01.06 |
toegangsrechten |
Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes |
Norm |
| LTV_U.01.07 |
toegangsrechten |
Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang |
Norm |
| LTV_U.02 |
gebruikers toegangsverleningsprocedure |
Toegangsverlening procedure |
Beveiligingsprincipe |
| LTV_U.02.01 |
gebruikers toegangsverleningsprocedure |
Slechts na autorisatie door een bevoegde functionaris.wordt toegang verleend tot informatiesystemen |
Norm |
| LTV_U.02.02 |
gebruikers toegangsverleningsprocedure |
Functiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging |
Norm |
| LTV_U.02.03 |
gebruikerstoegangsverleningsprocedure |
Het mandaatregister is actueel en toont wie bevoegdheden heeft |
Norm |
| LTV_U.03 |
Inlogprocedure |
Inlogprocedures |
Beveiligingsprincipe |
| LTV_U.03.01 |
Inlogprocedure |
Toegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie |
Norm |
| LTV_U.03.02 |
Inlogprocedure |
Voorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaak |
Norm |
| LTV_U.03.03 |
Inlogprocedure |
De risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen |
Norm |
| LTV_U.04 |
formeel autorisatieproces,
toegangsrechten |
Autorisatieproces |
Beveiligingsprincipe |
| LTV_U.04.01 |
formeel autorisatieproces |
Het autorisatie beheerproces |
Norm |
| LTV_U.04.02 |
formeel autorisatieproces |
O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend |
Norm |
| LTV_U.04.03 |
formeel autorisatieproces |
Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten |
Norm |
| LTV_U.04.04 |
formeel autorisatieproces |
Periodiek worden controles uitgevoed op alle uitgegeven autorisaties |
Norm |
| LTV_U.04.05 |
toegangsrechten |
Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband |
Norm |
| LTV_U.04.06 |
toegangsrechten |
Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten |
Norm |
| LTV_U.04.07 |
toegangsrechten |
I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast |
Norm |
| LTV_U.04.08 |
toegangsrechten |
Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken |
Norm |
| LTV_U.05 |
wachtwoorden |
Wachtwoorden beheer |
Beveiligingsprincipe |
| LTV_U.05.01 |
wachtwoorden |
Wachtwoordlengte complexiteit toegestane inlogpogingen en blokkadetijdsduur |
Norm |
| LTV_U.05.02 |
wachtwoorden |
Waar geen two-factor authenticatie mogelijk is minimaal 1/2-jaarlijks vernieuwen van wachtwoord |
Norm |
| LTV_U.05.03 |
wachtwoorden |
Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd |
Norm |
| LTV_U.05.04 |
wachtwoorden |
Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden |
Norm |
| LTV_U.05.05 |
wachtwoorden |
Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar overige 6 maanden |
Norm |
| LTV_U.06 |
toewijzen,
toegangsrechten,
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Speciale toegangsrechten beheer |
Beveiligingsprincipe |
| LTV_U.06.01 |
toewijzen |
Speciale toegangsrechten worden toegewezen o.b.v. risico afweging richtlijnen en procedures |
Norm |
| LTV_U.06.02 |
toegangsrechten |
Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening |
Norm |
| LTV_U.06.03 |
toegangsrechten |
Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties |
Norm |
| LTV_U.06.04 |
beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld |
Norm |
| LTV_U.07 |
gescheiden,
taken,
verantwoordelijkheden,
onbedoeld |
Functiescheiding |
Beveiligingsprincipe |
| LTV_U.07.01 |
gescheiden |
Toepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging |
Norm |
| LTV_U.07.02 |
gescheiden |
Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden |
Norm |
| LTV_U.07.03 |
gescheiden |
Rollen taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld |
Norm |
| LTV_U.07.04 |
taken |
Sheiding is aangebracht tussen beheertaken en overige gebruikstaken |
Norm |
| LTV_U.07.05 |
verantwoordelijkheden |
Verantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen |
Norm |
| LTV_U.07.06 |
onbedoeld |
Waarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen |
Norm |
| LTV_U.08 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie,
bedrijfseisen |
Geheime authenticatie-informatie (IA) |
Beveiligingsprincipe |
| LTV_U.08.01 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie |
Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode |
Norm |
| LTV_U.08.02 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie |
Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen |
Norm |
| LTV_U.08.03 |
authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie |
Authenticartie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden |
Norm |
| LTV_U.08.04 |
beheersproces |
Verplichte geheimhoudingsverklaring van gebruikersals onderdeel van de arbeidsvoorwaarden |
Norm |
| LTV_U.08.05 |
beheersproces |
Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie |
Norm |
| LTV_U.08.06 |
beheersproces |
Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie |
Norm |
| LTV_U.08.07 |
beheersproces |
Niet germakkelijk e raden geheime authenticatie-informatie is uniek toegekend aan een persoon |
Norm |
| LTV_U.09 |
toegang,
informatie,
systeemfuncties,
toegangsbeleid |
Autorisatie |
Beveiligingsprincipe |
| LTV_U.09.01 |
toegang |
Maatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie |
Norm |
| LTV_U.09.02 |
informatie |
Gebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken |
Norm |
| LTV_U.09.03 |
systeemfuncties |
Beheerdersfuncties in toepassingen zijn voorzien van hebben extra beschermin |
Norm |
| LTV_U.09.04 |
toegangsbeleid |
Het toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden |
Norm |
| LTV_U.09.05 |
toegangsbeleid |
Toegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid |
Norm |
| LTV_U.10 |
autorisatievoorzieningsmiddelen,
personeelsregistratiesysteem,
autorisatiebeheersysteem,
autorisatiefaciliteiten |
Autorisatievoorzieningsfaciliteiten |
Beveiligingsprincipe |
| LTV_U.10.01 |
autorisatievoorzieningsmiddelen |
Formeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer |
Norm |
| LTV_U.10.02 |
personeelsregistratiesysteem |
Toegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem |
Norm |
| LTV_U.10.03 |
autorisatiebeheersysteem |
Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd |
Norm |
| LTV_U.10.04 |
autorisatiefaciliteiten |
Applicaties hebben functionaliteit om autorisaties toe te kennen in te zien en te beheren |
Norm |
| LTV_U.11 |
beveiligde gebieden,
passende toegangbeveiliging,
bevoegd personeel |
Fysieke toegangbeveiliging |
Beveiligingsprincipe |
| LTV_U.11.01 |
beveiligde gebieden |
Beveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen |
Norm |
| LTV_U.11.02 |
passende toegangbeveiliging |
Registatie van aankomst en vertrektijden van bezoekers. |
Norm |
| LTV_U.11.03 |
passende toegangbeveiliging |
Medewerkers en contractanten en externen dragen zichtbare identificatie. |
Norm |
| LTV_U.11.04 |
bevoegd personeel |
Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s |
Norm |
| LTV_U.11.05 |
bevoegd personeel |
Uitwisseling van persoonsgerelateerde beveiligingsinformatie |
Norm |
| LTV_U.11.06 |
bevoegd personeel |
Extern personeel krijgt na formele toestemming en voor zover noodzakelijk beperkte toegang |
Norm |
| PRIV_B.01 |
privacybeleid |
Privacy Beleid geeft duidelijkheid en sturing |
Privacyprincipe |
| PRIV_B.01.01.01 |
privacybeleid |
Privacybeleid; duidelijkheid inzake verantwoordingsplicht |
Norm |
| PRIV_B.01.01.02 |
privacybeleid |
Privacybeleid als cyclisch proces |
Norm |
| PRIV_B.01.01.03 |
privacybeleid |
Privacybeleid; vastgesteld en gecommuniceerd |
Norm |
| PRIV_B.01.01.04 |
privacybeleid |
Privacybeleid i.r.t. wet- en regelgeving |
Norm |
| PRIV_B.01.01.05 |
privacybeleid |
Privacybeleid i.r.t. sectorspecifieke wetgeving. |
Norm |
| PRIV_B.01.01.06 |
