Alle invalshoeken

Uit NORA Online
Ga naar: navigatie, zoeken

De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligings- of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methode ingedeeld naar Beleid, Uitvoering of Control en geordend naar een van de volgende invalshoeken: Intentie, Functie, Gedrag, Structuur.

IFGS IntentieIFGS FunctieIFGS GedragIFGS Structuurrelaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.
Over deze afbeelding


Deze invalshoeken hebben onderling de volgende relatie:

  • 'Intentie' ('Doel') wordt geëffectueerd door 'Functie';
  • 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag';
  • 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur';
  • 'Structuur' effectueert 'Gedrag'.

Inhoud

Uitleg

De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur (IFGS). Vanuit elke IFGS-invalshoek wordt een specifieke verzameling basiselementen (objecten) geïdentificeerd. De invalshoeken houden het volgende in:

Intentie

Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.

Functie

Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden: organisatorische en technische functies, processen, taken en taakvereisten.

Gedrag

Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die voor de van organisatorische en technische functies moeten vormgeven. Voorbeelden: actor, object, interactie, toestand, eigenschap en historie;.

Structuur

Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden: business-organisatiestructuur, business- architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., IT-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en business-IT-alignment.


De relaties tussen de objecten vanuit de IFGS-invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.

Invalshoeken niet gebruikt bij opstellen van de Privacy Baseline

De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-analysemodel en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van De Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en consistentie. De opzet van de Baseline is de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet is ontleend. Dat waar mogelijk toch een IFGS-kenmerk (invaslhoek) aan een principe wordt gehangen is gedaan vanwege de eenvormigheid binnen ISOR. Het kenmerk is er dan achteraf bij gezet, bij de objectenanalyse en de opbouw van de norm zelf hebben de invalshoeken geen rol gespeeld.

Overzicht Principes naar invalshoek

Invalshoek ID Principe
Functie CommVZ_U.06 Zonering en filtering
Functie AppO_U.08 Applicatiebouw
Functie LTV_U.07 Functiescheiding
Functie Huisv_B.07 Interne en Externe bedreigingen
Functie Huisv_U.06 Apparatuur positionering
Functie PRIV_U.07 Doorgifte persoonsgegevens
Functie AppO_U.10 Systeem acceptatietests
Functie SERV_U.07 Onderhoud van servers
Functie AppO_C.03 Patchmanagement van externe programmacode
Functie Huisv_C.03 Continuiteitsmanagement
Functie CommVZ_U.05 Beveiliging netwerkdiensten
Functie AppO_U.11 Beschermen van testgegevens
Functie SERV_C.02 Beoordeling technische serveromgeving
Functie Huisv_U.07 Onderhoud Apparatuur
Functie PRIV_C.03 Meldplicht Datalekken
Functie SERV_U.06 Beheer op afstand
Functie PRIV_U.03 Kwaliteitsmanagement
Functie AppO_C.02 Versie Management
Functie LTV_C.02 Beoordeling toegangsrechten
Functie CommVZ_C.02 Netwerk security compliancy checking
Functie Huisv_C.04 Huisvesting-IV Testproces bedrijfsmiddelen
Functie CommVZ_U.07 Elektronische berichten
Functie AppO_B.07 Kwaliteitsmanagement systeem
Functie LTV_B.03 Beveiligingsfunctie toegangbeveiliging
Functie Huisv_U.08 Apparatuur verwijdering
Functie LTV_U.04 Autorisatieproces
Functie AppO_C.05 Quality assurance
Functie AppO_U.05 Analyse en specificatie van informatiebeveiligingseisen
Functie SERV_U.04 Beheer van serverkwetsbaarheden
Functie Huisv_C.05 Huisvesting-IV Beheerprocessen bedrijfsmiddelen
Functie CommVZ_U.08 Toepassingen via openbare netwerken
Functie PRIV_U.06 Bewaren van persoonsgegevens
Functie SERV_U.03 Malwareprotectie
Functie CommVZ_U.03 Netwerk beveiligingsbeheer
Functie Huisv_U.03 Fysieke zonering
Functie Huisv_U.09 Bedrijfsmiddelen verwijdering
Functie LTV_U.05 Wachtwoorden beheer
Functie CommVZ_C.03 Evalueren netwerkbeveiliging
Functie Huisv_U.04 Beveiligingsfaciliteiten ruimten
Functie PRIV_C.01 Intern toezicht
Functie AppO_C.06 Compliance management
Functie AppO_U.07 Applicatie functionaliteiten
Functie SERV_U.05 Patchmanagement
Functie Huisv_B.05 Contractmanagement
Functie AppO_U.04 Analyse en specificatie van informatiesystemen
Functie AppO_C.04 (Software) configuratie management
Functie LTV_U.11 Fysieke toegangbeveiliging
Functie CommVZ_B.02 Overeenkomsten over informatietransport
Functie CommVZ_U.04 Vertrouwelijkheids- of geheimhoudingsovereenkomst
Functie AppO_U.06 Applicatie ontwerp
… overige resultaten

