Alle normen
Op deze pagina vind u alle Normen uit de NORANederlandse Overheid Referentie Architectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid Referentie Architectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.
Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.
Alle normen in de NORANederlandse Overheid Referentie Architectuur
De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen. De onderstaande tabel is te sorteren via kolomtitels.
ID | Stelling | Realiseert | Norm |
---|---|---|---|
APO_B.01.01 | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.01.02 | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Beleid voor (beveiligd) ontwikkelen | Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
APO_B.01.04 | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. | Beleid voor (beveiligd) ontwikkelen | Technieken voor beveiligd programmeren |
APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). | Systeem ontwikkelmethode | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem ontwikkelmethode | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem ontwikkelmethode | Adoptie van ontwikkelmethodologie wordt gemonitord |
APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Systeem ontwikkelmethode | Software wordt ontwikkelen conform standaarden en procedures |
APO_B.02.05 | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
| Systeem ontwikkelmethode | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
| Systeem ontwikkelmethode | Het softwareontwikkeling wordt projectmatig aangepakt |
APO_B.03.01 | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. | Classificatie van Informatie | Dataclassificatie' als uitgangspunt voor softwareontwikkeling |
APO_B.03.02 | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Classificatie van Informatie | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
APO_B.03.03 | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Classificatie van Informatie | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. | Classificatie van Informatie | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
APO_B.04.01 | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. | Engineeringprincipes beveiligde systemen | Security by Design als uitgangspunt voor softwareontwikkeling |
APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
| Engineeringprincipes beveiligde systemen | Principes voor het beveiligen van informatiesystemen |
APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld. | Engineeringprincipes beveiligde systemen | Beveiliging is integraal onderdeel van systeemontwikkeling |
APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Engineeringprincipes beveiligde systemen | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
APO_B.05.01 | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
| Business Impact Analyse | Perspectieven bij de Business Impact Analyse |
APO_B.05.02 | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Business Impact Analyse | Scenario's voor de Business Impact Analyse |
APO_B.05.03 | Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Business Impact Analyse | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
APO_B.06.02 | Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten |
APO_B.06.03 | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
APO_B.06.04 | Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
APO_B.06.05 | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Risicomanagement aanpak aantoonbaar toegepast |
APO_B.06.06 | Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Kwaliteitsmanagement systeem (KMS) | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
APO_B.07.02 | De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. | Kwaliteitsmanagement systeem (KMS) | De doelorganisatie beschikt over QA- en KMS-methodiek |
APO_B.07.03 | De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagement systeem (KMS) | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagement systeem (KMS) | Voor informatie- en communicatie zijn processen ingericht |
APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Kwaliteitsmanagement systeem (KMS) | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
APO_B.07.06 | Aan het management worden evaluatie rapportages verstrekt. | Kwaliteitsmanagement systeem (KMS) | Aan het management worden evaluatierapportages verstrekt |
APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. | Kwaliteitsmanagement systeem (KMS) | applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS |
APO_B.08.01 | Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
| Toegangsbeveiliging op programmacode | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
APO_B.08.02 | Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). | Toegangsbeveiliging op programmacode | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
APO_B.09.01 | De beveiligingsfunctionaris zorgt o.a. voor:
| Projectorganisatie | Taken van de beveiligingsfunctionaris |
APO_B.09.02 | De beveiligingsfunctionaris geeft o.a. inzicht in:
| Projectorganisatie | Inzicht gegeven door de beveiligingsfunctionaris |
APO_C.01.01 | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. | Richtlijnen evaluatie ontwikkelactiviteiten | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
APO_C.01.02 | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. | Richtlijnen evaluatie ontwikkelactiviteiten | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
APO_C.01.03 | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. | Richtlijnen evaluatie ontwikkelactiviteiten | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
APO_C.01.04 | De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijnen evaluatie ontwikkelactiviteiten | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen |
APO_C.01.05 | De QA methodiek wordt conform de richtlijnen nageleefd. | Richtlijnen evaluatie ontwikkelactiviteiten | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
APO_C.01.06 | De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Richtlijnen evaluatie ontwikkelactiviteiten | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
APO_C.01.07 | Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Richtlijnen evaluatie ontwikkelactiviteiten | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
APO_C.02.01 | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versie Management | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris |
APO_C.02.02 | In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. | Versie Management | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
APO_C.02.03 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versie Management | Versiemanagement wordt ondersteund met procedures en werkinstructies |
APO_C.02.04 | Een versiebeheertool wordt toegepast die onder andere:
| Versie Management | Ondersteuning vanuit het toegepaste versiebeheertool |
APO_C.03.01 | Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement van externe programmacode | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
APO_C.03.02 | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. | Patchmanagement van externe programmacode | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
APO_C.03.03 | Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. | Patchmanagement van externe programmacode | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
APO_C.03.04 | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement van externe programmacode | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
APO_C.03.05 | Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Patchmanagement van externe programmacode | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes |
APO_C.03.06 | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. | Patchmanagement van externe programmacode | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
APO_C.04.01 | Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. | (Software) configuratie management | Software configuratiescomponenten worden conform procedures vastgelegd |
APO_C.04.02 | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | (Software) configuratie management | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
APO_C.04.03 | Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. | (Software) configuratie management | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB |
APO_C.05.01 | Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. | Compliance management | Het compliance management proces is gedocumenteerd en vastgesteld |
APO_C.05.02 | Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance management | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
APO_C.06.01 | De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. | Quality assurance | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
APO_C.06.02 | Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
| Quality assurance | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
APO_C.06.03 | De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
APO_C.06.04 | Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. | Quality assurance | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
APO_C.07.01 | Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
| Technische beoordeling van informatiesystemen na wijziging besturingsplatform | Testen bij verandering van besturingssystemen |
APO_C.08.01 | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. | Beheersing van software ontwikkeling(sprojecten) | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd |
APO_C.08.02 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beheersing van software ontwikkeling(sprojecten) | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
APO_C.08.03 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersing van software ontwikkeling(sprojecten) | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
APO_C.08.04 | De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersing van software ontwikkeling(sprojecten) | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven |
APO_U.01.01 | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
APO_U.01.02 | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
APO_U.01.03 | Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
APO_U.01.04 | Enkele elementen van de procedures voor wijzigingsbeheer zijn:
| Procedures voor wijzigingsbeheer m.b.t. applicaties | Elementen van de procedures voor wijzigingsbeheer |
APO_U.02.01 | De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. | Beperkingen voor de installatie van software(richtlijnen) | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
APO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. | Beperkingen voor de installatie van software(richtlijnen) | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
APO_U.02.03 | De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. | Beperkingen voor de installatie van software(richtlijnen) | De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars |
APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Richtlijnen voor programmacode (best practices) | De programmacode voor functionele specificaties is reproduceerbaar |
APO_U.03.02 | (Programma)code wordt aantoonbaar veilig gecreëerd. | Richtlijnen voor programmacode (best practices) | programmacode wordt aantoonbaar veilig gecreëerd |
APO_U.03.03 | (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Richtlijnen voor programmacode (best practices) | programmacode is effectief, veranderbaar en testbaar |
APO_U.03.04 | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. | Richtlijnen voor programmacode (best practices) | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt |
APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. | Richtlijnen voor programmacode (best practices) | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
APO_U.03.06 | Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. | Richtlijnen voor programmacode (best practices) | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
APO_U.03.07 | Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. | Richtlijnen voor programmacode (best practices) | Gebruik van programmacode uit externe programmabibliotheken |
APO_U.04.01 | De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). | Analyse en specificatie van informatiesystemen | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd |
APO_U.04.02 | Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. | Analyse en specificatie van informatiesystemen | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
APO_U.04.03 | Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. | Analyse en specificatie van informatiesystemen | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
APO_U.04.04 | Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). | Analyse en specificatie van informatiesystemen | Alle vereisten worden gevalideerd door peer review of prototyping |
APO_U.04.05 | Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. | Analyse en specificatie van informatiesystemen | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
APO_U.05.01 | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. | Analyse en specificatie van informatiebeveiligingseisen | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
APO_U.05.02 | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | Analyse en specificatie van informatiebeveiligingseisen | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
APO_U.05.03 | Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
| Analyse en specificatie van informatiebeveiligingseisen | Informatiebeveiligingseisen |
APO_U.05.04 | Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
| Analyse en specificatie van informatiebeveiligingseisen | Overwogen informatiebeveiligingseisen |
APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Applicatie ontwerp | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
APO_U.06.02 | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
| Applicatie ontwerp | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. | Applicatie ontwerp | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Applicatie functionaliteiten | Bereikcontroles worden toegepast en gegevens worden gevalideerd |
APO_U.07.02 | Geprogrammeerde controles worden ondersteund. | Applicatie functionaliteiten | Geprogrammeerde controles worden ondersteund |
APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Applicatie functionaliteiten | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
APO_U.07.04 | Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. | Applicatie functionaliteiten | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). | Applicatie functionaliteiten | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
APO_U.07.06 | Opgeleverde/over te dragen gegevens worden gevalideerd. | Applicatie functionaliteiten | Opgeleverde en over te dragen gegevens worden gevalideerd |
APO_U.07.07 | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd. | Applicatie functionaliteiten | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens |
APO_U.07.08 | Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Applicatie functionaliteiten | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. | Applicatie functionaliteiten | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
APO_U.08.01 | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Applicatiebouw | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
APO_U.08.02 | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. | Applicatiebouw | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
APO_U.08.03 | Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). | Applicatiebouw | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
APO_U.08.04 | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Applicatiebouw | Geen gebruik van onveilig programmatechnieken |
APO_U.08.05 | Programmacode is beschermd tegen ongeautoriseerde wijzigingen. | Applicatiebouw | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd. | Applicatiebouw | Activiteiten van applicatiebouw worden gereviewd |
APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Applicatiebouw | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
APO_U.09.01 | Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). | Testen van systeembeveiliging | Functionarissen testen functionele requirements |
APO_U.09.02 | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | Testen van systeembeveiliging | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
APO_U.10.01 | Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. | Systeem acceptatietests | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt. | Systeem acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt |
APO_U.10.03 | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Systeem acceptatietests | Testresultaten worden formeel geëvalueerd en beoordeeld |
APO_U.10.04 | (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Systeem acceptatietests | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
APO_U.10.05 | Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Systeem acceptatietests | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang |
APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Systeem acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
APO_U.10.07 | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
| Systeem acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken |
APO_U.11.01 | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
| Beschermen van testgegevens | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
APO_U.12.01 | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Beveiligde ontwikkel- (en test) omgeving | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
APO_U.12.02 | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. | Beveiligde ontwikkel- (en test) omgeving | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen |
APO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. | Beveiligde ontwikkel- (en test) omgeving | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen |
APO_U.12.04 | Voor remote werkzaamheden is een werkwijze vastgelegd. | Beveiligde ontwikkel- (en test) omgeving | Voor remote werkzaamheden is een werkwijze vastgelegd |
APO_U.12.05 | Ontwikkelaars hebben geen toegang tot de Productie-omgeving. | Beveiligde ontwikkel- (en test) omgeving | Ontwikkelaars hebben geen toegang tot productieomgeving |
APO_U.12.06 | T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. | Beveiligde ontwikkel- (en test) omgeving | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen |
APO_U.12.07 | De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. | Beveiligde ontwikkel- (en test) omgeving | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats |
APO_U.12.08 | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Beveiligde ontwikkel- (en test) omgeving | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats |
APO_U.12.09 | De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
APO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. | Applicatiekoppelingen | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
APO_U.13.02 | Van het type koppelingen is een overzicht aanwezig. | Applicatiekoppelingen | Van het type koppelingen is een overzicht aanwezig |
APO_U.13.03 | Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. | Applicatiekoppelingen | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
APO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd. | Applicatiekoppelingen | De uitgevoerde koppelingen worden geregistreerd |
APO_U.14.01 | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. | Logging en monitoring | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
APO_U.14.02 | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. | Logging en monitoring | Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
APO_U.14.03 | De loggegevens zijn beveiligd. | Logging en monitoring | De loggegevens zijn beveiligd |
APO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging en monitoring | De locatie van de vastlegging van de loggegevens is vastgesteld |
APO_U.14.05 | De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Logging en monitoring | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
APO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Logging en monitoring | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
APO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
| Applicatie architectuur | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
APO_U.15.02 | Het architectuurdocument wordt actief onderhouden. | Applicatie architectuur | Het architectuur document wordt actief onderhouden |
APO_U.15.03 | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. | Applicatie architectuur | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
APO_U.15.04 | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Applicatie architectuur | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
APO_U.15.05 | Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). | Applicatie architectuur | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar |
APO_U.15.06 | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk. | Applicatie architectuur | De relatie tussen de persoonsgegevens is inzichtelijk |
APO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Tooling ontwikkelmethode | Het tool ondersteunt alle fasen van het ontwikkelproces |
APO_U.16.02 | Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Tooling ontwikkelmethode | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
APO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor versie- en releasebeheer |
APO_U.16.04 | Het tool beschikt over faciliteiten voor:
| Tooling ontwikkelmethode | Faciliteiten van het tool |
APO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
CLD_B.01.01 | De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten. | Wet- en regelgeving | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
CVZ_B.01.01 | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid en procedures informatietransport | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
CVZ_B.01.02 | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. | Beleid en procedures informatietransport | Beleid of richtlijnen omschrijven het toepassen van cryptografie |
CVZ_B.01.03 | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid en procedures informatietransport | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden |
CVZ_B.01.04 | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Beleid en procedures informatietransport | Procedures beschrijven het beveiligen van informatie |
CVZ_B.01.05 | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Beleid en procedures informatietransport | Procedures beschrijven het opsporen van en beschermen tegen malware |
CVZ_B.01.06 | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Beleid en procedures informatietransport | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
CVZ_B.01.07 | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beleid en procedures informatietransport | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd |
CVZ_B.02.01 | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Overeenkomsten over informatietransport | Elementen in overeenkomsten over informatietransport |
CVZ_B.02.02 | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | Overeenkomsten over informatietransport | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn |
CVZ_B.03.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid voor communicatie | In het cryptografiebeleid uitgewerkte onderwerpen |
CVZ_B.03.02 | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid voor communicatie | Aanvullende onderdelen in het cryptografiebeleid |
CVZ_B.04.01 | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management) | Organisatiestructuur van netwerkbeheer | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
CVZ_B.04.02 | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie. | Organisatiestructuur van netwerkbeheer | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie |
CVZ_B.04.03 | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur van netwerkbeheer | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd |
CVZ_C.01.01 | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Naleving richtlijnen netwerkbeheer en evaluaties | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
CVZ_C.02.01 | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Compliance toets netwerkbeveiliging | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s |
CVZ_C.02.02 | Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Compliance toets netwerkbeveiliging | Checklist voor veilige inrichting van netwerk(diensten) |
CVZ_C.02.03 | De resultaten worden gerapporteerd aan het verantwoordelijke management. | Compliance toets netwerkbeveiliging | Resultaten worden gerapporteerd aan het verantwoordelijke management |
CVZ_C.03.01 | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Evalueren robuustheid netwerkbeveiliging | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
CVZ_C.04.01 | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Evalueren netwerkgebeurtenissen (monitoring) | Zeer belangrijke onderdelen van netwerkbeveiliging |
CVZ_C.04.02 | Continue bewaking via monitoring legt de volgende informatie vast:
| Evalueren netwerkgebeurtenissen (monitoring) | Continue bewaking via monitoring |
CVZ_C.05.01 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Beheerorganisatie netwerkbeveiliging | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
CVZ_C.05.02 | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
| Beheerorganisatie netwerkbeveiliging | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
CVZ_U.01.01 | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Richtlijnen netwerkbeveiliging | Stappen ter voorbereiding van veilige netwerkontwerpen |
CVZ_U.01.02 | Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen. | Richtlijnen netwerkbeveiliging | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” |
CVZ_U.01.03 | Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C). | Richtlijnen netwerkbeveiliging | Netwerkbeveiliging is gebaseerd op ITU-T X.80x |
CVZ_U.01.04 | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Richtlijnen netwerkbeveiliging | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten |
CVZ_U.01.05 | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012. | Richtlijnen netwerkbeveiliging | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat |
CVZ_U.01.06 | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden. | Richtlijnen netwerkbeveiliging | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden |
CVZ_U.02.01 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Beveiligde inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt |
CVZ_U.02.02 | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie. | Beveiligde inlogprocedure | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone |
CVZ_U.02.03 | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.
Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.
| Beveiligde inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers |
CVZ_U.03.01 | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Netwerk beveiligingsbeheer | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld |
CVZ_U.03.02 | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerk beveiligingsbeheer | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen |
CVZ_U.03.03 | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. | Netwerk beveiligingsbeheer | Beheeractiviteiten worden nauwgezet gecoördineerd |
CVZ_U.03.04 | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Netwerk beveiligingsbeheer | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld |
CVZ_U.03.05 | De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Netwerk beveiligingsbeheer | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden |
CVZ_U.03.06 | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Netwerk beveiligingsbeheer | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd |
CVZ_U.04.01 | Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomst | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten |
CVZ_U.05.01 | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau Verbindingsveiligheid (NBV) een positief inzetadvies heeft afgegeven. | Beveiliging netwerkdiensten | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen |
CVZ_U.05.02 | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiliging netwerkdiensten | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid |
CVZ_U.05.03 | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
Voor authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: encryptie.
Voor veilige point to point-verbindingen: encryptie.
