Alle normen alle eigenschappen
Uit NORA Online
Op deze pagina vind u alle Normen uit de NORANederlandse Overheid ReferentieArchitectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid ReferentieArchitectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid ReferentieArchitectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.
Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.
Normen alle eigenschappen
De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'
| Norm | ID | Titel | Kent element met zelfde titel | Elementtype | Is subnorm | Versieaanduiding | Gebruik in Nederlandse publieke sector | Status actualiteit | Practice | Redactionele wijzigingsdatum | Toelichting | Beveiligingsaspect | Stelling | Conformiteitsindicator | Invalshoek | Heeft bron | Heeft ouder | Realiseert |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | AppO_B.01.01 | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. | regels | BIO Thema Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||
| Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | AppO_B.01.02 | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | regels | BIO Thema Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
| Overwegingen bij het beleid voor beveiligd ontwikkelen van software | AppO_B.01.03 | Overwegingen bij het beleid voor beveiligd ontwikkelen van software | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| regels | BIO Thema Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
| Technieken voor beveiligd programmeren | AppO_B.01.04 | Technieken voor beveiligd programmeren | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. | regels | BIO Thema Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
| Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | AppO_B.02.01 | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). | systeem ontwikkelmethodes | BIO Thema Applicatieontwikkeling | Systeem ontwikkelmethode | |||||
| Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | AppO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | systeem ontwikkelmethodes | BIO Thema Applicatieontwikkeling | Systeem ontwikkelmethode | |||||
| Adoptie van ontwikkelmethodologie wordt gemonitord | AppO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Adoptie van ontwikkelmethodologie wordt gemonitord. | systeem ontwikkelmethodes | BIO Thema Applicatieontwikkeling | Systeem ontwikkelmethode | |||||
| Software wordt ontwikkelen conform standaarden en procedures | AppO_B.02.04 | Software wordt ontwikkelen conform standaarden en procedures | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Standaarden en procedures worden toegepast voor:
| standaarden/procedures | BIO Thema Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
| De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | AppO_B.02.05 | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
| beleid en wet en regelgeving | BIO Thema Applicatieontwikkeling | Systeem ontwikkelmethode | |||||
| Het softwareontwikkeling wordt projectmatig aangepakt | AppO_B.02.06 | Het softwareontwikkeling wordt projectmatig aangepakt | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
| projectmatig | BIO Thema Applicatieontwikkeling | Systeem ontwikkelmethode | |||||
| Dataclassificatie' als uitgangspunt voor softwareontwikkeling | AppO_B.03.01 | Dataclassificatie' als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. | informatie | BIO Thema Applicatieontwikkeling | Classificatie van Informatie | |||||||
| Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | AppO_B.03.02 | InformatieBetekenisvolle gegevens. in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | informatie | BIO Thema Applicatieontwikkeling | Classificatie van Informatie | |||||||
| Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | AppO_B.03.03 | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | informatie | BIO Thema Applicatieontwikkeling | Classificatie van Informatie | |||||||
| Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | AppO_B.03.04 | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. | wettelijke eisen, waarde, belang, gevoeligheid | BIO Thema Applicatieontwikkeling | Classificatie van Informatie | |||||||
| Security by Design als uitgangspunt voor softwareontwikkeling | AppO_B.04.01 | Security by Design als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. | principes | BIO Thema Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
| Principes voor het beveiligen van informatiesystemen | AppO_B.04.02 | Principes voor het beveiligen van informatiesystemen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
| principes | BIO Thema Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||
| Beveiliging is integraal onderdeel van systeemontwikkeling | AppO_B.04.03 | Beveiliging is integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van systeemontwikkeling | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld. | principes | BIO Thema Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
| Ontwikkelaars zijn getraind om veilige software te ontwikkelen | AppO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | principes | BIO Thema Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
| Perspectieven bij de Business Impact Analyse | AppO_B.05.01 | Perspectieven bij de Business Impact Analyse | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
| perspectieven | BIO Thema Applicatieontwikkeling | Business Impact Analyse | |||||
| Scenario's voor de Business Impact Analyse | AppO_B.05.02 | Scenario's voor de Business Impact Analyse | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| scenario's | BIO Thema Applicatieontwikkeling | Business Impact Analyse | |||||||
| Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | AppO_B.05.03 | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| BIVC-aspecten | BIO Thema Applicatieontwikkeling | Business Impact Analyse | |||||||
| GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen | AppO_B.06.01 | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. | privacy en bescherming van persoonsgegevens | BIO Thema Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||
| procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten | AppO_B.06.02 | procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | privacy en bescherming van persoonsgegevens | BIO Thema Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||
| Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen | AppO_B.06.03 | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | privacy en bescherming van persoonsgegevens | BIO Thema Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||
| Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak | AppO_B.06.04 | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | privacy en bescherming van persoonsgegevens | BIO Thema Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
| Risicomanagement aanpak aantoonbaar toegepast | AppO_B.06.05 | Risicomanagement aanpak aantoonbaar toegepast | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | privacy en bescherming van persoonsgegevens | BIO Thema Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
| Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd | AppO_B.06.06 | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. | wet- en regelgeving | BIO Thema Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
| De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid | AppO_B.07.01 | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | ontwikkel en onderhoudsbeleid | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||
| De doelorganisatie beschikt over QA- en KMS-methodiek | AppO_B.07.02 | De doelorganisatie beschikt over QA- en KMS-methodiek | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. | ontwikkel en onderhoudsbeleid | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||
| De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd | AppO_B.07.03 | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | kwaliteitsmanagement systeem | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||||
| Voor informatie- en communicatie zijn processen ingericht | AppO_B.07.04 | Voor informatie- en communicatie zijn processen ingericht | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Er zijn informatie- en communicatieprocessen ingericht. | kwaliteitsmanagement systeem | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||||
| Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | AppO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | kwaliteitsmanagement systeem | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||||
| Aan het management worden evaluatierapportages verstrekt | AppO_B.07.06 | Aan het management worden evaluatierapportages verstrekt | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Aan het management worden evaluatie rapportages verstrekt. | kwaliteitsmanagement systeem | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||
| applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS | AppO_B.07.07 | applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. | kwaliteitsmanagement systeem | BIO Thema Applicatieontwikkeling | Kwaliteitsmanagement systeem | |||||||
| Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen | AppO_B.08.01 | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
| programmabroncode en broncode bibliotheken | BIO Thema Applicatieontwikkeling | Toegangsbeveiliging op programmacode | |||||
| Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd | AppO_B.08.02 | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). | programmabroncode en broncode bibliotheken | BIO Thema Applicatieontwikkeling | Toegangsbeveiliging op programmacode | |||||||
| Taken van de beveiligingsfunctionaris | AppO_B.09.01 | Taken van de beveiligingsfunctionaris | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Beleid | De beveiligingsfunctionaris zorgt o.a. voor:
| beveiligingsfunctionaris | BIO Thema Applicatieontwikkeling | Projectorganisatie | |||||
| Inzicht gegeven door de beveiligingsfunctionaris | AppO_B.09.02 | Inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat door de beveiligingsfunctionaris | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De beveiligingsfunctionaris geeft o.a. inzicht in:
| beveiligingsvoorschriften | BIO Thema Applicatieontwikkeling | Projectorganisatie | |||||||
| Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien | AppO_C.01.01 | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. | richtlijnen | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||
| Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code | AppO_C.01.02 | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. | richtlijnen | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
| Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast | AppO_C.01.03 | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. | richtlijnen | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||
| Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen | AppO_C.01.04 | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. | richtlijnen | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
| De Quality Assurance methodiek wordt conform de richtlijnen nageleefd | AppO_C.01.05 | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De QA methodiek wordt conform de richtlijnen nageleefd. | richtlijnen | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
| Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | AppO_C.01.06 | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | controleactiviteiten en rapportages | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
| Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld | AppO_C.01.07 | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | ontwikkelactiviteiten | BIO Thema Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
| Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris | AppO_C.02.01 | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | procesmatig | BIO Thema Applicatieontwikkeling | Versie Management | |||||||
| Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd | AppO_C.02.02 | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. | procesmatig | BIO Thema Applicatieontwikkeling | Versie Management | |||||||
| Versiemanagement wordt ondersteund met procedures en werkinstructies | AppO_C.02.03 | Versiemanagement wordt ondersteund met procedures en werkinstructies | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | procesmatig | BIO Thema Applicatieontwikkeling | Versie Management | |||||||
| Ondersteuning vanuit het toegepaste versiebeheertool | AppO_C.02.04 | Ondersteuning vanuit het toegepaste versiebeheertool | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Een versiebeheertool wordt toegepast die onder andere:
| efficiënte wijze | BIO Thema Applicatieontwikkeling | Versie Management | |||||||
| Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt | AppO_C.03.01 | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | procesmatig en procedureel | BIO Thema Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
| Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden | AppO_C.03.02 | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. | procesmatig en procedureel | BIO Thema Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
| Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd | AppO_C.03.03 | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. | procesmatig en procedureel | BIO Thema Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
| Het beheer van technische kwetsbaarheden in code uit externe bibliotheken | AppO_C.03.04 | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | technische kwetsbaarheden | BIO Thema Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
| Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes | AppO_C.03.05 | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | technische kwetsbaarheden | BIO Thema Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
| Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is | AppO_C.03.06 | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. | tijdig | BIO Thema Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
| Software configuratiescomponenten worden conform procedures vastgelegd | AppO_C.04.01 | Software configuratiescomponenten worden conform procedures vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. | configuratie-administratie | BIO Thema Applicatieontwikkeling | (Software) configuratie management | |||||||
| De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | AppO_C.04.02 | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | configuratie-administratie | BIO Thema Applicatieontwikkeling | (Software) configuratie management | |||||||
| Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | AppO_C.04.03 | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. | configuratie-administratie | BIO Thema Applicatieontwikkeling | (Software) configuratie management | |||||||
| Het compliance management proces is gedocumenteerd en vastgesteld | AppO_C.05.01 | Het compliance management proces is gedocumenteerd en vastgesteld | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. | compliance management proces | BIO Thema Applicatieontwikkeling | Compliance management | |||||||
| De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | AppO_C.05.02 | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Control | Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| compliance management proces | BIO Thema Applicatieontwikkeling | Compliance management | |||||
| De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | AppO_C.06.01 | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. | quality assurance proces | BIO Thema Applicatieontwikkeling | Quality assurance | |||||||
| Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | AppO_C.06.02 | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Control | Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
| quality assurance proces | BIO Thema Applicatieontwikkeling | Quality assurance | |||||
| Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken | AppO_C.06.03 | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | quality assurance proces | BIO Thema Applicatieontwikkeling | Quality assurance | |||||||
| Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd | AppO_C.06.04 | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. | quality assurance proces | BIO Thema Applicatieontwikkeling | Quality assurance | |||||||
| Testen bij verandering van besturingssystemen | AppO_C.07.01 | Testen bij verandering van besturingssystemen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Control | Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
| verandering van besturingsplatforms | BIO Thema Applicatieontwikkeling | Technische beoordeling van informatiesystemen na wijziging besturingsplatform | |||||
| De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd | AppO_C.08.01 | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Control | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. | structuur van de beheersprocessen | BIO Thema Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||
| De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | AppO_C.08.02 | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. | functionarissen | BIO Thema Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
| De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd | AppO_C.08.03 | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | taken, verantwoordelijkheden en bevoegdheden | BIO Thema Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
| De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven | AppO_C.08.04 | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | taken, verantwoordelijkheden en bevoegdheden | BIO Thema Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
| Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks | AppO_U.01.01 | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. | levenscyclus | BIO Thema Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
| Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren | AppO_U.01.02 | Medewerkers (programmeurs) krijgen de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen om werkzaamheden te kunnen uitvoeren | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. | levenscyclus | BIO Thema Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
| Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | AppO_U.01.03 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | formele procedures | BIO Thema Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||
| Elementen van de procedures voor wijzigingsbeheer | AppO_U.01.04 | Elementen van de procedures voor wijzigingsbeheer | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Enkele elementen van de procedures voor wijzigingsbeheer zijn:
| formele procedures | BIO Thema Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
| Beleid ten aanzien van het type software dat mag worden geïnstalleerd | AppO_U.02.01 | Beleid ten aanzien van het type software dat mag worden geïnstalleerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. | regels | BIO Thema Applicatieontwikkeling | Beperkingen voor de installatie van software(richtlijnen) | |||||||
| Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' | AppO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. | regels | BIO Thema Applicatieontwikkeling | Beperkingen voor de installatie van software(richtlijnen) | |||||||
| De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars | AppO_U.02.03 | De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. | regels | BIO Thema Applicatieontwikkeling | Beperkingen voor de installatie van software(richtlijnen) | |||||||
| De programmacode voor functionele specificaties is reproduceerbaar | AppO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| regels | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||
| programmacode wordt aantoonbaar veilig gecreëerd | AppO_U.03.02 | programmacode wordt aantoonbaar veilig gecreëerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | (Programma)code wordt aantoonbaar veilig gecreëerd. | regels | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
| programmacode is effectief, veranderbaar en testbaar | AppO_U.03.03 | programmacode is effectief, veranderbaar en testbaar | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| regels | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
| Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | AppO_U.03.04 | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. | best practices | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
| Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | AppO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. | best practices | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
| Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | AppO_U.03.06 | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. | best practices | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
| Gebruik van programmacode uit externe programmabibliotheken | AppO_U.03.07 | Gebruik van programmacode uit externe programmabibliotheken | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. | best practices | BIO Thema Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||
| Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | AppO_U.04.01 | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). | functionele eisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||
| Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | AppO_U.04.02 | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. | functionele eisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||
| Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | AppO_U.04.03 | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. | functionele eisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||
| Alle vereisten worden gevalideerd door peer review of prototyping | AppO_U.04.04 | Alle vereisten worden gevalideerd door peer review of prototyping | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). | functionele eisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
| Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | AppO_U.04.05 | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. | functionele eisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
| Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | AppO_U.05.01 | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. | beveiligingseisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
| De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | AppO_U.05.02 | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | beveiligingseisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
| Informatiebeveiligingseisen | AppO_U.05.03 | Informatiebeveiligingseisen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
| beveiligingseisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
| Overwogen informatiebeveiligingseisen | AppO_U.05.04 | Overwogen informatiebeveiligingseisen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
| beveiligingseisen | BIO Thema Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
| Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | AppO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| business vereisten en reviews | BIO Thema Applicatieontwikkeling | Applicatie ontwerp | |||||||
| Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie | AppO_U.06.02 | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
| omgevingsanalyse | BIO Thema Applicatieontwikkeling | Applicatie ontwerp | |||||||
| Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | AppO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. | (specifieke) beveiliging | BIO Thema Applicatieontwikkeling | Applicatie ontwerp | |||||||