privacybeleid |
Privacybeleid i.r.t. gedragscode |
Norm |
| PRIV_B.01.02.01 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijving van privacy by design |
Norm |
| PRIV_B.01.02.02 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen - beschrijving van de doeleinden voor het verzamelen |
Norm |
| PRIV_B.01.02.03 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van minimalisatie van verwerken |
Norm |
| PRIV_B.01.02.04 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van juistheid en actualiteit van de gegevens |
Norm |
| PRIV_B.01.02.05 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van passende technische en organisatorische maatregelen |
Norm |
| PRIV_B.01.02.06 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van transparante verwerking |
Norm |
| PRIV_B.01.02.07 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van maximale bewaartermijnen |
Norm |
| PRIV_B.01.02.08 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van garanties bij doorgifte |
Norm |
| PRIV_B.01.02.09 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van behoorlijke verwerking |
Norm |
| PRIV_B.01.02.10 |
wettelijke beginselen |
Invulling geven aan de wettelijke beginselen- beschrijven van informeren bij inbreuk |
Norm |
| PRIV_B.02 |
verdeling van de taken en verantwoordelijkheden, benodigde middelen, rapportagelijnen |
Organieke inbedding |
Privacyprincipe |
| PRIV_B.02.01.01 |
verdeling van de taken en verantwoordelijkheden |
Verdeling taken en verantwoordelijkheden |
Norm |
| PRIV_B.02.01.02 |
verdeling van de taken en verantwoordelijkheden |
Functionaris Gegevensbescherming |
Norm |
| PRIV_B.02.01.03 |
verdeling van de taken en verantwoordelijkheden |
Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
Norm |
| PRIV_B.02.01.04 |
verdeling van de taken en verantwoordelijkheden |
Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
Norm |
| PRIV_B.02.02.01 |
benodigde middelen |
Benodigde middelen |
Norm |
| PRIV_B.02.03.01 |
rapportagelijnen |
Rapporteringsmiddelen |
Norm |
| PRIV_B.03 |
het beoordelen van de privacyrisico's, passende maatregelen, aantonen |
Risicomanagement- Privacy by Design en de GEB |
Privacyprincipe |
| PRIV_B.03.01.01 |
het beoordelen van de privacyrisico's |
Het beoordelen van de privacyrisico's- hoog risico |
Norm |
| PRIV_B.03.01.02 |
het beoordelen van de privacyrisico's |
Het beoordelen van de privacyrisico's- advies van FG |
Norm |
| PRIV_B.03.01.03 |
het beoordelen van de privacyrisico's |
Het beoordelen van de privacyrisico's- bij wijigingen |
Norm |
| PRIV_B.03.01.04 |
het beoordelen van de privacyrisico's |
Het beoordelen van de privacyrisico's- i.r.t. de GEB |
Norm |
| PRIV_B.03.02.01 |
passende maatregelen |
Passende maatregelen- technisch en organisatorisch |
Norm |
| PRIV_B.03.02.02 |
passende maatregelen |
Passende maatregelen- passend |
Norm |
| PRIV_B.03.02.03 |
passende maatregelen |
Passende maatregelen- continuíteit |
Norm |
| PRIV_B.03.02.04 |
passende maatregelen |
Passende maatregelen- i.r.t. de GEB |
Norm |
| PRIV_B.03.03.01 |
aantonen |
Aantonen onderkende risico's en maatregelen |
Norm |
| PRIV_B.03.03.02 |
aantonen |
Aantonen uitvoeren GEB en opvolgen GEB uitkomsten |
Norm |
| PRIV_B.03.03.03 |
aantonen |
Aantonen aanpak risicomanagement |
Norm |
| PRIV_B.03.03.04 |
aantonen |
Aantonen toepassen GEB toetsmodel |
Norm |
| PRIV_B.03.03.05 |
aantonen |
Aantonen privacy by design |
Norm |
| PRIV_C.01 |
evaluatie, rechtmatigheid aangetoond |
Intern toezicht |
Privacyprincipe |
| PRIV_C.01.01.01 |
evaluatie |
Evaluatie- controle op het voldoen aan wettelijke verplichtingen |
Norm |
| PRIV_C.01.01.02 |
evaluatie |
Evaluatie- rapportage bij niet voldoen |
Norm |
| PRIV_C.01.01.03 |
evaluatie |
Evaluatie- planning en compliancy |
Norm |
