Alle normen alle eigenschappen
Op deze pagina vind u alle Normen uit de NORANederlandse Overheid Referentie Architectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid Referentie Architectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.
Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.
Normen alle eigenschappen
De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'
Norm | ID | Titel | Kent element met zelfde titel | Elementtype | Is subnorm | Versieaanduiding | Gebruik in Nederlandse publieke sector | Status actualiteit | Practice | Redactionele wijzigingsdatum | Toelichting | Beveiligingsaspect | Stelling | Conformiteitsindicator | Invalshoek | Heeft bron | Heeft ouder | Realiseert |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | APO_B.01.01 | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | APO_B.01.02 | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
Overwegingen bij het beleid voor beveiligd ontwikkelen van software | APO_B.01.03 | Overwegingen bij het beleid voor beveiligd ontwikkelen van software | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| regels | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
Technieken voor beveiligd programmeren | APO_B.01.04 | Technieken voor beveiligd programmeren | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Beleid voor (beveiligd) ontwikkelen | |||||||
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | APO_B.02.01 | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). | systeem ontwikkelmethodes | BIO Thema-uitwerking Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | systeem ontwikkelmethodes | BIO Thema-uitwerking Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
Adoptie van ontwikkelmethodologie wordt gemonitord | APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Adoptie van ontwikkelmethodologie wordt gemonitord. | systeem ontwikkelmethodes | BIO Thema-uitwerking Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
Software wordt ontwikkelen conform standaarden en procedures | APO_B.02.04 | Software wordt ontwikkelen conform standaarden en procedures | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Standaarden en procedures worden toegepast voor:
| standaarden/procedures | BIO Thema-uitwerking Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | APO_B.02.05 | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
| beleid en wet en regelgeving | BIO Thema-uitwerking Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
Het softwareontwikkeling wordt projectmatig aangepakt | APO_B.02.06 | Het softwareontwikkeling wordt projectmatig aangepakt | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
| projectmatig | BIO Thema-uitwerking Applicatieontwikkeling | Systeem ontwikkelmethode | |||||||
Dataclassificatie' als uitgangspunt voor softwareontwikkeling | APO_B.03.01 | Dataclassificatie' als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. | informatie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van Informatie | |||||||
Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | APO_B.03.02 | InformatieBetekenisvolle gegevens. in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | informatie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van Informatie | |||||||
Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | APO_B.03.03 | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | informatie | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van Informatie | |||||||
Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | APO_B.03.04 | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. | wettelijke eisen, waarde, belang, gevoeligheid | BIO Thema-uitwerking Applicatieontwikkeling | Classificatie van Informatie | |||||||
Security by Design als uitgangspunt voor softwareontwikkeling | APO_B.04.01 | Security by Design als uitgangspunt voor softwareontwikkeling | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. | principes | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
Principes voor het beveiligen van informatiesystemen | APO_B.04.02 | Principes voor het beveiligen van informatiesystemen | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
| principes | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
Beveiliging is integraal onderdeel van systeemontwikkeling | APO_B.04.03 | Beveiliging is integraal onderdeel van systeemontwikkeling | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld. | principes | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
Ontwikkelaars zijn getraind om veilige software te ontwikkelen | APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | principes | BIO Thema-uitwerking Applicatieontwikkeling | Engineeringprincipes beveiligde systemen | |||||||
Perspectieven bij de Business Impact Analyse | APO_B.05.01 | Perspectieven bij de Business Impact Analyse | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
| perspectieven | BIO Thema-uitwerking Applicatieontwikkeling | Business Impact Analyse | |||||||
Scenario's voor de Business Impact Analyse | APO_B.05.02 | Scenario's voor de Business Impact Analyse | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| scenario's | BIO Thema-uitwerking Applicatieontwikkeling | Business Impact Analyse | |||||||
Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | APO_B.05.03 | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| BIVC-aspecten | BIO Thema-uitwerking Applicatieontwikkeling | Business Impact Analyse | |||||||
GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen | APO_B.06.01 | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. | privacy en bescherming van persoonsgegevens | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten | APO_B.06.02 | procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | privacy en bescherming van persoonsgegevens | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen | APO_B.06.03 | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | privacy en bescherming van persoonsgegevens | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak | APO_B.06.04 | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | privacy en bescherming van persoonsgegevens | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