| Bereikcontroles worden toegepast en gegevens worden gevalideerd | AppO_U.07.01 | Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd. | invoerfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Geprogrammeerde controles worden ondersteund | AppO_U.07.02 | Geprogrammeerde controles worden ondersteund | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Geprogrammeerde controles worden ondersteund. | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Het uitvoeren van onopzettelijke mutaties wordt tegengegaan | AppO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar | AppO_U.07.04 | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar | AppO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Opgeleverde en over te dragen gegevens worden gevalideerd | AppO_U.07.06 | Opgeleverde en over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Opgeleverde/over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd. | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens | AppO_U.07.07 | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (versterkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) wordt uitgevoerd. | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd | AppO_U.07.08 | Voorkomen wordt dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd. | verwerkingsfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd | AppO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. | uitvoerfuncties | BIO Thema Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
| Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | AppO_U.08.01 | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| (industrie) good practice | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||||
| Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | AppO_U.08.02 | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. | (industrie) good practice | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||
| Voor het creëren van programma code wordt gebruik gemaakt van good practices | AppO_U.08.03 | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). | (industrie) good practice | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||||
| Geen gebruik van onveilig programmatechnieken | AppO_U.08.04 | Geen gebruik van onveilig programmatechnieken | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het gebruik van onveilig programmatechnieken is niet toegestaan. | (industrie) good practice | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||||
| (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | AppO_U.08.05 | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Programmacode is beschermd tegen ongeautoriseerde wijzigingen. | (industrie) good practice | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||||
| Activiteiten van applicatiebouw worden gereviewd | AppO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Activiteiten van applicatiebouw worden gereviewd. | (industrie) good practice | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||||
| De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren | AppO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | juiste skills/tools | BIO Thema Applicatieontwikkeling | Applicatiebouw | |||||||
| Functionarissen testen functionele requirements | AppO_U.09.01 | Functionarissen testen functionele requirements | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). | bedrijfsfunctionaliteiten | BIO Thema Applicatieontwikkeling | Testen van systeembeveiliging | |||||||
| In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | AppO_U.09.02 | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | beveiligingsfunctionaliteiten | BIO Thema Applicatieontwikkeling | Testen van systeembeveiliging | |||||||
| Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | AppO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. | acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||
| Van de resultaten van de testen wordt een verslag gemaakt | AppO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Van de resultaten van de testen wordt een verslag gemaakt. | acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||||
| Testresultaten worden formeel geëvalueerd en beoordeeld | AppO_U.10.03 | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||||
| Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | AppO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||
| Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | AppO_U.10.05 | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||||
| Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | AppO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||||
| Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | AppO_U.10.07 | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
| acceptatietests | BIO Thema Applicatieontwikkeling | Systeem acceptatietests | |||||||
| Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen | AppO_U.11.01 | Richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De volgende richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen:
| testgegevens | BIO Thema Applicatieontwikkeling | Beschermen van testgegevens | |||||||
| Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | AppO_U.12.01 | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
| Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | AppO_U.12.02 | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||
| De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | AppO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
| Voor remote werkzaamheden is een werkwijze vastgelegd | AppO_U.12.04 | Voor remote werkzaamheden is een werkwijze vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor remote werkzaamheden is een werkwijze vastgelegd. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
| Ontwikkelaars hebben geen toegang tot productieomgeving | AppO_U.12.05 | Ontwikkelaars hebben geen toegang tot productieomgeving | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Ontwikkelaars hebben geen toegang tot de Productie-omgeving. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||
| Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | AppO_U.12.06 | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
| De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | AppO_U.12.07 | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||
| De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | AppO_U.12.08 | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
| De overdracht naar de Productieomgeving vindt gecontroleerd plaats | AppO_U.12.09 | De overdracht naar de Productieomgeving vindt gecontroleerd plaats | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | beveiligde ontwikkelomgevingen | BIO Thema Applicatieontwikkeling | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | |||||
| Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen | AppO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. | koppelingsrichtlijnen | BIO Thema Applicatieontwikkeling | Applicatiekoppelingen | |||||||
| Van het type koppelingen is een overzicht aanwezig | AppO_U.13.02 | Van het type koppelingen is een overzicht aanwezig | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Van het type koppelingen is een overzicht aanwezig. | koppelingsrichtlijnen | BIO Thema Applicatieontwikkeling | Applicatiekoppelingen | |||||||
| Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten | AppO_U.13.03 | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. | koppelingsrichtlijnen | BIO Thema Applicatieontwikkeling | Applicatiekoppelingen | |||||||
| De uitgevoerde koppelingen worden geregistreerd | AppO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De uitgevoerde koppelingen worden geregistreerd. | koppelingsrichtlijnen | BIO Thema Applicatieontwikkeling | Applicatiekoppelingen | |||||||
| Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden | AppO_U.14.01 | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. | logging | BIO Thema Applicatieontwikkeling | Logging en monitoring | |||||||
| Informatie ten aanzien van autorisatie(s) wordt vastgelegd | AppO_U.14.02 | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. | logging | BIO Thema Applicatieontwikkeling | Logging en monitoring | |||||||
| De loggegevens zijn beveiligd | AppO_U.14.03 | De loggegevens zijn beveiligd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De loggegevens zijn beveiligd. | logging | BIO Thema Applicatieontwikkeling | Logging en monitoring | |||||||
| De locatie van de vastlegging van de loggegevens is vastgesteld | AppO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De locatie van de vastlegging van de loggegevens is vastgesteld. | logging | BIO Thema Applicatieontwikkeling | Logging en monitoring | |||||||
| De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden | AppO_U.14.05 | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | monitoring | BIO Thema Applicatieontwikkeling | Logging en monitoring | |||||||
| De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd | AppO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | monitoring | BIO Thema Applicatieontwikkeling | Logging en monitoring | |||||||
| De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | AppO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
| applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | BIO Thema Applicatieontwikkeling | Applicatie architectuur | |||||||
| Het architectuur document wordt actief onderhouden | AppO_U.15.02 | Het architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. document wordt actief onderhouden | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het architectuurdocument wordt actief onderhouden. | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | BIO Thema Applicatieontwikkeling | Applicatie architectuur | |||||
| De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | AppO_U.15.03 | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | BIO Thema Applicatieontwikkeling | Applicatie architectuur | |||||||
| Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten | AppO_U.15.04 | Samenhang tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van gegevensberichten | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | samenhang | BIO Thema Applicatieontwikkeling | Applicatie architectuur | |||||||
| Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar | AppO_U.15.05 | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). | samenhang | BIO Thema Applicatieontwikkeling | Applicatie architectuur | |||||||
| De relatie tussen de persoonsgegevens is inzichtelijk | AppO_U.15.06 | De relatie tussen de persoonsgegevens is inzichtelijk | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is inzichtelijk. | samenhang | BIO Thema Applicatieontwikkeling | Applicatie architectuur | |||||||
| Het tool ondersteunt alle fasen van het ontwikkelproces | AppO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | faciliteiten | BIO Thema Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
| Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | AppO_U.16.02 | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | Nee | Norm | onwaar | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | faciliteiten | BIO Thema Applicatieontwikkeling | Tooling ontwikkelmethode | |||||
| Het tool beschikt over faciliteiten voor versie- en releasebeheer | AppO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | faciliteiten | BIO Thema Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
| Faciliteiten van het tool | AppO_U.16.04 | Faciliteiten van het tool | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het tool beschikt over faciliteiten voor:
| faciliteiten | BIO Thema Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
| Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | AppO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | faciliteiten | BIO Thema Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
| Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | CommVZ_B.01.1 | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | beleidsregels | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| Beleid of richtlijnen omschrijven het toepassen van cryptografie | CommVZ_B.01.2 | Beleid of richtlijnen omschrijven het toepassen van cryptografie | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. | beleidsregels | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | CommVZ_B.01.3 | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden. | beleidsregels | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| Procedures beschrijven het beveiligen van informatie | CommVZ_B.01.4 | Procedures beschrijven het beveiligen van informatie | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging. | procedures | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| Procedures beschrijven het opsporen van en beschermen tegen malware | CommVZ_B.01.5 | Procedures beschrijven het opsporen van en beschermen tegen malware | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1). | procedures | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie | CommVZ_B.01.6 | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | procedures | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | CommVZ_B.01.7 | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | beheersmaatregelen | BIO Thema Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
| Elementen in overeenkomsten over informatietransport | CommVZ_B.02.1 | Elementen in overeenkomsten over informatietransport | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
| overeenkomsten | BIO Thema Communicatievoorzieningen | Overeenkomsten over informatietransport | |||||||
| In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn | CommVZ_B.02.2 | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn. | overeenkomsten | BIO Thema Communicatievoorzieningen | Overeenkomsten over informatietransport | |||||||
| In het cryptografiebeleid uitgewerkte onderwerpen | CommVZ_B.03.1 | In het cryptografiebeleid uitgewerkte onderwerpen | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| cryptografiebeleid | BIO Thema Communicatievoorzieningen | Cryptografiebeleid voor communicatie | |||||||
| Aanvullende onderdelen in het cryptografiebeleid | CommVZ_B.03.2 | Aanvullende onderdelen in het cryptografiebeleid | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
| cryptografiebeleid | BIO Thema Communicatievoorzieningen | Cryptografiebeleid voor communicatie | |||||||
| In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd | CommVZ_B.04.1 | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement). | organisatiestructuur | BIO Thema Communicatievoorzieningen | Organisatiestructuur van netwerkbeheer | |||||||
| De beheer(sing)processen hebben een formele positie binnen de gehele organisatie | CommVZ_B.04.2 | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. | organisatiestructuur | BIO Thema Communicatievoorzieningen | Organisatiestructuur van netwerkbeheer | |||||||
| De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd | CommVZ_B.04.3 | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd | Norm | 1.0 | Actueel | 1 februari 2019 | Beleid | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | organisatiestructuur | BIO Thema Communicatievoorzieningen | Organisatiestructuur van netwerkbeheer | |||||||
| De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd | CommVZ_C.01.1 | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
| naleving | BIO Thema Communicatievoorzieningen | Naleving richtlijnen netwerkbeheer en evaluaties | |||||||
| Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s | CommVZ_C.02.1 | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | periodiek | BIO Thema Communicatievoorzieningen | Netwerk security compliancy checking | |||||||
| Checklist voor veilige inrichting van netwerk(diensten) | CommVZ_C.02.2 | Checklist voor veilige inrichting van netwerk(diensten) | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| inrichting | BIO Thema Communicatievoorzieningen | Netwerk security compliancy checking | |||||||
| Resultaten worden gerapporteerd aan het verantwoordelijke management | CommVZ_C.02.3 | Resultaten worden gerapporteerd aan het verantwoordelijke management | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Resultaten worden gerapporteerd aan het verantwoordelijke management. | verantwoordelijk | BIO Thema Communicatievoorzieningen | Netwerk security compliancy checking | |||||||
| De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd | CommVZ_C.03.1 | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| robuustheid | BIO Thema Communicatievoorzieningen | Evalueren netwerkbeveiliging | |||||||
| Zeer belangrijke onderdelen van netwerkbeveiliging | CommVZ_C.04.1 | Zeer belangrijke onderdelen van netwerkbeveiliging | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| onderzoek van gebeurtenissen | BIO Thema Communicatievoorzieningen | Evalueren netwerk monitoring | |||||||
| Continue bewaking via monitoring | CommVZ_C.04.2 | Continue bewaking via monitoring | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Continue bewaking via monitoring legt de volgende informatie vast:
| onderzoek van gebeurtenissen | BIO Thema Communicatievoorzieningen | Evalueren netwerk monitoring | |||||||
| De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | CommVZ_C.05.1 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | Norm | 1.0 | Actueel | 1 februari 2019 | Control | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Verantwoordelijkheden | BIO Thema Communicatievoorzieningen | Beheerorganisatie netwerkbeveiliging | |||||||
| Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | CommVZ_C.05.2 | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | Norm | 1.0 | Actueel | 1 februari 2019 | Control | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
| Verantwoordelijkheden | BIO Thema Communicatievoorzieningen | Beheerorganisatie netwerkbeveiliging | |||||||
| Stappen ter voorbereiding van veilige netwerkontwerpen | CommVZ_U.01.1 | Stappen ter voorbereiding van veilige netwerkontwerpen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| ontwerp | BIO Thema Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
| Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” | CommVZ_U.01.2 | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak". | ontwerp | BIO Thema Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
| Netwerkbeveiliging is gebaseerd op ITU-T X.80x | CommVZ_U.01.3 | Netwerkbeveiliging is gebaseerd op ITU-T X.80x | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen. | ontwerp | BIO Thema Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
| Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten | CommVZ_U.01.4 | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C). | ontwerp | BIO Thema Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
| De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat | CommVZ_U.01.5 | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | implementatie | BIO Thema Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
| Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | CommVZ_U.01.6 | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8. | beheer | BIO Thema Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
| Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt | CommVZ_U.02.1 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend. | inlogprocedure | BIO Thema Communicatievoorzieningen | Beveiligde inlogprocedure | |||||||
| Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone | CommVZ_U.02.2 | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. | inlogprocedure | BIO Thema Communicatievoorzieningen | Beveiligde inlogprocedure | |||||||
| Toegang tot netwerken is beperkt tot geautoriseerde gebruikers | CommVZ_U.02.3 | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
| inlogprocedure | BIO Thema Communicatievoorzieningen | Beveiligde inlogprocedure | |||||||
| Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | CommVZ_U.03.1 | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | beheerd | BIO Thema Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
| Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | CommVZ_U.03.2 | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | beheerd | BIO Thema Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
| Beheeractiviteiten worden nauwgezet gecoördineerd | CommVZ_U.03.3 | Beheeractiviteiten worden nauwgezet gecoördineerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast. | beheerd | BIO Thema Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
| Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | CommVZ_U.03.4 | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld. | beheerd | BIO Thema Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
| De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | CommVZ_U.03.5 | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden. | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | BIO Thema Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
| Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | CommVZ_U.03.6 | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | BIO Thema Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
| Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | CommVZ_U.04.1 | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
| vertrouwelijkheids- of geheimhoudingsovereenkomsten | BIO Thema Communicatievoorzieningen | Vertrouwelijkheids- of geheimhoudingsovereenkomst | |||||||
| Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | CommVZ_U.05.1 | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen. | beheereisen | BIO Thema Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
| Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | CommVZ_U.05.2 | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | dienstverleningsniveaus | BIO Thema Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
| Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | CommVZ_U.05.3 | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven. | beveiligingsmechanismen | BIO Thema Communicatievoorzieningen | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | |||||||
| Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | CommVZ_U.05.4 | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| dienstverleningsniveaus | BIO Thema Communicatievoorzieningen | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | |||||||
| De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | CommVZ_U.05.5 | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | beveiligingsmechanismen | BIO Thema Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
| Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | CommVZ_U.05.6 | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
| beveiligingsmechanismen | BIO Thema Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
| Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau | CommVZ_U.06.01 | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | gescheiden (in domeinen) | BIO Thema Communicatievoorzieningen | Zonering en filtering | |||||||
| Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding | CommVZ_U.06.02 | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | gescheiden (in domeinen) | BIO Thema Communicatievoorzieningen | Zonering en filtering | |||||||
| Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst | CommVZ_U.06.03 | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router). | gescheiden (in domeinen) | BIO Thema Communicatievoorzieningen | Zonering en filtering | |||||||
| Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding | CommVZ_U.06.04 | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen. | gescheiden (in domeinen) | BIO Thema Communicatievoorzieningen | Zonering en filtering | |||||||
| … overige resultaten | ||||||||||||||||||