| Beveiliging netwerkdiensten | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen |
CVZ_U.05.04 | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Beveiliging netwerkdiensten | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd |
CVZ_U.05.05 | Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beveiliging netwerkdiensten | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst |
CVZ_U.05.06 | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cybersecurity Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beveiliging netwerkdiensten | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen |
CVZ_U.06.01 | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Zonering en filtering | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau |
CVZ_U.06.02 | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Zonering en filtering | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding |
CVZ_U.06.03 | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router). | Zonering en filtering | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst |
CVZ_U.06.04 | Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen. | Zonering en filtering | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding |
CVZ_U.07.01 | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie. | Elektronische berichten | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren |
CVZ_U.07.02 | Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling. | Elektronische berichten | Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling |
CVZ_U.07.03 | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. | Elektronische berichten | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten |
CVZ_U.07.04 | Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie). | Elektronische berichten | Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1 |
CVZ_U.07.05 | Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
| Elektronische berichten | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen |
CVZ_U.08.01 | Met de communicerende partijen worden afspraken gemaakt over:
| Toepassingen via openbare netwerken | Met communicerende partijen worden afspraken gemaakt |
CVZ_U.09.01 | Voor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Gateway/Firewall | Voor elke gateway of firewall bestaat een actueel configuratiedocument |
CVZ_U.09.02 | De filterfunctie van gateways en firewalls zijn instelbaar. | Gateway/Firewall | De filterfunctie van gateways en firewalls is instelbaar |
CVZ_U.09.03 | Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM). | Gateway/Firewall | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM |
CVZ_U.09.04 | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Gateway/Firewall | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten |
CVZ_U.10.01 | De end-to-end-connectie:
| Virtual Private Networks (VPN) | De end-to-end |
CVZ_U.11.01 | Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie. | Cryptografische Services | Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen |
CVZ_U.11.02 | Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
| Cryptografische Services | Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast |
CVZ_U.11.03 | Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. | Cryptografische Services | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden |
CVZ_U.11.04 | Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
| Cryptografische Services | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden |
CVZ_U.12.01 | Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
| Draadloze toegang | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken |
CVZ_U.13.01 | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
| Netwerkconnecties | Voor de beheersing van netwerken worden minimumeisen |
CVZ_U.13.02 | Netwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd. | Netwerkconnecties | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd |
CVZ_U.14.01 | Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerk-device gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)). | Netwerkauthenticatie | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd |
CVZ_U.14.02 | Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x). | Netwerkauthenticatie | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen |
CVZ_U.15.01 | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
| Netwerkbeheeractiviteiten | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie |
CVZ_U.15.02 | Netwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerkbeheeractiviteiten | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken |
CVZ_U.16.01 | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs. | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs |
CVZ_U.16.02 | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen |
CVZ_U.17.01 | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem. | Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem |
CVZ_U.17.02 | De beveiligingsarchitectuur is gelaagd, zoals:
| Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur is gelaagd |
CVZ_U.17.03 | De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden. | Netwerkbeveiligingsarchitectuur | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden |
Cloud_B.01.02 | De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen. | Wet- en regelgeving | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
Cloud_B.01.03 | De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG. | Wet- en regelgeving | Identificeren vereisten die van toepassing zijn |
Cloud_B.01.04 | De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wet- en regelgeving | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
Cloud_B.01.05 | Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Wet- en regelgeving | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
Cloud_B.01.06 | De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Wet- en regelgeving | Vaststellen alle van toepassing zijnde wet- en regelgeving |
Cloud_B.02.01 | De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
Cloud_B.02.02 | De cloudbeveiligingsstrategie van de CSP:
| Cloudbeveiligingsstrategie | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
Cloud_B.02.03 | De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
| Cloudbeveiligingsstrategie | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
Cloud_B.03.01 | De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
| Exit-strategie | Vastleggen bepalingen over exit-regeling |
Cloud_B.03.02 | De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie | Overgaan tot exit buiten verstrijken contractperiode |
Cloud_B.04.01 | Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
| Clouddienstenbeleid | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
Cloud_B.05.01 | De systeembeschrijving bevat de volgende aspecten:
| Transparantie | Bevatten diverse aspecten in systeembeschrijving |
Cloud_B.05.02 | De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Transparantie | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
Cloud_B.05.03 | De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden. | Transparantie | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
Cloud_B.05.04 | De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten. | Transparantie | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
Cloud_B.06.01 | De verantwoordelijkheden van de CSP zijn onder andere:
| Risicomanagement | Hebben CSP-verantwoordelijkheden |
Cloud_B.06.02 | De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP. | Risicomanagement | Goedkeuren organisatie van risicomanagementproces |
Cloud_B.06.03 | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagement | Beschrijven risicomanagementproces |
Cloud_B.07.01 | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteiten | Treffen maatregelen voor beveiliging IT-functionaliteiten |
Cloud_B.07.02 | Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur. | IT-functionaliteiten | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
Cloud_B.07.03 | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteiten | Bewaken en beheersen IT-infrastructuur |
Cloud_B.07.04 | De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten. | IT-functionaliteiten | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
Cloud_B.07.05 | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | IT-functionaliteiten | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
Cloud_B.08.01 | De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
Cloud_B.08.02 | De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
Cloud_B.08.03 | Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten. | Bedrijfscontinuïteitsmanagement | Committeren aan vastgestelde BCM-vereisten |
Cloud_B.08.04 | Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Vaststellen en communiceren BCM- en BIA-beleid |
Cloud_B.08.05 | Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
Cloud_B.08.06 | De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
Cloud_B.08.07 | De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
Cloud_B.08.08 | Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
Cloud_B.08.09 | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen |
Cloud_B.09.01 | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Data en privacy | Treffen maatregelen voor opslag, verwerking en transport van data |
Cloud_B.09.02 | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie. | Data en privacy | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie |
Cloud_B.09.03 | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie. | Data en privacy | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
Cloud_B.09.04 | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Data en privacy | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
Cloud_B.09.05 | De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten. | Data en privacy | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
Cloud_B.09.06 | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Data en privacy | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten |
Cloud_B.09.07 | In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Data en privacy | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
Cloud_B.09.08 | De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Data en privacy | Specificeren en documenteren opslag op welke locatie data |
Cloud_B.10.01 | De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
| Beveiligingsorganisatie Clouddiensten | Bewerkstelligen en promoten cloudbeveiligingsbeleid |
Cloud_B.10.02 | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie Clouddiensten | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
Cloud_B.10.03 | De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR. | Beveiligingsorganisatie Clouddiensten | Geven positie van informatiebeveiligingsorganisatie binnen organisatie |
Cloud_B.10.04 | De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO. | Beveiligingsorganisatie Clouddiensten | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging |
Cloud_B.10.05 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie Clouddiensten | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix |
Cloud_B.10.06 | De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie Clouddiensten | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
Cloud_B.10.07 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie Clouddiensten | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen |
Cloud_B.10.08 | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie Clouddiensten | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages |
Cloud_B.11.01 | Het raamwerk bevat de volgende aspecten:
| Clouddiensten-architectuur | Bevatten diverse aspecten voor raamwerk |
Cloud_B.11.02 | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven. | Clouddiensten-architectuur | Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud |
Cloud_C.01.01 | De CSP beschikt voor de clouddiensten over richtlijnen voor de inrichting van de service-management-organisatie. | Service-managementbeleid en evaluatie richtlijnen | Beschikken over richtlijnen voor inrichting van service-management-organisatie |
Cloud_C.01.02 | De CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. | Service-managementbeleid en evaluatie richtlijnen | Beschrijven en inrichten relevante beheerprocessen |
Cloud_C.01.03 | De CSP beschikt ten aanzien van clouddiensten over richtlijnen voor het:
| Service-managementbeleid en evaluatie richtlijnen | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties |
Cloud_C.02.01 | De CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen. | Risico-control | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria |
Cloud_C.02.02 | De vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen. | Risico-control | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen |
Cloud_C.02.03 | De CSP zal, met betrekking tot het monitoren van risico, zich continu richten op:
| Risico-control | Richten op diverse zaken met betrekking tot monitoren van risico |
Cloud_C.02.04 | De CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s. | Risico-control | Uitvoeren monitoringsactiviteiten en mitigeren risico’s |
Cloud_C.02.05 | Bij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd:
| Risico-control | Adresseren diverse elementen bij monitoring en reviewen |
Cloud_C.03.01 | Ten behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Compliance en assurance | Inrichten compliance-proces voor governance van clouddienstverlening |
Cloud_C.03.02 | De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. | Compliance en assurance | Registreren reguliere rapportages in administratie |
Cloud_C.03.03 | Het compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS). | Compliance en assurance | Aansluiten compliance-proces op ISMS |
Cloud_C.03.04 | De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten. | Compliance en assurance | Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten |
Cloud_C.03.05 | Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. | Compliance en assurance | Betrekken cloud-omgeving en administratie bij assessment |
Cloud_C.03.06 | De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten. | Compliance en assurance | Aansluiten uitkomsten uit diverse rapportages e.d. |
Cloud_C.04.01 | De CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. | Technische kwetsbaarhedenbeheer | Beschikbaar stellen informatie over beheer van technische kwetsbaarheden |
Cloud_C.04.02 | De CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld. | Technische kwetsbaarhedenbeheer | Definiëren en vaststellen rollen en verantwoordelijkheden |
Cloud_C.04.03 | Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer | Installeren patches en treffen mitigerende maatregelen |
Cloud_C.04.04 | Het tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd. | Technische kwetsbaarhedenbeheer | Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid |
Cloud_C.04.05 | Periodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren. | Technische kwetsbaarhedenbeheer | Uitvoeren penetratietests op ICT-componenten |
Cloud_C.04.06 | Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
| Technische kwetsbaarhedenbeheer | Verhelpen technische zwakheden door patchmanagement |
Cloud_C.04.07 | De evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd. | Technische kwetsbaarhedenbeheer | Registreren en rapporteren evaluaties van technische kwetsbaarheden |
Cloud_C.04.08 | De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn. | Technische kwetsbaarhedenbeheer | Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken |
Cloud_C.05.01 | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving zijn vastgesteld en worden toegepast. | Security-monitoring | Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren |
Cloud_C.05.02 | Het monitoren en rapporteren over de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is gerelateerd aan:
| Security-monitoring | Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten |
Cloud_C.05.03 | Het monitoren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en rapportages vindt plaats op basis van:
| Security-monitoring | Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht |
Cloud_C.05.04 | De informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance management, en vulnerability management) geanalyseerd. | Security-monitoring | Analyseren informatiebeveiligingsrapportages in samenhang |
Cloud_C.05.05 | Aantoonbaar wordt opvolging gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verbeteringsvoorstellen uit de analyse-rapportages. | Security-monitoring | Opvolgen verbeteringsvoorstellen uit analyse-rapportages |
Cloud_C.05.06 | De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan hiervoor verantwoordelijke functionarissen. | Security-monitoring | Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken |
Cloud_C.06.01 | De samenhang van de processen wordt in een processtructuur vastgelegd. | Beheerorganisatie clouddiensten | Vastleggen samenhang van processen in processtructuur |
Cloud_C.06.02 | De CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheerorganisatie clouddiensten | Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden |
Cloud_C.06.03 | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheerorganisatie clouddiensten | Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties |
Cloud_U.01.01 | De CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen. | Standaarden voor clouddiensten | Maken transparante dienstverlening |
Cloud_U.01.02 | De CSP treft beveiligingsmaatregelen op basis van internationale standaarden, zoals:
| Standaarden voor clouddiensten | Treffen beveiligingsmaatregelen op basis van internationale standaarden |
Cloud_U.02.01 | De risico’s ten aanzien van de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven op basis van risico-evaluatiecriteria en -doelstellingen van de CSP. | Risico-assessment | Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope |
Cloud_U.02.02 | De geïdentificeerde risico’s worden geëvalueerd op basis van risico-acceptatiecriteria. | Risico-assessment | Evalueren risico’s op basis van risico-acceptatiecriteria |
Cloud_U.03.01 | De overeengekomen continuïteit wordt gewaarborgd door middel van voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties. | Bedrijfscontinuïteitsservices | Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties |
Cloud_U.03.02 | De met de CSC-organisatie overeengekomen continuïteitseisen voor cloudservices wordt gewaarborgd door middel van specifieke in de systeemarchitectuur beschreven maatregelen. | Bedrijfscontinuïteitsservices | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen |
Cloud_U.04.01 | De data en clouddiensten worden in geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld. | Herstelfunctie voor data en clouddiensten | Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen |
Cloud_U.04.02 | Het continue proces van herstelbaar beveiligen van data wordt gemonitord. | Herstelfunctie voor data en clouddiensten | Monitoren proces van herstelbaar beveiligen van data |
Cloud_U.04.03 | Het toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC. | Herstelfunctie voor data en clouddiensten | Testen functioneren van herstelfuncties en resultaten daarvan delen |
Cloud_U.05.01 | Gegevenstransport wordt ‘state of the art’ beveiligd met cryptografie (conform forum standaardisatie) en waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd. | Data-protectie | ‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer |
Cloud_U.05.02 | De binnen de clouddienst opgeslagen gegevens worden ‘state of the art’ beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd. | Data-protectie | ‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie |
Cloud_U.06.01 | De gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet. | Dataretentie en vernietiging gegevens | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet |
Cloud_U.06.02 | Gegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar gedurende de gehele bewaartermijn. | Dataretentie en vernietiging gegevens | Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn |
Cloud_U.06.03 | Gegevens worden zo mogelijk gearchiveerd met behulp van WORM (Write Once Read Many) technologie, waarmee de integriteit van de data wordt gegarandeerd. | Dataretentie en vernietiging gegevens | Archiveren gegevens met behulp van WORM-technologie |
Cloud_U.06.04 | Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata, veilig gewist of vernietigd. | Dataretentie en vernietiging gegevens | Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia |
Cloud_U.06.05 | Bij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen. | Dataretentie en vernietiging gegevens | Wissen CSC-data bij beëindigen van contractrelatie |
Cloud_U.07.01 | Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt. | Scheiding van data | Permanente isolatie van gegevens binnen een multi-tenant architectuur |
Cloud_U.07.02 | Isolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s. | Scheiding van data | Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data |
Cloud_U.07.03 | De bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd. | Scheiding van data | Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik |
Cloud_U.08.01 | De CSP realiseert de volgende scheiding van clouddienstverlening:
| Scheiding van dienstverlening | Realiseren diverse scheidingen van clouddienstverlening |
Cloud_U.09.01 | De CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van CSC en CSP moeten worden genomen. | Malware-protectie | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen |
Cloud_U.09.02 | De CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware. | Malware-protectie | Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter |
Cloud_U.09.03 | De malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
| Malware-protectie | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie |
Cloud_U.10.01 | De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
| Toegang tot IT-diensten en data | Bieden toegang tot bevoegde services, IT-diensten en data |
Cloud_U.10.02 | Onder verantwoordelijkheid van de CSP wordt aan beheerders:
| Toegang tot IT-diensten en data | Verlenen toegang aan beheerders |
Cloud_U.10.03 | Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data. | Toegang tot IT-diensten en data | Krijgen toegang tot IT-diensten en data |
Cloud_U.10.04 | Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. | Toegang tot IT-diensten en data | Toekennen bevoegdheden voor gebruikers via formele procedures |
Cloud_U.10.05 | Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept. | Toegang tot IT-diensten en data | Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren |
Cloud_U.11.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Crypto-services | Uitwerken cryptografiebeleid |
Cloud_U.11.02 | In geval van PKI-overheidscertificaten worden de PKI-overheidseisen gehanteerd ten aanzien van het sleutelbeheer. In overige situaties worden de ISO 11770 standaard voor het beheer van cryptografische sleutels gehanteerd. | Crypto-services | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer |
Cloud_U.11.03 | Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private-key’s in beheer zijn bij de CSC. Het gebruik van een private-sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie. | Crypto-services | Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure |
Cloud_U.12.01 | In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (zoals DDoS-aanvallen en Distributed Denial of Service attacks) te signaleren en hierop te reageren. | Koppelvlakken | Treffen maatregelen in koppelpunten met externe of onvertrouwde zones |
Cloud_U.12.02 | Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd, dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt). | Koppelvlakken | Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren |
Cloud_U.12.03 | Beheeractiviteiten van de CSP zijn strikt gescheiden van de data CSC. | Koppelvlakken | Scheiden CSP-beheeractiviteiten en CSC-data |
Cloud_U.12.04 | Dataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de verzonden gegevens te garanderen. | Koppelvlakken | Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen |
Cloud_U.12.05 | Het dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Koppelvlakken | Bewaken en analyseren dataverkeer op kwaadaardige elementen |
Cloud_U.12.06 | De CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een alles omvattend SIEM, zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen. | Koppelvlakken | Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM |
Cloud_U.12.07 | Ontdekte nieuwe dreigingen worden, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT en bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Koppelvlakken | Delen nieuwe dreigingen binnen overheid |
Cloud_U.13.01 | Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s). | Service-orkestratie | Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie |
Cloud_U.13.02 | De functionele samenhang van de service-componenten zijn beschreven. | Service-orkestratie | Beschrijven functionele samenhang van service-componenten |
Cloud_U.13.03 | Voor orkestratie van cloudservices is de volgende informatie benodigd:
| Service-orkestratie | Zorgen voor benodigde informatie voor orkestratie van cloudservices |
Cloud_U.14.01 | Om de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving van cloudservices te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces. | Interoperabiliteit en portabiliteit | Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen |
Cloud_U.14.02 | Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data en waarmee de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen wordt gegarandeerd. | Interoperabiliteit en portabiliteit | Gebruiken beveiligde netwerkprotocollen voor import en export van data |
Cloud_U.15.01 | Het overtreden van de beleidsregels wordt door CSP en CSC vastgelegd. | Logging en monitoring | Vastleggen beleidsregel-overtreding |
Cloud_U.15.02 | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. | Logging en monitoring | Hebben SIEM- en/of SOC-regels over te rapporteren incident |
Cloud_U.15.03 | De CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid. | Logging en monitoring | Hanteren en beoordelen lijst van alle kritische activa |
Cloud_U.15.04 | Aan logboeken en bewaking worden strenge eisen gesteld; voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd. | Logging en monitoring | Stellen eisen aan logboeken en bewaking |
Cloud_U.15.05 | De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP. | Logging en monitoring | Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers |
Cloud_U.15.06 | Wijzigingen in de logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers (logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken). | Logging en monitoring | Controleren wijzigingen in logging en monitoring |
Cloud_U.16.01 | De architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert ten minste het volgende:
| Clouddiensten-architectuur | Specificeren minimale zaken voor architectuur |
Cloud_U.17.01 | CSC-data op transport en in rust is versleuteld. | Multi-tenant architectuur | Versleutelen CSC-data op transport en in rust |
Cloud_U.17.02 | Virtuele machine-platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht. | Multi-tenant architectuur | Gescheiden inrichten virtuele machine-platforms voor CSC’s |
Cloud_U.17.03 | Virtuele machine-platforms zijn gehardend. | Multi-tenant architectuur | Hardenen virtuele machine-platforms |
HVI_B.01.01 | De organisatie heeft een huisvesting IV-beleid opgesteld dat:
| Huisvesting IV-beleid | Er is een huisvesting IV beleid |
HVI_B.01.02 | Beleidsregels over het huisvesting IV-beleid behandelen eisen die voortkomen uit:
| Huisvesting IV-beleid | Beleidsregels huisvesting IV |
HVI_B.01.03 | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting IV, zoals:
| Huisvesting IV-beleid | Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
HVI_B.02.01 | De verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV. | Wet en regelgeving | De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast |
HVI_B.02.02 | Het huisvesting IV-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Wet en regelgeving | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
HVI_B.03.01 | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting IV-bedrijfsmiddel, zijn als eigenaar benoemd. | Eigenaarschap | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
HVI_B.03.02 | Het eigenaarschap van een huisvesting IV-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Eigenaarschap | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
HVI_B.03.03 | De eigenaar van het huisvesting IV-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | Eigenaarschap | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
HVI_B.03.04 | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Eigenaarschap | Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen |
HVI_B.04.01 | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Certificering | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
HVI_B.04.02 | Huisvesting IV die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificering | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
HVI_B.05.01 | De eisen en specificaties voor huisvesting IV zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Contractmanagement | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
HVI_B.05.02 | Het verwerven van huisvesting IV vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Contractmanagement | Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst |
HVI_B.05.03 | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Contractmanagement | Bij SLA en DAP betrokken rollen voor Contractmanagement en Service Level Management zijn vastgelegd |
HVI_B.05.04 | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures(DAP’s). | Contractmanagement | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s |
HVI_B.05.05 | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Contractmanagement | De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd |
HVI_B.06.01 | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Service Levelmanagement | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
HVI_B.06.02 | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | Service Levelmanagement | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
HVI_B.06.03 | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery). | Service Levelmanagement | De aspecten waarop de Service Levels o.a. zijn gericht |
HVI_B.07.01 | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | Interne en Externe bedreigingen | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
HVI_B.07.02 | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | Interne en Externe bedreigingen | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
HVI_B.07.03 | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | Interne en Externe bedreigingen | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
HVI_B.07.04 | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | Interne en Externe bedreigingen | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
HVI_B.08.01 | Binnen huisvesting IV nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Training en Awareness | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
HVI_B.08.02 | Aan de medewerkers wordt regelmatig (e-learning)training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Training en Awareness | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
HVI_B.09.01 | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting IV een formele positie. | Organisatiestructuur | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
HVI_B.09.02 | Voor huisvesting IV is een organisatieschema beschikbaar. | Organisatiestructuur | Er is een Huisvestingsorganisatieschema beschikbaar |
HVI_B.09.03 | Het organisatieschema toont de rollen/functionarissen binnen de huisvestingsorganisatie. | Organisatiestructuur | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
HVI_B.09.04 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet vastgelegd en belegd. | Organisatiestructuur | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
HVI_C.01.01 | De huisvesting IV-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | Controle-richtlijnen huisvesting IV | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
HVI_C.01.02 | De huisvesting IV-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Controle-richtlijnen huisvesting IV | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
HVI_C.01.03 | De huisvesting IV-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Controle-richtlijnen huisvesting IV | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
HVI_C.01.04 | De huisvesting IV-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Controle-richtlijnen huisvesting IV | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie |
HVI_C.01.05 | De huisvesting IV-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Controle-richtlijnen huisvesting IV | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
HVI_C.02.01 | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Onderhoudsplan | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
HVI_C.02.02 | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Onderhoudsplan | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
HVI_C.03.01 | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Continuiteitsmanagement | Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
HVI_C.03.02 | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | Continuiteitsmanagement | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken |
HVI_C.03.03 | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Continuiteitsmanagement | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
HVI_C.03.04 | De herstelprocessen en -procedures voor de huisvesting IV-organisatie zijn gedocumenteerd. | Continuiteitsmanagement | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
HVI_C.03.05 | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Continuiteitsmanagement | Realisatie van afdoende uitwijkfaciliteiten |
HVI_C.03.06 | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Continuiteitsmanagement | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
HVI_C.03.07 | De huisvesting IV-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Continuiteitsmanagement | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
HVI_C.04.01 | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie huisvesting IV | Er zijn functionarissen voor de beheersorganisatie benoemd |
HVI_C.04.02 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie huisvesting IV | Verantwoordelijkheden zijn toegewezen en vastgelegd |
HVI_C.04.03 | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie huisvesting IV | Verantwoordelijkheden zijn beschreven en vastgelegd |
HVI_C.04.04 | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie huisvesting IV | De samenhang van processen is in een processtructuur vastgelegd. |
HVI_U.01.01 | Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied. | Richtlijnen gebieden en ruimten | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
HVI_U.01.02 | Zonder toezicht wordt niet gewerkt in de beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | Richtlijnen gebieden en ruimten | In beveiligde gebieden wordt slechts onder toezicht gewerkt |
HVI_U.01.03 | Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn. | Richtlijnen gebieden en ruimten | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd |
HVI_U.01.04 | Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Richtlijnen gebieden en ruimten | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
HVI_U.01.05 | Bezoekers van kritieke faciliteiten:
| Richtlijnen gebieden en ruimten | Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
HVI_U.02.01 | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002). | Bedrijfsmiddelen-inventaris | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
HVI_U.02.02 | De huisvesting IV-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
| Bedrijfsmiddelen-inventaris | Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV |
HVI_U.02.03 | De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten. | Bedrijfsmiddelen-inventaris | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
HVI_U.02.04 | De huisvesting IV-organisatie heeft inventarisoverzichten, waarvoor geldt:
| Bedrijfsmiddelen-inventaris | Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
HVI_U.03.01 | Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden:
| Fysieke zonering | Voorschriften voor het inrichten van beveiligde zones |
HVI_U.03.02 | Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Fysieke zonering | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen |
HVI_U.03.03 | Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Fysieke zonering | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
HVI_U.03.04 | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Fysieke zonering | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
HVI_U.03.05 | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Fysieke zonering | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd |
HVI_U.04.01 | Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. | Beveiligingsfaciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
HVI_U.04.02 | Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Beveiligingsfaciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
HVI_U.04.03 | Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Beveiligingsfaciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
HVI_U.04.04 | Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4). | Beveiligingsfaciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan |
HVI_U.05.01 | Nutsvoorzieningen:
| Nutsvoorzieningen | De nutsvoorzieningen |
HVI_U.05.02 | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
HVI_U.05.03 | Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. | Nutsvoorzieningen | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
HVI_U.05.04 | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Nutsvoorzieningen | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
HVI_U.06.01 | Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens. | Apparatuur-positionering | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
HVI_U.06.02 | Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. | Apparatuur-positionering | Apparatuur wordt beschermd tegen externe bedreigingen |
HVI_U.07.01 | Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Apparatuur-onderhoud | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
HVI_U.07.02 | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Apparatuur-onderhoud | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel |
HVI_U.07.03 | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Apparatuur-onderhoud | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
HVI_U.07.04 | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Apparatuur-onderhoud | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
HVI_U.07.05 | Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. | Apparatuur-onderhoud | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
HVI_U.07.06 | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Apparatuur-onderhoud | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
HVI_U.08.01 | Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat. | Apparatuur-verwijdering | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
HVI_U.08.02 | Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd.
De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data meer op het apparaat aanwezig of toegankelijk is.
Als verwijdering niet mogelijk is, wordt de data vernietigd.
| Apparatuur-verwijdering | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
HVI_U.09.01 | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. | Bedrijfsmiddelenverwijdering | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd |
HVI_U.09.02 | Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd. | Bedrijfsmiddelenverwijdering | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
HVI_U.09.03 | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht. | Bedrijfsmiddelenverwijdering | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
HVI_U.09.04 | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Bedrijfsmiddelenverwijdering | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
HVI_U.09.05 | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. | Bedrijfsmiddelenverwijdering | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
HVI_U.10.01 | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten. | Laad en los locatie | Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
HVI_U.10.02 | Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel. | Laad en los locatie | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
HVI_U.10.03 | De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Laad en los locatie | Eisen aan de laad- en loslocatie |
HVI_U.10.04 | De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn. | Laad en los locatie | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
HVI_U.10.05 | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer. | Laad en los locatie | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
HVI_U.10.06 | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Laad en los locatie | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
HVI_U.10.07 | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld. | Laad en los locatie | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
HVI_U.11.01 | Kabels worden bij voorkeur ondergronds aangelegd. | Bekabeling | Kabels worden bij voorkeur ondergronds aangelegd |
HVI_U.11.02 | Huisvesting IV is ingericht met de volgende best practices:
| Bekabeling | De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
HVI_U.11.03 | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Bekabeling | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
HVI_U.12.01 | De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting IV worden actief onderhouden. | Huisvesting IV-architectuur | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden |
HVI_U.12.02 | De inrichting van huisvesting IV en bekabelingen zijn gedocumenteerd. | Huisvesting IV-architectuur | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd |
HVI_U.12.03 | Het document met de inrichting van huisvesting IV en de bekabeling:
| Huisvesting IV-architectuur | Aan het architectuurdocument gestelde eisen |
Huisv_B.01.01 | Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen | ||
Huisv_B.01.02 | Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen | ||
Huisv_B.01.03 | Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening | ||
Huisv_U.02.04 vervallen | Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). | Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend | |
LTV_C.03.01 | Logbestanden van applicaties en systemen bevatten uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd. | Uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd worden opgeslagen in logbestanden van applicaties en systemen | |
LTV_C.03.04 | Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld | |
LTV_C.04.03 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd | |
PRIV_B.01.01.01 | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht |
PRIV_B.01.01.02 | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; cyclisch proces |
PRIV_B.01.01.03 | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; vastgesteld en gecommuniceerd |
PRIV_B.01.01.04 | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. wet- en regelgeving |
PRIV_B.01.01.05 | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
PRIV_B.01.01.06 | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. gedragscode |
PRIV_B.01.02.01 | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijving van privacy by design |
PRIV_B.01.02.02 | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen |
PRIV_B.01.02.03 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken |
PRIV_B.01.02.04 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens |
PRIV_B.01.02.05 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen |
PRIV_B.01.02.06 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van transparante verwerking |
PRIV_B.01.02.07 | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen |
PRIV_B.01.02.08 | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte |
PRIV_B.01.02.09 | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking |
PRIV_B.01.02.10 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk |
PRIV_B.02.01.01 | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Organieke inbedding | Verdeling taken en verantwoordelijkheden |
PRIV_B.02.01.02 | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Organieke inbedding | Functionaris Gegevensbescherming |