Risicomanagement aanpak aantoonbaar toegepast | APO_B.06.05 | Risicomanagement aanpak aantoonbaar toegepast | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | privacy en bescherming van persoonsgegevens | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd | APO_B.06.06 | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. | wet- en regelgeving | BIO Thema-uitwerking Applicatieontwikkeling | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | |||||||
De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid | APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | ontwikkel en onderhoudsbeleid | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
De doelorganisatie beschikt over QA- en KMS-methodiek | APO_B.07.02 | De doelorganisatie beschikt over QA- en KMS-methodiek | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. | ontwikkel en onderhoudsbeleid | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd | APO_B.07.03 | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | kwaliteitsmanagement systeem | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
Voor informatie- en communicatie zijn processen ingericht | APO_B.07.04 | Voor informatie- en communicatie zijn processen ingericht | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Er zijn informatie- en communicatieprocessen ingericht. | kwaliteitsmanagement systeem | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | kwaliteitsmanagement systeem | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
Aan het management worden evaluatierapportages verstrekt | APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Aan het management worden evaluatie rapportages verstrekt. | kwaliteitsmanagement systeem | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS | APO_B.07.07 | applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. | kwaliteitsmanagement systeem | BIO Thema-uitwerking Applicatieontwikkeling | Kwaliteitsmanagement systeem (KMS) | |||||||
Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen | APO_B.08.01 | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
| programmabroncode en broncode bibliotheken | BIO Thema-uitwerking Applicatieontwikkeling | Toegangsbeveiliging op programmacode | |||||||
Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd | APO_B.08.02 | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). | programmabroncode en broncode bibliotheken | BIO Thema-uitwerking Applicatieontwikkeling | Toegangsbeveiliging op programmacode | |||||||
Taken van de beveiligingsfunctionaris | APO_B.09.01 | Taken van de beveiligingsfunctionaris | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De beveiligingsfunctionaris zorgt o.a. voor:
| beveiligingsfunctionaris | BIO Thema-uitwerking Applicatieontwikkeling | Projectorganisatie | |||||||
Inzicht gegeven door de beveiligingsfunctionaris | APO_B.09.02 | Inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat door de beveiligingsfunctionaris | Norm | 1.0 | Actueel | 6 april 2021 | Beleid | De beveiligingsfunctionaris geeft o.a. inzicht in:
| beveiligingsvoorschriften | BIO Thema-uitwerking Applicatieontwikkeling | Projectorganisatie | |||||||
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien | APO_C.01.01 | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. | richtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code | APO_C.01.02 | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. | richtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast | APO_C.01.03 | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. | richtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen | APO_C.01.04 | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. | richtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd | APO_C.01.05 | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd | Norm | 1.0 | Actueel | 7 april 2021 | Control | De QA methodiek wordt conform de richtlijnen nageleefd. | richtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | APO_C.01.06 | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | controleactiviteiten en rapportages | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld | APO_C.01.07 | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld | Norm | 1.0 | Actueel | 7 april 2021 | Control | Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | ontwikkelactiviteiten | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen evaluatie ontwikkelactiviteiten | |||||||
Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris | APO_C.02.01 | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris | Norm | 1.0 | Actueel | 7 april 2021 | Control | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | procesmatig | BIO Thema-uitwerking Applicatieontwikkeling | Versie Management | |||||||
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd | APO_C.02.02 | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Control | In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. | procesmatig | BIO Thema-uitwerking Applicatieontwikkeling | Versie Management | |||||||
Versiemanagement wordt ondersteund met procedures en werkinstructies | APO_C.02.03 | Versiemanagement wordt ondersteund met procedures en werkinstructies | Norm | 1.0 | Actueel | 7 april 2021 | Control | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | procesmatig | BIO Thema-uitwerking Applicatieontwikkeling | Versie Management | |||||||
Ondersteuning vanuit het toegepaste versiebeheertool | APO_C.02.04 | Ondersteuning vanuit het toegepaste versiebeheertool | Norm | 1.0 | Actueel | 7 april 2021 | Control | Een versiebeheertool wordt toegepast die onder andere:
| efficiënte wijze | BIO Thema-uitwerking Applicatieontwikkeling | Versie Management | |||||||
Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt | APO_C.03.01 | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt | Norm | 1.0 | Actueel | 7 april 2021 | Control | Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | procesmatig en procedureel | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden | APO_C.03.02 | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden | Norm | 1.0 | Actueel | 7 april 2021 | Control | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. | procesmatig en procedureel | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd | APO_C.03.03 | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd | Norm | 1.0 | Actueel | 7 april 2021 | Control | Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. | procesmatig en procedureel | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken | APO_C.03.04 | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken | Norm | 1.0 | Actueel | 7 april 2021 | Control | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | technische kwetsbaarheden | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes | APO_C.03.05 | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes | Norm | 1.0 | Actueel | 7 april 2021 | Control | Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | technische kwetsbaarheden | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is | APO_C.03.06 | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is | Norm | 1.0 | Actueel | 7 april 2021 | Control | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. | tijdig | BIO Thema-uitwerking Applicatieontwikkeling | Patchmanagement van externe programmacode | |||||||
Software configuratiescomponenten worden conform procedures vastgelegd | APO_C.04.01 | Software configuratiescomponenten worden conform procedures vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Control | Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. | configuratie-administratie | BIO Thema-uitwerking Applicatieontwikkeling | (Software) configuratie management | |||||||
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | APO_C.04.02 | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel | Norm | 1.0 | Actueel | 7 april 2021 | Control | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | configuratie-administratie | BIO Thema-uitwerking Applicatieontwikkeling | (Software) configuratie management | |||||||
Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | APO_C.04.03 | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB | Norm | 1.0 | Actueel | 7 april 2021 | Control | Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. | configuratie-administratie | BIO Thema-uitwerking Applicatieontwikkeling | (Software) configuratie management | |||||||
Het compliance management proces is gedocumenteerd en vastgesteld | APO_C.05.01 | Het compliance management proces is gedocumenteerd en vastgesteld | Norm | 1.0 | Actueel | 7 april 2021 | Control | Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. | compliance management proces | BIO Thema-uitwerking Applicatieontwikkeling | Compliance management | |||||||
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | APO_C.05.02 | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Control | Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| compliance management proces | BIO Thema-uitwerking Applicatieontwikkeling | Compliance management | |||||||
De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | APO_C.06.01 | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. | quality assurance proces | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | |||||||
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | APO_C.06.02 | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd | Norm | 1.0 | Actueel | 7 april 2021 | Control | Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
| quality assurance proces | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | |||||||
Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken | APO_C.06.03 | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken | Norm | 1.0 | Actueel | 7 april 2021 | Control | De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | quality assurance proces | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | |||||||
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd | APO_C.06.04 | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Control | Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. | quality assurance proces | BIO Thema-uitwerking Applicatieontwikkeling | Quality assurance | |||||||
Testen bij verandering van besturingssystemen | APO_C.07.01 | Testen bij verandering van besturingssystemen | Norm | 1.0 | Actueel | 7 april 2021 | Control | Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
| verandering van besturingsplatforms | BIO Thema-uitwerking Applicatieontwikkeling | Technische beoordeling van informatiesystemen na wijziging besturingsplatform | |||||||
De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd | APO_C.08.01 | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Control | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. | structuur van de beheersprocessen | BIO Thema-uitwerking Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | APO_C.08.02 | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk | Norm | 1.0 | Actueel | 7 april 2021 | Control | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. | functionarissen | BIO Thema-uitwerking Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd | APO_C.08.03 | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Control | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | taken, verantwoordelijkheden en bevoegdheden | BIO Thema-uitwerking Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven | APO_C.08.04 | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven | Norm | 1.0 | Actueel | 7 april 2021 | Control | De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | taken, verantwoordelijkheden en bevoegdheden | BIO Thema-uitwerking Applicatieontwikkeling | Beheersing van software ontwikkeling(sprojecten) | |||||||
Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks | APO_U.01.01 | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. | levenscyclus | BIO Thema-uitwerking Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren | APO_U.01.02 | Medewerkers (programmeurs) krijgen de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen om werkzaamheden te kunnen uitvoeren | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. | levenscyclus | BIO Thema-uitwerking Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | APO_U.01.03 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | formele procedures | BIO Thema-uitwerking Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
Elementen van de procedures voor wijzigingsbeheer | APO_U.01.04 | Elementen van de procedures voor wijzigingsbeheer | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Enkele elementen van de procedures voor wijzigingsbeheer zijn:
| formele procedures | BIO Thema-uitwerking Applicatieontwikkeling | Procedures voor wijzigingsbeheer m.b.t. applicaties | |||||||
Beleid ten aanzien van het type software dat mag worden geïnstalleerd | APO_U.02.01 | Beleid ten aanzien van het type software dat mag worden geïnstalleerd | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Beperkingen voor de installatie van software(richtlijnen) | |||||||
Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' | APO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Beperkingen voor de installatie van software(richtlijnen) | |||||||
De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars | APO_U.02.03 | De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Beperkingen voor de installatie van software(richtlijnen) | |||||||
De programmacode voor functionele specificaties is reproduceerbaar | APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| regels | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
programmacode wordt aantoonbaar veilig gecreëerd | APO_U.03.02 | programmacode wordt aantoonbaar veilig gecreëerd | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | (Programma)code wordt aantoonbaar veilig gecreëerd. | regels | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
programmacode is effectief, veranderbaar en testbaar | APO_U.03.03 | programmacode is effectief, veranderbaar en testbaar | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| regels | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | APO_U.03.04 | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. | best practices | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. | best practices | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | APO_U.03.06 | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. | best practices | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
Gebruik van programmacode uit externe programmabibliotheken | APO_U.03.07 | Gebruik van programmacode uit externe programmabibliotheken | Norm | 1.0 | Actueel | 6 april 2021 | Uitvoering | Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. | best practices | BIO Thema-uitwerking Applicatieontwikkeling | Richtlijnen voor programmacode (best practices) | |||||||
Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | APO_U.04.01 | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). | functionele eisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | APO_U.04.02 | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. | functionele eisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | APO_U.04.03 | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. | functionele eisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
Alle vereisten worden gevalideerd door peer review of prototyping | APO_U.04.04 | Alle vereisten worden gevalideerd door peer review of prototyping | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). | functionele eisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | APO_U.04.05 | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. | functionele eisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiesystemen | |||||||
Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | APO_U.05.01 | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. | beveiligingseisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | APO_U.05.02 | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | beveiligingseisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
Informatiebeveiligingseisen | APO_U.05.03 | Informatiebeveiligingseisen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
| beveiligingseisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
Overwogen informatiebeveiligingseisen | APO_U.05.04 | Overwogen informatiebeveiligingseisen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
| beveiligingseisen | BIO Thema-uitwerking Applicatieontwikkeling | Analyse en specificatie van informatiebeveiligingseisen | |||||||
Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| business vereisten en reviews | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie ontwerp | |||||||
Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie | APO_U.06.02 | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
| omgevingsanalyse | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie ontwerp | |||||||
Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. | (specifieke) beveiliging | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie ontwerp | |||||||
Bereikcontroles worden toegepast en gegevens worden gevalideerd | APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | invoerfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Geprogrammeerde controles worden ondersteund | APO_U.07.02 | Geprogrammeerde controles worden ondersteund | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Geprogrammeerde controles worden ondersteund. | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Het uitvoeren van onopzettelijke mutaties wordt tegengegaan | APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar | APO_U.07.04 | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar | APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Opgeleverde en over te dragen gegevens worden gevalideerd | APO_U.07.06 | Opgeleverde en over te dragen gegevens worden gevalideerd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Opgeleverde/over te dragen gegevens worden gevalideerd. | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens | APO_U.07.07 | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input en op de verwerking en output van gegevens | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd. | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd | APO_U.07.08 | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | verwerkingsfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd | APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. | uitvoerfuncties | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie functionaliteiten | |||||||
Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | APO_U.08.01 | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| (industrie) good practice | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | APO_U.08.02 | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. | (industrie) good practice | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
Voor het creëren van programma code wordt gebruik gemaakt van good practices | APO_U.08.03 | Voor het creëren van programma code wordt gebruik gemaakt van good practices | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). | (industrie) good practice | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
Geen gebruik van onveilig programmatechnieken | APO_U.08.04 | Geen gebruik van onveilig programmatechnieken | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het gebruik van onveilig programmatechnieken is niet toegestaan. | (industrie) good practice | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | APO_U.08.05 | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Programmacode is beschermd tegen ongeautoriseerde wijzigingen. | (industrie) good practice | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
Activiteiten van applicatiebouw worden gereviewd | APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Activiteiten van applicatiebouw worden gereviewd. | (industrie) good practice | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren | APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | juiste skills/tools | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiebouw | |||||||
Functionarissen testen functionele requirements | APO_U.09.01 | Functionarissen testen functionele requirements | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). | bedrijfsfunctionaliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Testen van systeembeveiliging | |||||||
In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | APO_U.09.02 | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | beveiligingsfunctionaliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Testen van systeembeveiliging | |||||||
Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | APO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. | acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Van de resultaten van de testen wordt een verslag gemaakt | APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Van de resultaten van de testen wordt een verslag gemaakt. | acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Testresultaten worden formeel geëvalueerd en beoordeeld | APO_U.10.03 | Testresultaten worden formeel geëvalueerd en beoordeeld | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | APO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | APO_U.10.05 | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | APO_U.10.07 | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
| acceptatietests | BIO Thema-uitwerking Applicatieontwikkeling | Systeem acceptatietests | |||||||
Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen | APO_U.11.01 | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
| testgegevens | BIO Thema-uitwerking Applicatieontwikkeling | Beschermen van testgegevens | |||||||
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | APO_U.12.01 | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | APO_U.12.02 | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | APO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
Voor remote werkzaamheden is een werkwijze vastgelegd | APO_U.12.04 | Voor remote werkzaamheden is een werkwijze vastgelegd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Voor remote werkzaamheden is een werkwijze vastgelegd. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
Ontwikkelaars hebben geen toegang tot productieomgeving | APO_U.12.05 | Ontwikkelaars hebben geen toegang tot productieomgeving | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Ontwikkelaars hebben geen toegang tot de Productie-omgeving. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | APO_U.12.06 | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | APO_U.12.07 | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | APO_U.12.08 | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Beveiligde ontwikkel- (en test) omgeving | |||||||
De overdracht naar de Productieomgeving vindt gecontroleerd plaats | APO_U.12.09 | De overdracht naar de Productieomgeving vindt gecontroleerd plaats | Norm | 1.0 | Actueel | 8 april 2021 | Uitvoering | De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | beveiligde ontwikkelomgevingen | BIO Thema-uitwerking Applicatieontwikkeling | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | |||||||
Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen | APO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. | koppelingsrichtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppelingen | |||||||
Van het type koppelingen is een overzicht aanwezig | APO_U.13.02 | Van het type koppelingen is een overzicht aanwezig | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Van het type koppelingen is een overzicht aanwezig. | koppelingsrichtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppelingen | |||||||
Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten | APO_U.13.03 | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. | koppelingsrichtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppelingen | |||||||
De uitgevoerde koppelingen worden geregistreerd | APO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De uitgevoerde koppelingen worden geregistreerd. | koppelingsrichtlijnen | BIO Thema-uitwerking Applicatieontwikkeling | Applicatiekoppelingen | |||||||
Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden | APO_U.14.01 | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden | Norm | 1.0 | Actueel | 8 april 2021 | Uitvoering | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. | logging | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring | |||||||
Informatie ten aanzien van autorisatie(s) wordt vastgelegd | APO_U.14.02 | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd | Norm | 1.0 | Actueel | 8 april 2021 | Uitvoering | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. | logging | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring | |||||||
De loggegevens zijn beveiligd | APO_U.14.03 | De loggegevens zijn beveiligd | Norm | 1.0 | Actueel | 1 februari 2019 | Uitvoering | De loggegevens zijn beveiligd. | logging | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring | |||||||
De locatie van de vastlegging van de loggegevens is vastgesteld | APO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld | Norm | 1.0 | Actueel | 8 april 2021 | Uitvoering | De locatie van de vastlegging van de loggegevens is vastgesteld. | logging | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring | |||||||
De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden | APO_U.14.05 | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden | Norm | 1.0 | Actueel | 8 april 2021 | Uitvoering | De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | monitoring | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring | |||||||
De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd | APO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd | Norm | 1.0 | Actueel | 8 april 2021 | Uitvoering | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | monitoring | BIO Thema-uitwerking Applicatieontwikkeling | Logging en monitoring | |||||||
De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | APO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
| applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie architectuur | |||||||
Het architectuur document wordt actief onderhouden | APO_U.15.02 | Het architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. document wordt actief onderhouden | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het architectuurdocument wordt actief onderhouden. | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie architectuur | |||||||
De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast | APO_U.15.03 | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie architectuur | |||||||
Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten | APO_U.15.04 | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | samenhang | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie architectuur | |||||||
Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar | APO_U.15.05 | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). | samenhang | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie architectuur | |||||||
De relatie tussen de persoonsgegevens is inzichtelijk | APO_U.15.06 | De relatie tussen de persoonsgegevens is inzichtelijk | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk. | samenhang | BIO Thema-uitwerking Applicatieontwikkeling | Applicatie architectuur | |||||||
Het tool ondersteunt alle fasen van het ontwikkelproces | APO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | faciliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | APO_U.16.02 | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | faciliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
Het tool beschikt over faciliteiten voor versie- en releasebeheer | APO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | faciliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
Faciliteiten van het tool | APO_U.16.04 | Faciliteiten van het tool | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het tool beschikt over faciliteiten voor:
| faciliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | APO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen | Norm | 1.0 | Actueel | 7 april 2021 | Uitvoering | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | faciliteiten | BIO Thema-uitwerking Applicatieontwikkeling | Tooling ontwikkelmethode | |||||||
Informeren welke wet- en regelgeving van toepassing is op clouddiensten | CLD_B.01.01 | Informeren welke wet- en regelgeving van toepassing is op clouddiensten | Norm | 1.0 | Actueel | 8 april 2021 | Beleid | De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten. | wettelijke, statutaire en regelgevende eisen | BIO Thema-uitwerking Clouddiensten | Wet- en regelgeving | |||||||
Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | CVZ_B.01.01 | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleidsregels | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
Beleid of richtlijnen omschrijven het toepassen van cryptografie | CVZ_B.01.02 | Beleid of richtlijnen omschrijven het toepassen van cryptografie | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. | Beleidsregels | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | CVZ_B.01.03 | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleidsregels | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
Procedures beschrijven het beveiligen van informatie | CVZ_B.01.04 | Procedures beschrijven het beveiligen van informatie | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Procedures | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
Procedures beschrijven het opsporen van en beschermen tegen malware | CVZ_B.01.05 | Procedures beschrijven het opsporen van en beschermen tegen malware | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Procedures | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie | CVZ_B.01.06 | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Procedures | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | CVZ_B.01.07 | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beheersmaatregelen | BIO Thema-uitwerking Communicatievoorzieningen | Beleid en procedures informatietransport | |||||||
Elementen in overeenkomsten over informatietransport | CVZ_B.02.01 | Elementen in overeenkomsten over informatietransport | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Overeenkomsten | BIO Thema-uitwerking Communicatievoorzieningen | Overeenkomsten over informatietransport | |||||||
In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn | CVZ_B.02.02 | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | Overeenkomsten | BIO Thema-uitwerking Communicatievoorzieningen | Overeenkomsten over informatietransport | |||||||
In het cryptografiebeleid uitgewerkte onderwerpen | CVZ_B.03.01 | In het cryptografiebeleid uitgewerkte onderwerpen | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid | BIO Thema-uitwerking Communicatievoorzieningen | Cryptografiebeleid voor communicatie | |||||||
Aanvullende onderdelen in het cryptografiebeleid | CVZ_B.03.02 | Aanvullende onderdelen in het cryptografiebeleid | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid | BIO Thema-uitwerking Communicatievoorzieningen | Cryptografiebeleid voor communicatie | |||||||
In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd | CVZ_B.04.01 | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management) | Organisatiestructuur | BIO Thema-uitwerking Communicatievoorzieningen | Organisatiestructuur van netwerkbeheer | |||||||
De beheer(sing)processen hebben een formele positie binnen de gehele organisatie | CVZ_B.04.02 | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie. | Organisatiestructuur | BIO Thema-uitwerking Communicatievoorzieningen | Organisatiestructuur van netwerkbeheer | |||||||
De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd | CVZ_B.04.03 | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd | Norm | 2.0 | Actueel | 29 maart 2021 | Beleid | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur | BIO Thema-uitwerking Communicatievoorzieningen | Organisatiestructuur van netwerkbeheer | |||||||
De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd | CVZ_C.01.01 | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd | Norm | 2.0 | Actueel | 30 maart 2021 | Control | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Naleving | BIO Thema-uitwerking Communicatievoorzieningen | Naleving richtlijnen netwerkbeheer en evaluaties | |||||||
Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s | CVZ_C.02.01 | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s | Norm | 2.0 | Actueel | 30 maart 2021 | Control | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Inrichting | BIO Thema-uitwerking Communicatievoorzieningen | Compliance toets netwerkbeveiliging | |||||||
Checklist voor veilige inrichting van netwerk(diensten) | CVZ_C.02.02 | Checklist voor veilige inrichting van netwerk(diensten) | Norm | 2.0 | Actueel | 30 maart 2021 | Control | Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Periodiek | BIO Thema-uitwerking Communicatievoorzieningen | Compliance toets netwerkbeveiliging | |||||||
Resultaten worden gerapporteerd aan het verantwoordelijke management | CVZ_C.02.03 | Resultaten worden gerapporteerd aan het verantwoordelijke management | Norm | 2.0 | Actueel | 30 maart 2021 | Control | De resultaten worden gerapporteerd aan het verantwoordelijke management. | Verantwoordelijk | BIO Thema-uitwerking Communicatievoorzieningen | Compliance toets netwerkbeveiliging | |||||||
De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd | CVZ_C.03.01 | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd | Norm | 2.0 | Actueel | 30 maart 2021 | Control | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Robuustheid | BIO Thema-uitwerking Communicatievoorzieningen | Evalueren robuustheid netwerkbeveiliging | |||||||
Zeer belangrijke onderdelen van netwerkbeveiliging | CVZ_C.04.01 | Zeer belangrijke onderdelen van netwerkbeveiliging | Norm | 2.0 | Actueel | 30 maart 2021 | Control | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Onderzoek van gebeurtenissen | BIO Thema-uitwerking Communicatievoorzieningen | Evalueren netwerkgebeurtenissen (monitoring) | |||||||
Continue bewaking via monitoring | CVZ_C.04.02 | Continue bewaking via monitoring | Norm | 2.0 | Actueel | 30 maart 2021 | Control | Continue bewaking via monitoring legt de volgende informatie vast:
| Onderzoek van gebeurtenissen | BIO Thema-uitwerking Communicatievoorzieningen | Evalueren netwerkgebeurtenissen (monitoring) | |||||||
De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | CVZ_C.05.01 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd | Norm | 2.0 | Actueel | 30 maart 2021 | Control | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Verantwoordelijkheden | BIO Thema-uitwerking Communicatievoorzieningen | Beheerorganisatie netwerkbeveiliging | |||||||
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | CVZ_C.05.02 | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie | Norm | 2.0 | Actueel | 30 maart 2021 | Control | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
| Verantwoordelijkheden | BIO Thema-uitwerking Communicatievoorzieningen | Beheerorganisatie netwerkbeveiliging | |||||||
Stappen ter voorbereiding van veilige netwerkontwerpen | CVZ_U.01.01 | Stappen ter voorbereiding van veilige netwerkontwerpen | Norm | 2.0 | Actueel | 29 maart 2021 | Uitvoering | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Ontwerp | BIO Thema-uitwerking Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” | CVZ_U.01.02 | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” | Norm | 2.0 | Actueel | 29 maart 2021 | Uitvoering | Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen. | Ontwerp | BIO Thema-uitwerking Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
Netwerkbeveiliging is gebaseerd op ITU-T X.80x | CVZ_U.01.03 | Netwerkbeveiliging is gebaseerd op ITU-T X.80x | Norm | 2.0 | Actueel | 29 maart 2021 | Uitvoering | Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C). | Ontwerp | BIO Thema-uitwerking Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten | CVZ_U.01.04 | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten | Norm | 2.0 | Actueel | 29 maart 2021 | Uitvoering | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Ontwerp | BIO Thema-uitwerking Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat | CVZ_U.01.05 | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat | Norm | 2.0 | Actueel | 29 maart 2021 | Uitvoering | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012. | Implementatie | BIO Thema-uitwerking Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | CVZ_U.01.06 | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden | Norm | 2.0 | Actueel | 29 maart 2021 | Uitvoering | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden. | Beheer | BIO Thema-uitwerking Communicatievoorzieningen | Richtlijnen netwerkbeveiliging | |||||||
Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt | CVZ_U.02.01 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Inlogprocedure | BIO Thema-uitwerking Communicatievoorzieningen | Beveiligde inlogprocedure | |||||||
Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone | CVZ_U.02.02 | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie. | Inlogprocedure | BIO Thema-uitwerking Communicatievoorzieningen | Beveiligde inlogprocedure | |||||||
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers | CVZ_U.02.03 | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.
Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.
| Inlogprocedure | BIO Thema-uitwerking Communicatievoorzieningen | Beveiligde inlogprocedure | |||||||
Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | CVZ_U.03.01 | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Beheerd | BIO Thema-uitwerking Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | CVZ_U.03.02 | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Beheerd | BIO Thema-uitwerking Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
Beheeractiviteiten worden nauwgezet gecoördineerd | CVZ_U.03.03 | Beheeractiviteiten worden nauwgezet gecoördineerd | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. | Beheerd | BIO Thema-uitwerking Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | CVZ_U.03.04 | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Beheerd | BIO Thema-uitwerking Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | CVZ_U.03.05 | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Beheerst | BIO Thema-uitwerking Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | CVZ_U.03.06 | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Beheerst | BIO Thema-uitwerking Communicatievoorzieningen | Netwerk beveiligingsbeheer | |||||||
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | CVZ_U.04.01 | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomsten | BIO Thema-uitwerking Communicatievoorzieningen | Vertrouwelijkheids- of geheimhoudingsovereenkomst | |||||||
Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | CVZ_U.05.01 | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau Verbindingsveiligheid (NBV) een positief inzetadvies heeft afgegeven. | Beveiligingsmechanismen | BIO Thema-uitwerking Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | CVZ_U.05.02 | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiligingsmechanismen | BIO Thema-uitwerking Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | CVZ_U.05.03 | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
Voor authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: encryptie.
Voor veilige point to point-verbindingen: encryptie.
| Beveiligingsmechanismen | BIO Thema-uitwerking Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | CVZ_U.05.04 | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Dienstverleningsniveaus | BIO Thema-uitwerking Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | CVZ_U.05.05 | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beheereisen | BIO Thema-uitwerking Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | CVZ_U.05.06 | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cybersecurity Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beheereisen | BIO Thema-uitwerking Communicatievoorzieningen | Beveiliging netwerkdiensten | |||||||
Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau | CVZ_U.06.01 | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Gescheiden (in domeinen) | BIO Thema-uitwerking Communicatievoorzieningen | Zonering en filtering | |||||||
Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding | CVZ_U.06.02 | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Gescheiden (in domeinen) | BIO Thema-uitwerking Communicatievoorzieningen | Zonering en filtering | |||||||
Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst | CVZ_U.06.03 | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst | Norm | 2.0 | Actueel | 30 maart 2021 | Uitvoering | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router). | Gescheiden (in domeinen) | BIO Thema-uitwerking Communicatievoorzieningen | Zonering en filtering | |||||||
… overige resultaten |