| PRIV_C.01.02.01 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- welbepaalde- uitdrukkelijk omschreven en gerechtvaardigde doeleinden |
Norm |
| PRIV_C.01.02.02 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- toereikende verwerking |
Norm |
| PRIV_C.01.02.03 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- rechtmatige verwerking |
Norm |
| PRIV_C.01.02.04 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- gebruik van overeenkomsten voor doorgifte |
Norm |
| PRIV_C.01.02.05 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- passende en gewaarborgde beveiliging |
Norm |
| PRIV_C.01.02.06 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- juiste en actuele gegevens |
Norm |
| PRIV_C.01.02.07 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- behoorlijke verwerking |
Norm |
| PRIV_C.01.02.08 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- transparante verwerking |
Norm |
| PRIV_C.01.02.09 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- compliancy |
Norm |
| PRIV_C.01.02.10 |
rechtmatigheid aangetoond |
Rechtmatigheid aangetoond- gebruik van gegevensregister |
Norm |
| PRIV_C.02. |
informatie over de verwerking van persoonsgegevens, tijdig, in een passende vorm, specifieke uitzonderingsgrond |
Toegang gegevensverwerking voor betrokkenen |
Privacyprincipe |
| PRIV_C.02.01.01 |
informatie over de verwerking van persoonsgegevens |
Informatie over de verwerking van persoonsgegevens aan betrokkene |
Norm |
| PRIV_C.02.01.02 |
informatie over de verwerking van persoonsgegevens |
Informatie over de verwerking van persoonsgegevens- inhoudelijkheid |
Norm |
| PRIV_C.02.01.03 |
informatie over de verwerking van persoonsgegevens |
Informatie over de verwerking van persoonsgegevens- evt. afbreuk aan rechten cq. vrijheden van anderen |
Norm |
| PRIV_C.02.02.01 |
tijdig |
Tijdige verstrekking op verzoek van betrokkene |
Norm |
| PRIV_C.02.02.02 |
tijdig |
Tijdig verstrekking bij geen gevolg op verzoek van betrokkene |
Norm |
| PRIV_C.02.03.01 |
in een passende vorm |
Passende vorm- begrijpelijke en toegankelijke wijze van communicatie |
Norm |
| PRIV_C.02.03.02 |
in een passende vorm |
Passende vorm- gekozen van medium |
Norm |
| PRIV_C.02.03.03 |
in een passende vorm |
Passende vorm bij mondelinge verstrekking |
Norm |
| PRIV_C.02.03.04 |
in een passende vorm |
Passende vorm- eventuele kosten |
Norm |
| PRIV_C.02.03.05 |
in een passende vorm |
Passende vorm- gegevens ter identificatie |
Norm |
| PRIV_C.02.04.01 |
specifieke uitzonderingsgrond |
Specifieke uitzonderingsgrond |
Norm |
| PRIV_C.03 |
meldt een datalek, gestelde termijn, documenteert de inbreuk, uitzondering |
Meldplicht Datalekken |
Privacyprincipe |
| PRIV_C.03.01.01 |
meldt een datalek |
Meldt een datalek- aan AP |
Norm |
| PRIV_C.03.01.02 |
meldt een datalek |
Meldt een datalek- eisen aan de melding aan AP |
Norm |
| PRIV_C.03.01.03 |
meldt een datalek |
Meldt een datalek- melding aan betrokkene |
Norm |
| PRIV_C.03.01.04 |
meldt een datalek |
Meldt een datalek- eisen aan de melding aan betrokkene |
Norm |
| PRIV_C.03.01.05 |
meldt een datalek |
Meldt een datalek- in duidelijke en eenvoudige taal |
Norm |
| PRIV_C.03.02.01 |
gestelde termijn |
Termijn melden aan verwerkingsverantwoordelijke |
Norm |
| PRIV_C.03.02.02 |
gestelde termijn |
Termijn melden aan AP |
Norm |
| PRIV_C.03.02.03 |
gestelde termijn |
Termijn- motivering bij vertraagd melden |
Norm |
| PRIV_C.03.02.04 |
gestelde termijn |
Termijn aan betrokkene |
Norm |
| PRIV_C.03.03.01 |
documenteert de inbreuk |
Documenteert de inbreuk- eisen aan de registratie |
Norm |
| PRIV_C.03.03.02 |
documenteert de inbreuk |
Documenteert de inbreuk- mogelijkheid tot controle |
Norm |
| PRIV_C.03.03.03 |
documenteert de inbreuk |
Documenteert de inbreuk- noodzakelijke gegevens |
Norm |
| PRIV_C.03.03.04 |
documenteert de inbreuk |
Documenteert de inbreuk- m.b.t. kennisgeving |
Norm |