PRIV_B.02.01.03 | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Organieke inbedding | Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
PRIV_B.02.01.04 | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Organieke inbedding | Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
PRIV_B.02.02.01 | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Organieke inbedding | Benodigde middelen |
PRIV_B.02.03.01 | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Organieke inbedding | Rapporteringslijnen |
PRIV_B.03.01.01 | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, hoog risico |
PRIV_B.03.01.02 | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, advies van FG |
PRIV_B.03.01.03 | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, bij wijzigingen |
PRIV_B.03.01.04 | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, i.r.t. DPIA |
PRIV_B.03.02.01 | De maatregelen bestaan uit technische en organisatorische maatregelen. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, technisch en organisatorisch |
PRIV_B.03.02.02 | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, passend |
PRIV_B.03.02.03 | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, continuïteit |
PRIV_B.03.02.04 | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen i.r.t. de DPIA |
PRIV_B.03.03.01 | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Risicomanagement, Privacy by Design en de DPIA | Aantonen onderkende risico's en maatregelen |
PRIV_B.03.03.02 | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Risicomanagement, Privacy by Design en de DPIA | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten |
PRIV_B.03.03.03 | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Risicomanagement, Privacy by Design en de DPIA | Aantonen aanpak risicomanagement |
PRIV_B.03.03.04 | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Risicomanagement, Privacy by Design en de DPIA | Aantonen toepassen DPIA toetsmodel |
PRIV_B.03.03.05 | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Risicomanagement, Privacy by Design en de DPIA | Aantonen privacy by design |
PRIV_C.01.01.01 | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Intern toezicht | Toezien op het voldoen aan de wettelijke verplichtingen |
PRIV_C.01.01.02 | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Intern toezicht | Evaluatierapportage bij niet voldoen |
PRIV_C.01.01.03 | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Intern toezicht | Planmatige controle op compliancy |
PRIV_C.01.02.01 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Intern toezicht | Rechtmatigheid van de verwerking aantonen |
PRIV_C.01.02.02 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Intern toezicht | Rechtmatigheid aangetoond, toereikende verwerking |
PRIV_C.01.02.03 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Intern toezicht | Rechtmatigheid aantonen |
PRIV_C.01.02.04 | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Intern toezicht | Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte |
PRIV_C.01.02.05 | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen). | Intern toezicht | Gewaarborgde bescherming |
PRIV_C.01.02.06 | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Intern toezicht | Juiste en actuele gegevens |
PRIV_C.01.02.07 | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Intern toezicht | Aantoonbaar behoorlijke verwerking |
PRIV_C.01.02.08 | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Intern toezicht | Aantoonbaar transparante verwerking |
PRIV_C.01.02.09 | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Intern toezicht | Compliancydossier |
PRIV_C.01.02.10 | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Intern toezicht | Compliancy en compleetheid aantonen met het gegevensregister |
PRIV_C.02.01.01 | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Toegang gegevensverwerking voor betrokkenen | Informatie aan betrokkene over de verwerking van persoonsgegevens |
PRIV_C.02.01.02 | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
| Toegang gegevensverwerking voor betrokkenen | Welke informatie wordt verstrekt |
PRIV_C.02.01.03 | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Toegang gegevensverwerking voor betrokkenen | Geen afbreuk aan rechten en vrijheden van anderen |
PRIV_C.02.02.01 | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
| Toegang gegevensverwerking voor betrokkenen | Tijdige verstrekking op verzoek van betrokkene |
PRIV_C.02.02.02 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Toegang gegevensverwerking voor betrokkenen | Tijdig informeren bij geen gevolg aan verzoek van betrokkene |
PRIV_C.02.03.01 | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Toegang gegevensverwerking voor betrokkenen | Passende, begrijpelijke en toegankelijke wijze van informeren |
PRIV_C.02.03.02 | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Toegang gegevensverwerking voor betrokkenen | Informatie wordt schriftelijk en/of elektronisch verstrekt |
PRIV_C.02.03.03 | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Toegang gegevensverwerking voor betrokkenen | Mondelinge informatieverstrekking |
PRIV_C.02.03.04 | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
| Toegang gegevensverwerking voor betrokkenen | Kosteloos, tenzij onredelijk |
PRIV_C.02.03.05 | De verantwoordelijke beschikt over gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Toegang gegevensverwerking voor betrokkenen | Gegevens ter identificatie van de betrokkene |
PRIV_C.02.04.01 | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Toegang gegevensverwerking voor betrokkenen | Specifieke uitzonderingsgronden |
PRIV_C.03.01.01 | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Meldplicht Datalekken | Datalek melden aan de AP |
PRIV_C.03.01.02 | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
| Meldplicht Datalekken | Eisen aan de melding aan AP |
PRIV_C.03.01.03 | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Meldplicht Datalekken | Datalek melden aan betrokkene |
PRIV_C.03.01.04 | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
| Meldplicht Datalekken | Eisen aan de melding aan betrokkene |
PRIV_C.03.01.05 | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldplicht Datalekken | Duidelijke en eenvoudige taal |
PRIV_C.03.02.01 | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Meldplicht Datalekken | Inbreuk melden aan verwerkingsverantwoordelijke |
PRIV_C.03.02.02 | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Meldplicht Datalekken | Termijn voor melden aan AP |
PRIV_C.03.02.03 | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Meldplicht Datalekken | Motivering bij vertraagde melding |
PRIV_C.03.02.04 | De melding aan de betrokkene gebeurt onverwijld. | Meldplicht Datalekken | Directe melding aan betrokkene |
PRIV_C.03.03.01 | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Registratie en documentatie van de inbreuken |
PRIV_C.03.03.02 | De documentatie stelt de AP in staat de naleving te controleren. | Meldplicht Datalekken | Naleving controleren op basis van documentatie |
PRIV_C.03.03.03 | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Noodzakelijke gegevens in de documentatie |
PRIV_C.03.03.04 | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Meldplicht Datalekken | Kennisgeving vastleggen |
PRIV_C.03.04.01 | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Meldplicht Datalekken | Uitzondering op meldplicht aan AP |
PRIV_C.03.04.02 | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Meldplicht Datalekken | Uitzondering op meldplicht aan betrokkene |
PRIV_U.01.01.01 | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking |
PRIV_U.01.01.02 | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid |
PRIV_U.01.01.03 | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid |
PRIV_U.01.01.04 | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; SMART |
PRIV_U.01.02.01 | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doelbinding gegevensverwerking | Doeleinden; toereikend, ter zake dienend en beperkt |
PRIV_U.01.02.02 | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doelbinding gegevensverwerking | Doeleinden; rechtmatigheid |
PRIV_U.01.02.03 | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doelbinding gegevensverwerking | Doeleinden; transparant, behoorlijk en veilig |
PRIV_U.01.03.01 | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Doelbinding gegevensverwerking | Verdere verwerking i.r.t. andere doelen |
PRIV_U.01.03.02 | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Doelbinding gegevensverwerking | Vooraf in kennis stellen van (voornemen tot) verdere verwerking |
PRIV_U.01.04.01 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming |
PRIV_U.01.04.02 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten |
PRIV_U.01.04.03 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht |
PRIV_U.01.04.04 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten |
PRIV_U.01.04.05 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene |
PRIV_U.01.04.06 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten |
PRIV_U.01.04.07 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang |
PRIV_U.01.04.08 | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; gezondheidsgegevens |
PRIV_U.01.04.09 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg |
PRIV_U.01.04.10 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid |
PRIV_U.01.04.11 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang |
PRIV_U.01.05.01 | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Doelbinding gegevensverwerking | Persoonsgegevens van strafrechtelijke aard |
PRIV_U.01.05.02 | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Doelbinding gegevensverwerking | Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking |
PRIV_U.01.05.03 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR | |
PRIV_U.01.05.04 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt. | |
PRIV_U.01.05.05 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking | |
PRIV_U.01.06.01 | Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Doelbinding gegevensverwerking | Nationaal identificerend nummer |
PRIV_U.01.07.01 | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming; niet, tenzij |
PRIV_U.01.07.02 | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen |
PRIV_U.01.07.03 | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens |
PRIV_U.01.08.01 | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Doelbinding gegevensverwerking | Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang |
PRIV_U.01.08.02 | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Doelbinding gegevensverwerking | Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen |
PRIV_U.02.01.01 | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsactiviteiten | Register van verwerkingsverantwoordelijke |
PRIV_U.02.01.02 | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Inhoud van het register van verwerkingsactiviteiten |
PRIV_U.02.01.03 | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerkingsactiviteiten | Register van verwerker, categorieën van verwerkingsactiviteiten |
PRIV_U.02.01.04 | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Register van verwerker, inhoud van het register |
PRIV_U.02.01.05 | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerkingsactiviteiten | Register van verwerker, in schriftelijke elektronische vorm |
PRIV_U.02.01.06 | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerkingsactiviteiten | Register van verwerker, niet bijgehouden als … |
PRIV_U.02.02.01 | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | Register van verwerkingsactiviteiten | De registers geven een samenhangend beeld |
PRIV_U.02.02.02 | Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Register van verwerkingsactiviteiten | Actueel beeld voor de AP |
PRIV_U.02.02.03 | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Register van verwerkingsactiviteiten | Beschrijving gegevensstromen |
PRIV_U.02.02.04 | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Register van verwerkingsactiviteiten | Resultaten DPIA in register |
PRIV_U.03.01.01 | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Kwaliteitsmanagement | Maatregelen i.r.t. juistheid en nauwkeurigheid |
PRIV_U.03.01.02 | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Kwaliteitsmanagement | Controle op juistheid en nauwkeurigheid |
PRIV_U.03.02.01 | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Kwaliteitsmanagement | Rectificatie op verzoek van betrokkene |
PRIV_U.03.02.02 | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Kwaliteitsmanagement | Aanvulling op verzoek van betrokkene |
PRIV_U.03.02.03 | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Kwaliteitsmanagement | Gegevens wissen op verzoek van de betrokkene |
PRIV_U.03.02.04 | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Kwaliteitsmanagement | Staken van de verwerking op verzoek van betrokkene |
PRIV_U.03.02.05 | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Kwaliteitsmanagement | Maatregelen na openbaarmaking van persoonsgegevens |
PRIV_U.03.02.06 | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Kwaliteitsmanagement | Beperking van de verwerking op verzoek van de betrokkene |
PRIV_U.03.02.07 | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Kwaliteitsmanagement | Recht op ongehinderde overdracht van gegevens |
PRIV_U.03.02.08 | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Kwaliteitsmanagement | Rechtstreekse overdracht |
PRIV_U.03.03.01 | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Kwaliteitsmanagement | Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking |
PRIV_U.03.03.02 | Kwaliteitsmanagement | Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt | |
PRIV_U.03.03.03 | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Kwaliteitsmanagement | Informatie over afwikkeling correctieverzoek |
PRIV_U.03.03.04 | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Kwaliteitsmanagement | Elektronische verwerking van het verzoek |
PRIV_U.03.03.05 | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Kwaliteitsmanagement | Geïnformeerd, schriftelijk of op andere wijze |
PRIV_U.03.03.06 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Kwaliteitsmanagement | Informatie over geen gevolg geven aan het correctieverzoek |
PRIV_U.03.03.07 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Kwaliteitsmanagement | Identificatie van betrokkene |
PRIV_U.04.01.01 | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Beveiligen van de verwerking van persoonsgegevens | Toegang wordt beperkt |
PRIV_U.04.01.02 | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Beveiligen van de verwerking van persoonsgegevens | Fysieke beveiliging, wijze van verzamelen |
PRIV_U.04.01.03 | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Beveiligen van de verwerking van persoonsgegevens | Organisatorische beveiliging, planmatig, aantoonbaar |