Overzicht Normen naar invalshoek

Invalshoek ID Norm
Functie Huisv_U.05.04 Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
Functie Huisv_B.07.02 Tegen externe bedreigingen zijn beveiligingsmaatregelen genomeno.b.v. een expliciete risicoafweging
Functie LTV_U.04.03 Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten
Functie Huisv_C.03.01 Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Functie LTV_U.07.02 Niemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden
Functie LTV_C.02.03 Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
Functie Huisv_U.04.03 Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
Functie Huisv_B.05.05 De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
Functie Huisv_U.09.01 Het toestemmingstrajec voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
Functie LTV_U.06.01 Speciale toegangsrechten worden toegewezen o.b.v. risico afweging richtlijnen en procedures
Functie Huisv_U.07.04 Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
Functie Huisv_B.05.01 Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
Functie LTV_U.05.01 Wachtwoordlengte complexiteit toegestane inlogpogingen en blokkadetijdsduur
Functie Huisv_C.03.07 Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Functie Huisv_U.03.03 Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
Functie LTV_U.11.02 Registatie van aankomst en vertrektijden van bezoekers.
Functie Huisv_U.06.01 Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
Functie Huisv_B.07.03 Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
Functie LTV_U.04.04 Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
Functie Huisv_C.03.02 Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Functie LTV_U.07.03 Rollen taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld
Functie LTV_C.02.04 Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
Functie Huisv_U.04.04 Sleutelbeheer is ingericht op basis van een sleutelplan
Functie Huisv_B.06.01 Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
Functie Huisv_U.09.02 Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
Functie LTV_B.03.01 Eisen aan de rollen binnen de beveiligingsfunctie
Functie LTV_U.06.02 Toegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening
Functie Huisv_U.07.05 Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
Functie Huisv_B.05.02 Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
Functie LTV_U.05.02 Waar geen two-factor authenticatie mogelijk is minimaal 1/2-jaarlijks vernieuwen van wachtwoord
Functie Huisv_U.03.04 Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
Functie LTV_U.11.03 Medewerkers en contractanten en externen dragen zichtbare identificatie.
Functie Huisv_U.06.02 Apparatuur wordt beschermd tegen externe bedreigingen
Functie Huisv_B.07.04 De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
Functie LTV_U.04.05 Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
Functie Huisv_C.03.03 Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Functie LTV_U.07.04 Sheiding is aangebracht tussen beheertaken en overige gebruikstaken
Functie LTV_C.02.05 De opvolging van bevindingen is gedocumenteerd
Functie Huisv_U.05.01 De nutsvoorzieningen
Functie Huisv_B.06.02 Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV
Functie Huisv_U.09.03 Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
Functie LTV_B.03.02 Periodieke evluatie van het toegangbeveiligingssysteem
Functie LTV_U.06.03 Toegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties
Functie LTV_U.11.04 Verzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s
Functie Huisv_U.07.06 Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
Functie Huisv_B.05.03 Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd
Functie LTV_U.05.03 Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd
Functie Huisv_U.03.05 Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord
Functie Huisv_U.07.01 Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
Functie LTV_U.04.06 Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen