Alle normen alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle Normen uit de NORANederlandse Overheid Referentie Architectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid Referentie Architectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Normen alle eigenschappen

De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'

NormIDTitelKent element met zelfde titelElementtypeIs subnormVersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumToelichtingBeveiligingsaspectStellingConformiteitsindicatorInvalshoekHeeft bronHeeft ouderRealiseert
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingAppO_B.01.01De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingNorm1.0Actueel1 februari 2019BeleidDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.regelsBIO Thema ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingAppO_B.01.02Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingNorm1.0Actueel1 februari 2019BeleidDe Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.regelsBIO Thema ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareAppO_B.01.03Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareNorm1.0Actueel1 februari 2019BeleidIn het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
regelsBIO Thema ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Technieken voor beveiligd programmerenAppO_B.01.04Technieken voor beveiligd programmerenNorm1.0Actueel1 februari 2019BeleidTechnieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.regelsBIO Thema ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieAppO_B.02.01Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieNorm1.0Actueel1 februari 2019BeleidEen formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).systeem ontwikkelmethodesBIO Thema ApplicatieontwikkelingSysteem ontwikkelmethode
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenAppO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenNorm1.0Actueel1 februari 2019BeleidSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.systeem ontwikkelmethodesBIO Thema ApplicatieontwikkelingSysteem ontwikkelmethode
Adoptie van ontwikkelmethodologie wordt gemonitordAppO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitordNorm1.0Actueel1 februari 2019BeleidAdoptie van ontwikkelmethodologie wordt gemonitord.systeem ontwikkelmethodesBIO Thema ApplicatieontwikkelingSysteem ontwikkelmethode
Software wordt ontwikkelen conform standaarden en proceduresAppO_B.02.04Software wordt ontwikkelen conform standaarden en proceduresNorm1.0Actueel1 februari 2019BeleidStandaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
standaarden/proceduresBIO Thema ApplicatieontwikkelingSysteem ontwikkelmethode
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenAppO_B.02.05De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenNorm1.0Actueel1 februari 2019BeleidDe systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • beleid en wet en regelgevingBIO Thema ApplicatieontwikkelingSysteem ontwikkelmethode
    Het softwareontwikkeling wordt projectmatig aangepaktAppO_B.02.06Het softwareontwikkeling wordt projectmatig aangepaktNorm1.0Actueel1 februari 2019BeleidHet ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • projectmatigBIO Thema ApplicatieontwikkelingSysteem ontwikkelmethode
    Dataclassificatie' als uitgangspunt voor softwareontwikkelingAppO_B.03.01Dataclassificatie' als uitgangspunt voor softwareontwikkelingNorm1.0Actueel1 februari 2019BeleidDe Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.informatieBIO Thema ApplicatieontwikkelingClassificatie van Informatie
    Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdAppO_B.03.02InformatieBetekenisvolle gegevens. in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdNorm1.0Actueel1 februari 2019BeleidIn alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.informatieBIO Thema ApplicatieontwikkelingClassificatie van Informatie
    Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaAppO_B.03.03Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaNorm1.0Actueel1 februari 2019BeleidBij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.informatieBIO Thema ApplicatieontwikkelingClassificatie van Informatie
    Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsAppO_B.03.04Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsNorm1.0Actueel1 februari 2019BeleidIn het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.wettelijke eisen, waarde, belang, gevoeligheidBIO Thema ApplicatieontwikkelingClassificatie van Informatie
    Security by Design als uitgangspunt voor softwareontwikkelingAppO_B.04.01Security by Design als uitgangspunt voor softwareontwikkelingNorm1.0Actueel1 februari 2019BeleidDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.principesBIO Thema ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Principes voor het beveiligen van informatiesystemenAppO_B.04.02Principes voor het beveiligen van informatiesystemenNorm1.0Actueel1 februari 2019BeleidVoor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • principesBIO Thema ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Beveiliging is integraal onderdeel van systeemontwikkelingAppO_B.04.03Beveiliging is integraal onderdeel van systeemontwikkelingNorm1.0Actueel1 februari 2019BeleidBeveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.principesBIO Thema ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Ontwikkelaars zijn getraind om veilige software te ontwikkelenAppO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelenNorm1.0Actueel1 februari 2019BeleidOntwikkelaars zijn getraind om veilige software te ontwikkelen.principesBIO Thema ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Perspectieven bij de Business Impact AnalyseAppO_B.05.01Perspectieven bij de Business Impact AnalyseNorm1.0Actueel1 februari 2019BeleidBij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • perspectievenBIO Thema ApplicatieontwikkelingBusiness Impact Analyse
    Scenario's voor de Business Impact AnalyseAppO_B.05.02Scenario's voor de Business Impact AnalyseNorm1.0Actueel1 februari 2019BeleidDe business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • scenario'sBIO Thema ApplicatieontwikkelingBusiness Impact Analyse
    Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieAppO_B.05.03Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieNorm1.0Actueel1 februari 2019BeleidMet de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • BIVC-aspectenBIO Thema ApplicatieontwikkelingBusiness Impact Analyse
    GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenAppO_B.06.01GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenNorm1.0Actueel1 februari 2019BeleidOm privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.privacy en bescherming van persoonsgegevensBIO Thema ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomstenAppO_B.06.02procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomstenNorm1.0Actueel1 februari 2019BeleidVoor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.privacy en bescherming van persoonsgegevensBIO Thema ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenAppO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenNorm1.0Actueel1 februari 2019BeleidEen tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.privacy en bescherming van persoonsgegevensBIO Thema ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakAppO_B.06.04Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakNorm1.0Actueel1 februari 2019BeleidPrivacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.privacy en bescherming van persoonsgegevensBIO Thema ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Risicomanagement aanpak aantoonbaar toegepastAppO_B.06.05Risicomanagement aanpak aantoonbaar toegepastNorm1.0Actueel1 februari 2019BeleidDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.privacy en bescherming van persoonsgegevensBIO Thema ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdAppO_B.06.06Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdNorm1.0Actueel1 februari 2019BeleidOp basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.wet- en regelgevingBIO Thema ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidAppO_B.07.01De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidNorm1.0Actueel1 februari 2019BeleidDe doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.ontwikkel en onderhoudsbeleidBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    De doelorganisatie beschikt over QA- en KMS-methodiekAppO_B.07.02De doelorganisatie beschikt over QA- en KMS-methodiekNorm1.0Actueel1 februari 2019BeleidDe doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.ontwikkel en onderhoudsbeleidBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdAppO_B.07.03De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdNorm1.0Actueel1 februari 2019BeleidDe ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.kwaliteitsmanagement systeemBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Voor informatie- en communicatie zijn processen ingerichtAppO_B.07.04Voor informatie- en communicatie zijn processen ingerichtNorm1.0Actueel1 februari 2019BeleidEr zijn informatie- en communicatieprocessen ingericht.kwaliteitsmanagement systeemBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdAppO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdNorm1.0Actueel1 februari 2019BeleidOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdkwaliteitsmanagement systeemBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Aan het management worden evaluatierapportages verstrektAppO_B.07.06Aan het management worden evaluatierapportages verstrektNorm1.0Actueel1 februari 2019BeleidAan het management worden evaluatie rapportages verstrekt.kwaliteitsmanagement systeemBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMSAppO_B.07.07applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMSNorm1.0Actueel1 februari 2019BeleidDe processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.kwaliteitsmanagement systeemBIO Thema ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenAppO_B.08.01Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenNorm1.0Actueel1 februari 2019BeleidOm de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    programmabroncode en broncode bibliothekenBIO Thema ApplicatieontwikkelingToegangsbeveiliging op programmacode
    Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdAppO_B.08.02Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdNorm1.0Actueel1 februari 2019BeleidAls het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).programmabroncode en broncode bibliothekenBIO Thema ApplicatieontwikkelingToegangsbeveiliging op programmacode
    Taken van de beveiligingsfunctionarisAppO_B.09.01Taken van de beveiligingsfunctionarisNorm1.0Actueel1 februari 2019BeleidDe beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    beveiligingsfunctionarisBIO Thema ApplicatieontwikkelingProjectorganisatie
    Inzicht gegeven door de beveiligingsfunctionarisAppO_B.09.02Inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat door de beveiligingsfunctionarisNorm1.0Actueel1 februari 2019BeleidDe beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • beveiligingsvoorschriftenBIO Thema ApplicatieontwikkelingProjectorganisatie
    Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienAppO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienNorm1.0Actueel1 februari 2019ControlDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.richtlijnenBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeAppO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeNorm1.0Actueel1 februari 2019ControlDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.richtlijnenBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastAppO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastNorm1.0Actueel1 februari 2019ControlDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.richtlijnenBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenAppO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenNorm1.0Actueel1 februari 2019ControlDe projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.richtlijnenBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    De Quality Assurance methodiek wordt conform de richtlijnen nageleefdAppO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefdNorm1.0Actueel1 februari 2019ControlDe QA methodiek wordt conform de richtlijnen nageleefd.richtlijnenBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenAppO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenNorm1.0Actueel1 februari 2019ControlDe projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.controleactiviteiten en rapportagesBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldAppO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldNorm1.0Actueel1 februari 2019ControlPeriodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.ontwikkelactiviteitenBIO Thema ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisAppO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisNorm1.0Actueel1 februari 2019ControlHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.procesmatigBIO Thema ApplicatieontwikkelingVersie Management
    Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdAppO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdNorm1.0Actueel1 februari 2019ControlIn het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.procesmatigBIO Thema ApplicatieontwikkelingVersie Management
    Versiemanagement wordt ondersteund met procedures en werkinstructiesAppO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructiesNorm1.0Actueel1 februari 2019ControlHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.procesmatigBIO Thema ApplicatieontwikkelingVersie Management
    Ondersteuning vanuit het toegepaste versiebeheertoolAppO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertoolNorm1.0Actueel1 februari 2019ControlEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
  • efficiënte wijzeBIO Thema ApplicatieontwikkelingVersie Management
    Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktAppO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktNorm1.0Actueel1 februari 2019ControlHet patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.procesmatig en procedureelBIO Thema ApplicatieontwikkelingPatchmanagement van externe programmacode
    Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenAppO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenNorm1.0Actueel1 februari 2019ControlDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.procesmatig en procedureelBIO Thema ApplicatieontwikkelingPatchmanagement van externe programmacode
    Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdAppO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdNorm1.0Actueel1 februari 2019ControlHet al dan niet uitvoeren van de patches voor programmacode is geregistreerd.procesmatig en procedureelBIO Thema ApplicatieontwikkelingPatchmanagement van externe programmacode
    Het beheer van technische kwetsbaarheden in code uit externe bibliothekenAppO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliothekenNorm1.0Actueel1 februari 2019ControlHet beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.technische kwetsbaarhedenBIO Thema ApplicatieontwikkelingPatchmanagement van externe programmacode
    Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesAppO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesNorm1.0Actueel1 februari 2019ControlBij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.technische kwetsbaarhedenBIO Thema ApplicatieontwikkelingPatchmanagement van externe programmacode
    Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isAppO_C.03.06Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isNorm1.0Actueel1 februari 2019ControlUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.tijdigBIO Thema ApplicatieontwikkelingPatchmanagement van externe programmacode
    Software configuratiescomponenten worden conform procedures vastgelegdAppO_C.04.01Software configuratiescomponenten worden conform procedures vastgelegdNorm1.0Actueel1 februari 2019ControlSoftware configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.configuratie-administratieBIO Thema Applicatieontwikkeling(Software) configuratie management
    De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelAppO_C.04.02De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelNorm1.0Actueel1 februari 2019ControlDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.configuratie-administratieBIO Thema Applicatieontwikkeling(Software) configuratie management
    Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBAppO_C.04.03Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBNorm1.0Actueel1 februari 2019ControlWijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.configuratie-administratieBIO Thema Applicatieontwikkeling(Software) configuratie management
    Het compliance management proces is gedocumenteerd en vastgesteldAppO_C.05.01Het compliance management proces is gedocumenteerd en vastgesteldNorm1.0Actueel1 februari 2019ControlHet compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management.compliance management procesBIO Thema ApplicatieontwikkelingCompliance management
    De noodzakelijke eisen voor het compliance proces samengevat en vastgelegdAppO_C.05.02De noodzakelijke eisen voor het compliance proces samengevat en vastgelegdNorm1.0Actueel1 februari 2019ControlTen behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
  • compliance management procesBIO Thema ApplicatieontwikkelingCompliance management
    De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefdAppO_C.06.01De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefdNorm1.0Actueel1 februari 2019ControlDe projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek.quality assurance procesBIO Thema ApplicatieontwikkelingQuality assurance
    Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerdAppO_C.06.02Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerdNorm1.0Actueel1 februari 2019ControlConform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
  • quality assurance procesBIO Thema ApplicatieontwikkelingQuality assurance
    Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijkenAppO_C.06.03Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijkenNorm1.0Actueel1 februari 2019ControlDe resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.quality assurance procesBIO Thema ApplicatieontwikkelingQuality assurance
    Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegdAppO_C.06.04Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegdNorm1.0Actueel1 februari 2019ControlAfspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd.quality assurance procesBIO Thema ApplicatieontwikkelingQuality assurance
    Testen bij verandering van besturingssystemenAppO_C.07.01Testen bij verandering van besturingssystemenNorm1.0Actueel1 februari 2019ControlBij veranderingen van besturingssystemen wordt onder andere het volgende getest:
    1. de toepassingscontrole procedures;
    2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
    3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
    4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    verandering van besturingsplatformsBIO Thema ApplicatieontwikkelingTechnische beoordeling van informatiesystemen na wijziging besturingsplatform
    De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegdAppO_C.08.01De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegdNorm1.0Actueel1 februari 2019ControlDe samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd.structuur van de beheersprocessenBIO Thema ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkAppO_C.08.02De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkNorm1.0Actueel1 februari 2019ControlDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt.functionarissenBIO Thema ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegdAppO_C.08.03De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegdNorm1.0Actueel1 februari 2019ControlDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.taken, verantwoordelijkheden en bevoegdhedenBIO Thema ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschrevenAppO_C.08.04De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschrevenNorm1.0Actueel1 februari 2019ControlDe projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.taken, verantwoordelijkheden en bevoegdhedenBIO Thema ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworksAppO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworksNorm1.0Actueel1 februari 2019UitvoeringVoor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.levenscyclusBIO Thema ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoerenAppO_U.01.02Medewerkers (programmeurs) krijgen de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen om werkzaamheden te kunnen uitvoerenNorm1.0Actueel1 februari 2019UitvoeringHet wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.levenscyclusBIO Thema ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesAppO_U.01.03Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesNorm1.0Actueel1 februari 2019UitvoeringNieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.formele proceduresBIO Thema ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Elementen van de procedures voor wijzigingsbeheerAppO_U.01.04Elementen van de procedures voor wijzigingsbeheerNorm1.0Actueel1 februari 2019UitvoeringEnkele elementen van de procedures voor wijzigingsbeheer zijn:
  • alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
  • formele proceduresBIO Thema ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Beleid ten aanzien van het type software dat mag worden geïnstalleerdAppO_U.02.01Beleid ten aanzien van het type software dat mag worden geïnstalleerdNorm1.0Actueel1 februari 2019UitvoeringDe organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.regelsBIO Thema ApplicatieontwikkelingBeperkingen voor de installatie van software(richtlijnen)
    Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'AppO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'Norm1.0Actueel1 februari 2019UitvoeringHet toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.regelsBIO Thema ApplicatieontwikkelingBeperkingen voor de installatie van software(richtlijnen)
    De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaarsAppO_U.02.03De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaarsNorm1.0Actueel1 februari 2019UitvoeringDe rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.regelsBIO Thema ApplicatieontwikkelingBeperkingen voor de installatie van software(richtlijnen)
    De programmacode voor functionele specificaties is reproduceerbaarAppO_U.03.01De programmacode voor functionele specificaties is reproduceerbaarNorm1.0Actueel1 februari 2019UitvoeringDe programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
    • gebruikte tools;
    • gebruikte licenties;
    • versiebeheer;
    • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
    regelsBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    programmacode wordt aantoonbaar veilig gecreëerdAppO_U.03.02programmacode wordt aantoonbaar veilig gecreëerdNorm1.0Actueel1 februari 2019Uitvoering(Programma)code wordt aantoonbaar veilig gecreëerd.regelsBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    programmacode is effectief, veranderbaar en testbaarAppO_U.03.03programmacode is effectief, veranderbaar en testbaarNorm1.0Actueel1 februari 2019Uitvoering(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
  • regelsBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktAppO_U.03.04Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktNorm1.0Actueel1 februari 2019UitvoeringOver het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.best practicesBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireAppO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireNorm1.0Actueel1 februari 2019UitvoeringVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.best practicesBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenAppO_U.03.06Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenNorm1.0Actueel1 februari 2019UitvoeringOntwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.best practicesBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Gebruik van programmacode uit externe programmabibliothekenAppO_U.03.07Gebruik van programmacode uit externe programmabibliothekenNorm1.0Actueel1 februari 2019UitvoeringHet gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.best practicesBIO Thema ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdAppO_U.04.01Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdNorm1.0Actueel1 februari 2019UitvoeringDe functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).functionele eisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenAppO_U.04.02Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenNorm1.0Actueel1 februari 2019UitvoeringHet Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.functionele eisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdAppO_U.04.03Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdNorm1.0Actueel1 februari 2019UitvoeringOp basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..functionele eisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Alle vereisten worden gevalideerd door peer review of prototypingAppO_U.04.04Alle vereisten worden gevalideerd door peer review of prototypingNorm1.0Actueel1 februari 2019UitvoeringAlle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).functionele eisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpAppO_U.04.05Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpNorm1.0Actueel1 februari 2019UitvoeringParallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.functionele eisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenAppO_U.05.01Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenNorm1.0Actueel1 februari 2019UitvoeringBij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.beveiligingseisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005AppO_U.05.02De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005Norm1.0Actueel1 februari 2019UitvoeringDe Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.beveiligingseisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    InformatiebeveiligingseisenAppO_U.05.03InformatiebeveiligingseisenNorm1.0Actueel1 februari 2019UitvoeringInformatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
  • beveiligingseisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    Overwogen informatiebeveiligingseisenAppO_U.05.04Overwogen informatiebeveiligingseisenNorm1.0Actueel1 februari 2019UitvoeringMet betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatie eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
  • beveiligingseisenBIO Thema ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieAppO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieNorm1.0Actueel1 februari 2019UitvoeringHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
  • business vereisten en reviewsBIO Thema ApplicatieontwikkelingApplicatie ontwerp
    Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatieAppO_U.06.02Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatieNorm1.0Actueel1 februari 2019UitvoeringBij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
  • omgevingsanalyseBIO Thema ApplicatieontwikkelingApplicatie ontwerp
    Het ontwerp is mede gebaseerd op een beveiligingsarchitectuurAppO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuurNorm1.0Actueel1 februari 2019UitvoeringHet ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.(specifieke) beveiligingBIO Thema ApplicatieontwikkelingApplicatie ontwerp
    Bereikcontroles worden toegepast en gegevens worden gevalideerdAppO_U.07.01Bereikcontroles worden toegepast en gegevens worden gevalideerdNorm1.0Actueel1 februari 2019UitvoeringBereikcontroles worden toegepast en gegevens worden gevalideerd.invoerfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Geprogrammeerde controles worden ondersteundAppO_U.07.02Geprogrammeerde controles worden ondersteundNorm1.0Actueel1 februari 2019UitvoeringGeprogrammeerde controles worden ondersteund.verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Het uitvoeren van onopzettelijke mutaties wordt tegengegaanAppO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaanNorm1.0Actueel1 februari 2019UitvoeringHet uitvoeren van onopzettelijke mutaties wordt tegengegaan.verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaarAppO_U.07.04Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaarNorm1.0Actueel1 februari 2019UitvoeringVoorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaarAppO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaarNorm1.0Actueel1 februari 2019UitvoeringVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Opgeleverde en over te dragen gegevens worden gevalideerdAppO_U.07.06Opgeleverde en over te dragen gegevens worden gevalideerdNorm1.0Actueel1 februari 2019UitvoeringOpgeleverde/over te dragen gegevens worden gevalideerd.verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevensAppO_U.07.07Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input en op de verwerking en output van gegevensNorm1.0Actueel1 februari 2019UitvoeringControle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd.verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderdAppO_U.07.08Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderdNorm1.0Actueel1 februari 2019UitvoeringOp basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.verwerkingsfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Gegevens worden conform vastgestelde beveiligingsklasse gevalideerdAppO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerdNorm1.0Actueel1 februari 2019UitvoeringGegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.uitvoerfunctiesBIO Thema ApplicatieontwikkelingApplicatie functionaliteiten
    Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldAppO_U.08.01Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldNorm1.0Actueel1 februari 2019UitvoeringGedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
  • (industrie) good practiceBIO Thema ApplicatieontwikkelingApplicatiebouw
    Veilige methodes ter voorkoming van veranderingen in basis code of in software packagesAppO_U.08.02Veilige methodes ter voorkoming van veranderingen in basis code of in software packagesNorm1.0Actueel1 februari 2019UitvoeringVeilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.(industrie) good practiceBIO Thema ApplicatieontwikkelingApplicatiebouw
    Voor het creëren van programma code wordt gebruik gemaakt van good practicesAppO_U.08.03Voor het creëren van programma code wordt gebruik gemaakt van good practicesNorm1.0Actueel1 februari 2019UitvoeringVoor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).(industrie) good practiceBIO Thema ApplicatieontwikkelingApplicatiebouw
    Geen gebruik van onveilig programmatechniekenAppO_U.08.04Geen gebruik van onveilig programmatechniekenNorm1.0Actueel1 februari 2019UitvoeringHet gebruik van onveilig programmatechnieken is niet toegestaan.(industrie) good practiceBIO Thema ApplicatieontwikkelingApplicatiebouw
    (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenAppO_U.08.05(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenNorm1.0Actueel1 februari 2019UitvoeringProgrammacode is beschermd tegen ongeautoriseerde wijzigingen.(industrie) good practiceBIO Thema ApplicatieontwikkelingApplicatiebouw
    Activiteiten van applicatiebouw worden gereviewdAppO_U.08.06Activiteiten van applicatiebouw worden gereviewdNorm1.0Actueel1 februari 2019UitvoeringActiviteiten van applicatiebouw worden gereviewd.(industrie) good practiceBIO Thema ApplicatieontwikkelingApplicatiebouw
    De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanterenAppO_U.08.07De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanterenNorm1.0Actueel1 februari 2019UitvoeringDe ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.juiste skills/toolsBIO Thema ApplicatieontwikkelingApplicatiebouw
    Functionarissen testen functionele requirementsAppO_U.09.01Functionarissen testen functionele requirementsNorm1.0Actueel1 februari 2019UitvoeringVanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).bedrijfsfunctionaliteitenBIO Thema ApplicatieontwikkelingTesten van systeembeveiliging
    In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekAppO_U.09.02In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekNorm1.0Actueel1 februari 2019UitvoeringDe functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.beveiligingsfunctionaliteitenBIO Thema ApplicatieontwikkelingTesten van systeembeveiliging
    Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktAppO_U.10.01Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktNorm1.0Actueel1 februari 2019UitvoeringVoor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Van de resultaten van de testen wordt een verslag gemaaktAppO_U.10.02Van de resultaten van de testen wordt een verslag gemaaktNorm1.0Actueel1 februari 2019UitvoeringVan de resultaten van de testen wordt een verslag gemaakt.acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Testresultaten worden formeel geëvalueerd en beoordeeldAppO_U.10.03Testresultaten worden formeel geëvalueerd en beoordeeldNorm1.0Actueel1 februari 2019UitvoeringTestresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingAppO_U.10.04Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingNorm1.0Actueel1 februari 2019Uitvoering(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangAppO_U.10.05Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangNorm1.0Actueel1 februari 2019UitvoeringVoordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensAppO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensNorm1.0Actueel1 februari 2019UitvoeringTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenAppO_U.10.07Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenNorm1.0Actueel1 februari 2019UitvoeringBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
  • acceptatietestsBIO Thema ApplicatieontwikkelingSysteem acceptatietests
    Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermenAppO_U.11.01Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermenNorm1.0Actueel1 februari 2019UitvoeringDe volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
  • testgegevensBIO Thema ApplicatieontwikkelingBeschermen van testgegevens
    Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingAppO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingNorm1.0Actueel1 februari 2019UitvoeringUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenAppO_U.12.02Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenNorm1.0Actueel1 februari 2019UitvoeringDe organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenAppO_U.12.03De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenNorm1.0Actueel1 februari 2019UitvoeringDe taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Voor remote werkzaamheden is een werkwijze vastgelegdAppO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegdNorm1.0Actueel1 februari 2019UitvoeringVoor remote werkzaamheden is een werkwijze vastgelegd.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Ontwikkelaars hebben geen toegang tot productieomgevingAppO_U.12.05Ontwikkelaars hebben geen toegang tot productieomgevingNorm1.0Actueel1 februari 2019UitvoeringOntwikkelaars hebben geen toegang tot de Productie-omgeving.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenAppO_U.12.06Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenNorm1.0Actueel1 februari 2019UitvoeringT.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsAppO_U.12.07De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsNorm1.0Actueel1 februari 2019UitvoeringDe overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsAppO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsNorm1.0Actueel1 februari 2019UitvoeringDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De overdracht naar de Productieomgeving vindt gecontroleerd plaatsAppO_U.12.09De overdracht naar de Productieomgeving vindt gecontroleerd plaatsNorm1.0Actueel1 februari 2019UitvoeringDe overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.beveiligde ontwikkelomgevingenBIO Thema ApplicatieontwikkelingUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
    Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnenAppO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnenNorm1.0Actueel1 februari 2019UitvoeringKoppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.koppelingsrichtlijnenBIO Thema ApplicatieontwikkelingApplicatiekoppelingen
    Van het type koppelingen is een overzicht aanwezigAppO_U.13.02Van het type koppelingen is een overzicht aanwezigNorm1.0Actueel1 februari 2019UitvoeringVan het type koppelingen is een overzicht aanwezig.koppelingsrichtlijnenBIO Thema ApplicatieontwikkelingApplicatiekoppelingen
    Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachtenAppO_U.13.03Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachtenNorm1.0Actueel1 februari 2019UitvoeringKoppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.koppelingsrichtlijnenBIO Thema ApplicatieontwikkelingApplicatiekoppelingen
    De uitgevoerde koppelingen worden geregistreerdAppO_U.13.04De uitgevoerde koppelingen worden geregistreerdNorm1.0Actueel1 februari 2019UitvoeringDe uitgevoerde koppelingen worden geregistreerd.koppelingsrichtlijnenBIO Thema ApplicatieontwikkelingApplicatiekoppelingen
    Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten wordenAppO_U.14.01Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten wordenNorm1.0Actueel1 februari 2019UitvoeringWelke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.loggingBIO Thema ApplicatieontwikkelingLogging en monitoring
    Informatie ten aanzien van autorisatie(s) wordt vastgelegdAppO_U.14.02InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegdNorm1.0Actueel1 februari 2019UitvoeringInformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.loggingBIO Thema ApplicatieontwikkelingLogging en monitoring
    De loggegevens zijn beveiligdAppO_U.14.03De loggegevens zijn beveiligdNorm1.0Actueel1 februari 2019UitvoeringDe loggegevens zijn beveiligd.loggingBIO Thema ApplicatieontwikkelingLogging en monitoring
    De locatie van de vastlegging van de loggegevens is vastgesteldAppO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteldNorm1.0Actueel1 februari 2019UitvoeringDe locatie van de vastlegging van de loggegevens is vastgesteld.loggingBIO Thema ApplicatieontwikkelingLogging en monitoring
    De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet wordenAppO_U.14.05De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet wordenNorm1.0Actueel1 februari 2019UitvoeringDe applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.monitoringBIO Thema ApplicatieontwikkelingLogging en monitoring
    De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegdAppO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegdNorm1.0Actueel1 februari 2019UitvoeringDe frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.monitoringBIO Thema ApplicatieontwikkelingLogging en monitoring
    De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldAppO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldNorm1.0Actueel1 februari 2019UitvoeringDe architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.BIO Thema ApplicatieontwikkelingApplicatie architectuur
    Het architectuur document wordt actief onderhoudenAppO_U.15.02Het architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. document wordt actief onderhoudenNorm1.0Actueel1 februari 2019UitvoeringHet architectuurdocument wordt actief onderhouden.applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.BIO Thema ApplicatieontwikkelingApplicatie architectuur
    De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepastAppO_U.15.03De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepastNorm1.0Actueel1 februari 2019UitvoeringDe voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.BIO Thema ApplicatieontwikkelingApplicatie architectuur
    Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichtenAppO_U.15.04Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichtenNorm1.0Actueel1 februari 2019UitvoeringTussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.samenhangBIO Thema ApplicatieontwikkelingApplicatie architectuur
    Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaarAppO_U.15.05Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaarNorm1.0Actueel1 februari 2019UitvoeringHet is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).samenhangBIO Thema ApplicatieontwikkelingApplicatie architectuur
    De relatie tussen de persoonsgegevens is inzichtelijkAppO_U.15.06De relatie tussen de persoonsgegevens is inzichtelijkNorm1.0Actueel1 februari 2019UitvoeringDe relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk.samenhangBIO Thema ApplicatieontwikkelingApplicatie architectuur
    Het tool ondersteunt alle fasen van het ontwikkelprocesAppO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelprocesNorm1.0Actueel1 februari 2019UitvoeringHet tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.faciliteitenBIO Thema ApplicatieontwikkelingTooling ontwikkelmethode
    Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenAppO_U.16.02Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenNorm1.0Actueel1 februari 2019UitvoeringHet tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.faciliteitenBIO Thema ApplicatieontwikkelingTooling ontwikkelmethode
    Het tool beschikt over faciliteiten voor versie- en releasebeheerAppO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheerNorm1.0Actueel1 februari 2019UitvoeringHet tool beschikt over faciliteiten voor versie- en releasebeheer.faciliteitenBIO Thema ApplicatieontwikkelingTooling ontwikkelmethode
    Faciliteiten van het toolAppO_U.16.04Faciliteiten van het toolNorm1.0Actueel1 februari 2019UitvoeringHet tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
  • faciliteitenBIO Thema ApplicatieontwikkelingTooling ontwikkelmethode
    Het tool beschikt over faciliteiten voor de koppelingen met externe bronnenAppO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnenNorm1.0Actueel1 februari 2019UitvoeringHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen.faciliteitenBIO Thema ApplicatieontwikkelingTooling ontwikkelmethode
    Informeren welke wet- en regelgeving van toepassing is op clouddienstenCloud_B.01.01Informeren welke wet- en regelgeving van toepassing is op clouddienstenNorm1.0Actueel26 februari 2020BeleidDe CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.wettelijke, statutaire en regelgevende eisenBIO Thema ClouddienstenWet- en regelgeving
    Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevensCloud_B.01.02Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevensNorm1.026 februari 2020BeleidDe CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.wettelijke, statutaire en regelgevende eisenBIO Thema ClouddienstenWet- en regelgeving
    Identificeren vereisten die van toepassing zijnCloud_B.01.03Identificeren vereisten die van toepassing zijnNorm1.026 februari 2020BeleidDe voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.wettelijke, statutaire en regelgevende eisenBIO Thema ClouddienstenWet- en regelgeving
    Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereistenCloud_B.01.04Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereistenNorm1.0Actueel26 februari 2020BeleidDe CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.wettelijke, statutaire en regelgevende eisenBIO Thema ClouddienstenWet- en regelgeving
    Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisenCloud_B.01.05Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisenNorm1.0Actueel26 februari 2020BeleidVoor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.contractuele eisenBIO Thema ClouddienstenWet- en regelgeving
    Vaststellen alle van toepassing zijnde wet- en regelgevingCloud_B.01.06Vaststellen alle van toepassing zijnde wet- en regelgevingNorm1.0Actueel26 februari 2020BeleidDe CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.aanpakBIO Thema ClouddienstenWet- en regelgeving
    Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteuntCloud_B.02.01Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteuntNorm1.0Actueel26 februari 2020BeleidDe cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.
  • cloudbeveiligingsstrategieBIO Thema ClouddienstenCloudbeveiligingsstrategie
    Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontextCloud_B.02.02Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontextNorm1.0Actueel26 februari 2020BeleidDe cloudbeveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.
  • cloudbeveiligingsstrategieBIO Thema ClouddienstenCloudbeveiligingsstrategie
    Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelenCloud_B.02.03Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelenNorm1.0Actueel26 februari 2020BeleidDe samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • samenhangtBIO Thema ClouddienstenCloudbeveiligingsstrategie
    Vastleggen bepalingen over exit-regelingCloud_B.03.01Vastleggen bepalingen over exit-regelingNorm1.0Actueel26 februari 2020BeleidDe CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
  • de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities);
  • de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd;
  • de opzegtermijn geeft voldoende tijd om te kunnen migreren;
  • data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden;
  • door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd;
  • de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • bepalingenBIO Thema ClouddienstenExit-strategie
    Overgaan tot exit buiten verstrijken contractperiodeCloud_B.03.02Overgaan tot exit buiten verstrijken contractperiodeNorm1.0Actueel26 februari 2020BeleidDe CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • de contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van het SLA;
    • prijsverhoging.
  • de geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of life van de clouddienst(en);
    • achterwege blijvende features.
  • conditiesBIO Thema ClouddienstenExit-strategie
    Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleidCloud_B.04.01Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleidNorm1.0Actueel26 februari 2020BeleidHet cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy maatregelen ten aanzien van wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
    • toegang tot en protectie van data van de CSC;
    • lifecycle-management van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • cloudbeveiligingsbeleidBIO Thema ClouddienstenClouddienstenbeleid
    Bevatten diverse aspecten in systeembeschrijvingCloud_B.05.01Bevatten diverse aspecten in systeembeschrijvingNorm1.0Actueel26 februari 2020BeleidDe systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven op basis van Service Level Agreements;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.
  • systeembeschrijvingBIO Thema ClouddienstenTransparantie
    SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatieCloud_B.05.02SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatieNorm1.0Actueel26 februari 2020BeleidDe SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.jurisdictieBIO Thema ClouddienstenTransparantie
    SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkhedenCloud_B.05.03SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkhedenNorm1.0Actueel26 februari 2020BeleidDe SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.onderzoeksmogelijkhedenBIO Thema ClouddienstenTransparantie
    SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificatenCloud_B.05.04SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificatenNorm1.0Actueel26 februari 2020BeleidDe SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.certificatenBIO Thema ClouddienstenTransparantie
    Hebben CSP-verantwoordelijkhedenCloud_B.06.01Hebben CSP-verantwoordelijkhedenNorm1.0Actueel26 februari 2020BeleidDe verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • verantwoordelijkhedenBIO Thema ClouddienstenRisicomanagement
    Goedkeuren organisatie van risicomanagementprocesCloud_B.06.02Goedkeuren organisatie van risicomanagementprocesNorm1.0Actueel26 februari 2020BeleidDe organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.verantwoordelijkhedenBIO Thema ClouddienstenRisicomanagement
    Beschrijven risicomanagementprocesCloud_B.06.03Beschrijven risicomanagementprocesNorm1.0Actueel26 februari 2020BeleidHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.risicomanagementprocesBIO Thema ClouddienstenRisicomanagement
    Treffen maatregelen voor beveiliging IT-functionaliteitenCloud_B.07.01Treffen maatregelen voor beveiliging IT-functionaliteitenNorm1.0Actueel26 februari 2020BeleidVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.IT-functionaliteitenBIO Thema ClouddienstenIT-functionaliteiten
    Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuurCloud_B.07.02Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuurNorm1.0Actueel26 februari 2020BeleidTechnische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.IT-functionaliteitenBIO Thema ClouddienstenIT-functionaliteiten
    Bewaken en beheersen IT-infrastructuurCloud_B.07.03Bewaken en beheersen IT-infrastructuurNorm1.0Actueel26 februari 2020BeleidDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.IT-functionaliteitenBIO Thema ClouddienstenIT-functionaliteiten
    Inrichten infrastructuur met betrouwbare hardware- en software-componentenCloud_B.07.04Inrichten infrastructuur met betrouwbare hardware- en software-componentenNorm1.0Actueel26 februari 2020BeleidDe infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.robuuste en beveiligde systeemketenBIO Thema ClouddienstenIT-functionaliteiten
    Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallenCloud_B.07.05Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallenNorm1.0Actueel26 februari 2020BeleidEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.robuuste en beveiligde systeemketenBIO Thema ClouddienstenIT-functionaliteiten
    Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkhedenCloud_B.08.01Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkhedenNorm1.0Actueel26 februari 2020BeleidDe CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.verantwoordelijkheid voor BCMBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Zeker stellen adequate resources voor uitvoeren van BCM-procesCloud_B.08.02Zeker stellen adequate resources voor uitvoeren van BCM-procesNorm1.0Actueel26 februari 2020BeleidDe verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.verantwoordelijkheid voor BCMBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Committeren aan vastgestelde BCM-vereistenCloud_B.08.03Committeren aan vastgestelde BCM-vereistenNorm1.0Actueel26 februari 2020BeleidHet management van de CSP committeert zich aan de vastgestelde BCM-vereisten.verantwoordelijkheid voor BCMBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Vaststellen en communiceren BCM- en BIA-beleidCloud_B.08.04Vaststellen en communiceren BCM- en BIA-beleidNorm1.0Actueel26 februari 2020BeleidHet BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.verantwoordelijkheid voor BCMBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservicesCloud_B.08.05Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservicesNorm1.0Actueel26 februari 2020BeleidBeleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • beleid en proceduresBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteitCloud_B.08.06Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteitNorm1.0Actueel26 februari 2020BeleidDe CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • bedrijfscontinuïteitsplanningBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannenCloud_B.08.07Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannenNorm1.0Actueel26 februari 2020BeleidDe business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.verificatie en updatenBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testenCloud_B.08.08Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testenNorm1.0Actueel26 februari 2020BeleidBij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.verificatie en updatenBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningenCloud_B.08.09Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningenNorm1.0Actueel26 februari 2020BeleidDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.computercentraBIO Thema ClouddienstenBedrijfscontinuïteitsmanagement
    Treffen maatregelen voor opslag, verwerking en transport van dataCloud_B.09.01Treffen maatregelen voor opslag, verwerking en transport van dataNorm1.0Actueel26 februari 2020BeleidVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.beveiligingsaspecten en stadiaBIO Thema ClouddienstenData en privacy
    Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptieCloud_B.09.02Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptieNorm1.0Actueel26 februari 2020BeleidTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.toegang en privacyBIO Thema ClouddienstenData en privacy
    Toekennen classificatie aan data en middelen waarin/waarop zich data bevindtCloud_B.09.03Toekennen classificatie aan data en middelen waarin/waarop zich data bevindtNorm1.0Actueel26 februari 2020BeleidAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.classificatie/labelenBIO Thema ClouddienstenData en privacy
    Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerkenCloud_B.09.04Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerkenNorm1.0Actueel26 februari 2020BeleidData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.classificatie/labelenBIO Thema ClouddienstenData en privacy
    Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddienstenCloud_B.09.05Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddienstenNorm1.0Actueel26 februari 2020BeleidDe CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.classificatie/labelenBIO Thema ClouddienstenData en privacy
    Vaststellen eigenaarschap van middelen die deel uitmaken van clouddienstenCloud_B.09.06Vaststellen eigenaarschap van middelen die deel uitmaken van clouddienstenNorm1.0Actueel26 februari 2020BeleidHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.eigenaarschapBIO Thema ClouddienstenData en privacy
    Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienstCloud_B.09.07Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienstNorm1.0Actueel26 februari 2020BeleidIn de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.eigenaarschapBIO Thema ClouddienstenData en privacy
    Specificeren en documenteren opslag op welke locatie dataCloud_B.09.08Specificeren en documenteren opslag op welke locatie dataNorm1.0Actueel26 februari 2020BeleidDe CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.locatieBIO Thema ClouddienstenData en privacy
    Bewerkstelligen en promoten cloudbeveiligingsbeleidCloud_B.10.01Bewerkstelligen en promoten cloudbeveiligingsbeleidNorm1.0Actueel26 februari 2020BeleidDe beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • beveiligingsfunctieBIO Thema ClouddienstenBeveiligingsorganisatie
    Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelenCloud_B.10.02Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelenNorm1.0Concept26 februari 2020BeleidDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • cloudrisico-assessment-activiteiten;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiliging van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • beveiligingsfunctieBIO Thema ClouddienstenBeveiligingsorganisatie
    Geven positie van informatiebeveiligingsorganisatie binnen organisatieCloud_B.10.03Geven positie van informatiebeveiligingsorganisatie binnen organisatieNorm1.0Actueel26 februari 2020BeleidDe CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.organisatorische positieBIO Thema ClouddienstenBeveiligingsorganisatie
    Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiligingCloud_B.10.04Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.Norm1.0Actueel26 februari 2020BeleidDe CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.taken, verantwoordelijkheden en bevoegdhedenBIO Thema ClouddienstenBeveiligingsorganisatie
    Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrixCloud_B.10.05Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrixNorm1.0Actueel26 februari 2020BeleidDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.taken, verantwoordelijkheden en bevoegdhedenBIO Thema ClouddienstenBeveiligingsorganisatie
    Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk makenCloud_B.10.06Benoemen functionarissen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en onderlinge relaties inzichtelijk makenNorm1.0Actueel26 februari 2020BeleidDe belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.functionarissenBIO Thema ClouddienstenBeveiligingsorganisatie
    Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissenCloud_B.10.07Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissenNorm1.0Actueel26 februari 2020BeleidDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.rapportagelijnenBIO Thema ClouddienstenBeveiligingsorganisatie
    Vaststellen type, frequentie en eisen voor inhoudelijke rapportagesCloud_B.10.08Vaststellen type, frequentie en eisen voor inhoudelijke rapportagesNorm1.0Actueel26 februari 2020BeleidHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.rapportagelijnenBIO Thema ClouddienstenBeveiligingsorganisatie
    … overige resultaten