PRIV_U.04.01.04 | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Beveiligen van de verwerking van persoonsgegevens | Passend beveiligingsniveau |
PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Beveiligen van de verwerking van persoonsgegevens | Passend beschermingsniveau, proportioneel en subsidiair |
PRIV_U.04.02.02 | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Beveiligen van de verwerking van persoonsgegevens | Risicoanalyse |
PRIV_U.04.02.03 | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Beveiligen van de verwerking van persoonsgegevens | Gedragscode, certificering |
PRIV_U.05.01.01 | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming van de betrokkene vooraf |
PRIV_U.05.01.02 | InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie over niet van betrokkene verkregen persoonsgegevens |
PRIV_U.05.02.01 | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatievereisten bij verzoek om toestemming |
PRIV_U.05.02.02 | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie aan betrokkene |
PRIV_U.05.02.03 | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie aan betrokkene indien andere bron |
PRIV_U.05.03.01 | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informeren bij toestemming soms niet verplicht |
PRIV_U.05.04.01 | De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming vrijelijk gegeven |
PRIV_U.05.04.02 | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming indien kind jonger is dan 16 jaar |
PRIV_U.06.01.01 | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Bewaren van persoonsgegevens | Maatregelen na verlopen bewaartermijn |
PRIV_U.06.01.02 | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaren van persoonsgegevens | Bewaking van de noodzaak tot bewaren |
PRIV_U.06.02.01 | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaren van persoonsgegevens | Bewaartermijnen worden vastgesteld en bekrachtigd |
PRIV_U.06.02.02 | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Bewaren van persoonsgegevens | Maximale bewaartermijn |
PRIV_U.06.02.03 | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Bewaren van persoonsgegevens | Sectorspecifieke bewaartermijnen |
PRIV_U.06.02.04 | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Bewaren van persoonsgegevens | Langere opslagperiode voor specifieke doelen (onderzoek, statistiek) |
PRIV_U.07.01.01 | Bij doorgifte aan een andere verantwoordelijke zijn:
| Doorgifte persoonsgegevens | De onderlinge verantwoordelijkheden |
PRIV_U.07.02.01 | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Doorgifte persoonsgegevens | Afdoende garanties formeel vastgelegd |
PRIV_U.07.02.02 | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Doorgifte persoonsgegevens | Bepalingen overeengekomen met de verwerker |
PRIV_U.07.02.03 | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Doorgifte persoonsgegevens | Schriftelijk vastleggen |
PRIV_U.07.03.01 | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Doorgifte persoonsgegevens | Vertegenwoordiger in de EU |
PRIV_U.07.03.02 | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Doorgifte persoonsgegevens | Afdoende garanties voor passende maatregelen |
PRIV_U.07.03.03 | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Doorgifte persoonsgegevens | Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking |
PRIV_U.07.04.01 | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Doorgifte persoonsgegevens | Uitzonderingsgrond voor de verwerking |
PRIV_U.07.04.02 | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Doorgifte persoonsgegevens | Uitzonderingsgrond voor doorgifte |
PRIV_U.07.05.01 | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Doorgifte persoonsgegevens | Adequaatheidsbesluit |
PRIV_U.07.06.01 | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Doorgifte persoonsgegevens | Passende waarborgen bij afwezigheid adequaatheidsbesluit |
PRIV_U.07.06.02 | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Doorgifte persoonsgegevens | Passende waarborgen bij aanwezigheid adequaatheidsbesluit |
PRIV_U.07.06.03 | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Doorgifte persoonsgegevens | Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene |
PRIV_U.07.07.01 | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Doorgifte persoonsgegevens | Afwijking voor een specifieke situatie |
SERV_B.01.01 | De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server |
SERV_B.01.02 | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud |
SERV_B.02.01 | De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers. | Principes voor inrichten van beveiligde servers | Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers |
SERV_B.02.02 | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Principes voor inrichten van beveiligde servers | Beveiligingsprincipes voor het beveiligd inrichten van servers |
SERV_B.03.01 | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
| Serverplatform architectuur | Eisen aan het architectuurdocument van het in te richten van het serverplatform |
SERV_B.03.02 | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen. | Serverplatform architectuur | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen |
SERV_C.01.01 | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Evaluatie richtlijnen servers en besturingssystemen | Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen |
SERV_C.01.02 | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. | Evaluatie richtlijnen servers en besturingssystemen | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
SERV_C.01.03 | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Evaluatie richtlijnen servers en besturingssystemen | Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie |
SERV_C.01.04 | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd. | Evaluatie richtlijnen servers en besturingssystemen | De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd |
SERV_C.02.01 | Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Eisen aan het vervaardigen en interpreteren van technische naleving |
SERV_C.02.02 | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen |
SERV_C.02.03 | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar |
SERV_C.02.04 | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Eisen aan het beoordelen van technische naleving |
SERV_C.03.01 | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Beheerderactiviteiten vastgelegd in logbestanden | Eisen aan het beschermen van de logbestanden |
SERV_C.03.02 | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten. | Beheerderactiviteiten vastgelegd in logbestanden | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten |
SERV_C.04.01 | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Registratie gebeurtenissen | Eisen aan de inhoud van de logbestanden van gebeurtenissen |
SERV_C.05.01 | De verantwoordelijke functionaris analyseert periodiek:
De verantwoordelijke functionaris analyseert periodiek:
| Monitoren van serverplatforms | Eisen aan de periodieke beoordeling van de logbestanden |
SERV_C.05.02 | De verzamelde loginformatie wordt in samenhang geanalyseerd. | Monitoren van serverplatforms | De verzamelde loginformatie wordt in samenhang geanalyseerd |
SERV_C.05.03 | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoren van serverplatforms | Eisen aan de periodieke rapportage over de analyse van de logbestanden |
SERV_C.05.04 | De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd. | Monitoren van serverplatforms | Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s |
SERV_C.05.05 | De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management. | Monitoren van serverplatforms | Eisen aan de inhoud en verspreiding van de loganalyse |
SERV_C.05.06 | De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan. | Monitoren van serverplatforms | De eindrapportage bevat verbeteringsvoorstellen op basis van analyses |
SERV_C.06.01 | De beveiligingsfunctionaris zorgt o.a. voor:
| Beheerorganisatie serverplatforms | Activiteiten van de beveiligingsfunctionaris |
SERV_C.06.02 | Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
| Beheerorganisatie serverplatforms | Inhoud van het beveiligingsbeleid |
SERV_U.01.01 | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedures | Gedocumenteerde procedures voor bedieningsactiviteiten |
SERV_U.01.02 | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd. | Bedieningsprocedures | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten |
SERV_U.01.03 | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedures | In de bedieningsprocedures opgenomen bedieningsvoorschriften |
SERV_U.02.01 | De documentatie conform de standaarden omvat:
| Standaarden voor configuratie van servers | Eisen aan de "gedocumenteerde standaarden" |
SERV_U.03.01 | Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden. | Malwareprotectie | In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software |
SERV_U.03.02 | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie | Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links |
SERV_U.03.03 | Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt. | Malwareprotectie | Het downloaden van bestanden is beheerst en beperkt |
SERV_U.03.04 | Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie | Servers zijn voorzien van up-to-date anti-malware |
SERV_U.03.05 | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use". | Malwareprotectie | Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd |
SERV_U.03.06 | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen. | Malwareprotectie | Servers en hiervoor gebruikte media worden routinematig gescand op malware |
SERV_U.03.07 | De malware scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie | De malware scan wordt op alle omgevingen uitgevoerd |
SERV_U.03.08 | Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate. | Malwareprotectie | De anti-malware software wordt regelmatig geüpdate |
SERV_U.04.01 | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Beheer van serverkwetsbaarheden | Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen |
SERV_U.04.02 | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
| Beheer van serverkwetsbaarheden | Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse |
SERV_U.04.03 | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Beheer van serverkwetsbaarheden | Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren |
SERV_U.04.04 | Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. | Beheer van serverkwetsbaarheden | De activiteiten zijn afgestemd op het incident |
SERV_U.04.05 | Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
| Beheer van serverkwetsbaarheden | Het kwetsbaarheden beheerproces |
SERV_U.04.06 | Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. | Beheer van serverkwetsbaarheden | Procesmatig herstel van technische kwetsbaarheden |
SERV_U.04.07 | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. | Beheer van serverkwetsbaarheden | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd |
SERV_U.05.01 | Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement | Patchmanagement is beschreven, goedgekeurd en toegekend |
SERV_U.05.02 | Een technisch mechanisme zorgt voor (semi-) automatische updates. | Patchmanagement | Een technisch mechanisme zorgt voor (semi-)automatische updates |
SERV_U.05.03 | Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht. | Patchmanagement | Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht |
SERV_U.05.04 | Het Patchmanagement proces bevat methoden om:
| Patchmanagement | Eisen aan het Patchmanagement |
SERV_U.05.05 | De patchmanagement procedure is actueel en beschikbaar. | Patchmanagement | De Patchmanagement procedure is actueel en beschikbaar |
SERV_U.05.06 | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement | De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld |
SERV_U.05.07 | De volgende aspecten van een patch worden geregistreerd:
de beschikbare patches;
| Patchmanagement | Registratie van de aspecten van een patch |
SERV_U.05.08 | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement | Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd. |
SERV_U.05.09 | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement | Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd |
SERV_U.05.10 | De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch. | Patchmanagement | De risico’s verbonden aan het installeren van de patch worden beoordeeld |
SERV_U.05.11 | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement | Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen |
SERV_U.06.01 | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
| Beheer op afstand | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd |
SERV_U.06.02 | Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
| Beheer op afstand | Het op afstand onderhouden van servers wordt strikt beheerd |
SERV_U.06.03 | Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd |
SERV_U.06.04 | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd |
SERV_U.06.05 | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Alle externe toegang tot servers vindt versleuteld plaats |
SERV_U.07.01 | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
| Onderhoud van servers | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen |
SERV_U.08.01 | de server(s):
| Veilig verwijderen of hergebruiken van serverapparatuur | Niet meer benodigde opslagmedia en informatie van servers worden vernietigd |
SERV_U.08.02 | Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Veilig verwijderen of hergebruiken van serverapparatuur | Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat |
SERV_U.09.01 | Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen van servers | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld |
SERV_U.09.02 | Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen van servers | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt |
SERV_U.09.03 | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen van servers | Servers worden beschermd tegen ongeoorloofde toegang |
SERV_U.10.01 | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
| Serverconfiguratie | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures |
SERV_U.10.02 | De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage |
SERV_U.10.03 | Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is: | Serverconfiguratie | Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt |
SERV_U.11.01 | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
| Beveiliging Virtueel serverplatform | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd |
SERV_U.11.02 | Hypervisors worden geconfigureerd om:
| Beveiliging Virtueel serverplatform | Hypervisors worden geconfigureerd |
SERV_U.11.03 | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Beveiliging Virtueel serverplatform | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures |
SERV_U.11.04 | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Beveiliging Virtueel serverplatform | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors |
SERV_U.12.01 | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list). | Beperking van software-installatie | Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan |
SERV_U.12.02 | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. | Beperking van software-installatie | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. |
SERV_U.12.03 | Het principe van least-privilege wordt toegepast. | Beperking van software-installatie | Het principe van least-privilege wordt toegepast |
SERV_U.12.04 | De rechten van beheerders worden verleend op basis van rollen. | Beperking van software-installatie | De rechten van beheerders worden verleend op basis van rollen |
SERV_U.13.01 | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd |
SERV_U.13.02 | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd. |
SERV_U.14.01 | Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij o.a. beschreven is:
| Ontwerpdocumentatie | Het ontwerp van elk serverplatform en elke server is gedocumenteerd |
TBV_B.01.01 | Het toegangvoorzieningsbeleid:
| Toegangsbeveiligingsbeleid | Eisen aan het Toegangvoorzieningsbeleid |
TBV_B.01.02 | Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. | Toegangsbeveiligingsbeleid | Aandacht voor wetgeving en verplichtingen |
TBV_B.01.03 | Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. | Toegangsbeveiligingsbeleid | Standaard gebruikersprofielen |
TBV_B.01.04 | Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes. | Toegangsbeveiligingsbeleid | Toepassen van need-to-know en need-to-use principes |
TBV_B.01.05 | Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Toegangsbeveiligingsbeleid | Het autorisatiebeheer is procesmatig ingericht |
TBV_B.02.01 | Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers). | Eigenaarschap toegangsbeveiligingssysteem | Het eigenaarschap is specifiek toegekend |
TBV_B.02.02 | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem. | Eigenaarschap toegangsbeveiligingssysteem | De eigenaar beschikt over kennis, middelen, mensen en autoriteit |
TBV_B.02.03 | De eigenaar is verantwoordelijk voor:
| Eigenaarschap toegangsbeveiligingssysteem | Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen |
TBV_B.02.04 | De eigenaar is verantwoordelijk voor:
| Eigenaarschap toegangsbeveiligingssysteem | Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen |
TBV_B.03.01 | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: Human Resource Management (HRM), Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid. | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie zijn benoemd |
TBV_B.03.02 | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem. | Beveiligingsfunctie | Het toegangbeveiligingssysteem wordt periodiek geevalueerd |
TBV_B.04.01 | Authenticatie-informatie wordt beschermd door middel van versleuteling. | Cryptografie | Authenticatie-informatie wordt beschermd door middel van versleuteling |
TBV_B.04.02 | Het cryptografiebeleid stelt eisen ten aanzien van:
| Cryptografie | Het cryptografiebeleid stelt eisen |
TBV_B.05.01 | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | Beveiligingsorganisatie Toegangsbeveiliging | De beveiligingsorganisatie heeft een formele positie |
TBV_B.05.02 | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie Toegangsbeveiliging | Verantwoordelijkheden zijn beschreven en toegewezen |
TBV_B.05.03 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix. | Beveiligingsorganisatie Toegangsbeveiliging | Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd |
TBV_B.05.04 | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie Toegangsbeveiliging | Functionarissen zijn benoemd |
TBV_B.05.05 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie Toegangsbeveiliging | Verantwoordings- en rapportagelijnen zijn vastgesteld |
TBV_B.05.06 | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie Toegangsbeveiliging | Frequentie en eisen voor rapportages |
TBV_B.06.01 | De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
| Toegangsbeveiligingsarchitectuur | De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen |
TBV_B.06.02 | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. | Toegangsbeveiligingsarchitectuur | Er is een toegangbeveiligingsarchitectuur |
TBV_C.01.01 | De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data). | Beoordelingsrichtlijnen en procedures | De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties |
TBV_C.01.02 | De organisatie beschikt over een beschrijving van de relevante controleprocessen. | Beoordelingsrichtlijnen en procedures | De organisatie beschikt over een beschrijving van de relevante controleprocessen |
TBV_C.01.03 | De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. | Beoordelingsrichtlijnen en procedures | De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus |
TBV_C.01.04 | De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. | Beoordelingsrichtlijnen en procedures | De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management |
TBV_C.02.01 | Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld. | Beoordeling toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld |
TBV_C.02.02 | Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld. | Beoordeling toegangsrechten | Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld |
TBV_C.02.03 | Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. | Beoordeling toegangsrechten | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld |
TBV_C.02.04 | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. | Beoordeling toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd |
TBV_C.02.05 | De opvolging van bevindingen is gedocumenteerd. | Beoordeling toegangsrechten | De opvolging van bevindingen is gedocumenteerd. |
TBV_C.02.06 | Het beoordelen vindt plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. | Beoordeling toegangsrechten | Het beoordelen vind plaats op basis van een formeel proces |
TBV_C.02.07 | Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging. | Beoordeling toegangsrechten | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting |
TBV_C.03.01 | Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip). | Gebeurtenissen registreren (logging en monitoring) | Een log-regel bevat de vereiste gegevens |
TBV_C.03.02 | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals: wachtwoorden, inbelnummers enz.). | Gebeurtenissen registreren (logging en monitoring) | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken |
TBV_C.03.03 | De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC), die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd. | Gebeurtenissen registreren (logging en monitoring) | De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC |
TBV_C.03.04 | Nieuw ontdekte dreigingen (aanvallen) worden binnen de geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen. | Gebeurtenissen registreren (logging en monitoring) | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld |
TBV_C.03.05 | De Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC) hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd. | Gebeurtenissen registreren (logging en monitoring) | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd |
TBV_C.03.06 | Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de Algemene Verordening Gegevensbescherming (AVG), een verwerkingsactiviteitenregister bijgehouden. | Gebeurtenissen registreren (logging en monitoring) | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. |
TBV_C.03.07 | De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole. | Gebeurtenissen registreren (logging en monitoring) | De logbestanden worden gedurende een overeengekomen periode bewaard |
TBV_C.04.01 | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie toegangsbeveiliging | De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd |
TBV_C.04.02 | De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beheersorganisatie toegangsbeveiliging | De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk |
TBV_C.04.03 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie toegangsbeveiliging | De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd |
TBV_U.01.01 | Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (vanaf de eerste registratie tot en met de beëindiging). | Registratieprocedure | Een sluitende formele registratie- en afmeldprocedure |
TBV_U.01.02 | Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. | Registratieprocedure | Groepsaccounts niet toegestaan tenzij |
TBV_U.01.03 | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. | Registratieprocedure | Autorisaties worden gecontroleerd |
TBV_U.01.04 | Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know en need-to-have principes). | Registratieprocedure | Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen |
TBV_U.01.05 | Een bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. | Registratieprocedure | Systeemprivileges op basis van een bevoegdhedenmatrix |
TBV_U.02.01 | Er is uitsluitend toegang verleend tot informatiesystemen na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. | Toegangsverleningsprocedure | Uitsluitend toegang na autorisatie |
TBV_U.02.02 | Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Toegangsverleningsprocedure | Risicoafweging voor functiescheiding en toegangsrechten |
TBV_U.02.03 | Er is een actueel mandaatregister of er zijn functieprofielen waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten. | Toegangsverleningsprocedure | Mandaatregister voor toekennen van toegangsrechten en functieprofielen |
TBV_U.03.01 | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen of op basis van minimaal two-factor authenticatie. | Inlogprocedure | Minimaal 2-factor authenticatie |
TBV_U.03.02 | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. | Inlogprocedure | Risicoafweging bij toegang tot netwerk |
TBV_U.03.03 | De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. | Inlogprocedure | Een risicoafweging bepaalt de voorwaarden voor toegang |
TBV_U.04.01 | Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties. | Autorisatieproces | Formeel proces voor verwerken van autorisaties |
TBV_U.04.02 | Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegde functionaris. | Autorisatieproces | Formele autorisatieopdracht |
TBV_U.04.03 | De activiteiten over het aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. | Autorisatieproces | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd |
TBV_U.04.04 | Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken. | Autorisatieproces | Toegangsrechten intrekken bij beëindigen van dienstverband |
TBV_U.04.05 | Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. | Autorisatieproces | Toegangsrechten corresponderen met wijzigingen in het dienstverband |
TBV_U.04.06 | Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren. | Autorisatieproces | Toegangsrechten intrekken voordat dienstverband eindigt of wijzigt, afhankelijk van risicofactoren |
TBV_U.05.01 | Als geen gebruik wordt gemaakt van two-factor authenticatie:
| Wachtwoordbeheer | Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie |
TBV_U.05.02 | In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. | Wachtwoordbeheer | Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd |
TBV_U.06.01 | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risicoafweging, richtlijnen en procedures. | Speciale toegangsrechtenbeheer | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures |
TBV_U.06.02 | Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use). | Speciale toegangsrechtenbeheer | Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken |
TBV_U.06.03 | De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. | Speciale toegangsrechtenbeheer | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld |
TBV_U.07.01 | Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Functiescheiding | Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast |
TBV_U.07.02 | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen. | Functiescheiding | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen |
TBV_U.07.03 | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. | Functiescheiding | Een scheiding is aangebracht tussen beheertaken en gebruikstaken |
TBV_U.07.04 | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Functiescheiding | Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol |
TBV_U.07.05 | Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen. | Functiescheiding | Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen |
TBV_U.08.01 | Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. | Geheime authenticatie-informatie | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode |
TBV_U.08.02 | Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld. | Geheime authenticatie-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld |
TBV_U.08.03 | Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden. | Geheime authenticatie-informatie | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden |
TBV_U.08.04 | Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. | Geheime authenticatie-informatie | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens |
TBV_U.09.01 | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Autorisatie | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken |
TBV_U.09.02 | Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. | Autorisatie | Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen |
TBV_U.09.03 | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. | Autorisatie | Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden |
TBV_U.09.04 | Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. | Autorisatie | Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie |
TBV_U.10.01 | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Autorisatievoorzieningen | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet |
TBV_U.10.02 | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Autorisatievoorzieningen | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen |
TBV_U.10.03 | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Autorisatievoorzieningen | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd |
TBV_U.10.04 | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Autorisatievoorzieningen | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties |
TBV_U.11.01 | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Fysieke toegangsbeveiliging | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen |
TBV_U.11.02 | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Fysieke toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd |
TBV_U.11.03 | Medewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. | Fysieke toegangsbeveiliging | Medewerkers en contractanten en externen dragen zichtbare identificatie |
TBV_U.11.04 | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. | Fysieke toegangsbeveiliging | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten |