Alle normen alle eigenschappen

Op deze pagina vind u alle Normen uit de NORANederlandse Overheid Referentie Architectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid Referentie Architectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Normen alle eigenschappen

De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'

Norm	ID	Titel	Elementtype	Versieaanduiding	Status actualiteit	Redactionele wijzigingsdatum	Beveiligingsaspect	Stelling	Conformiteitsindicator	Heeft bron	Realiseert
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling	AppO_B.01.01	De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling	Norm	1.0	Actueel	1 februari 2019	Beleid	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.	regels	BIO Thema Applicatieontwikkeling	Beleid voor (beveiligd) ontwikkelen
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling	AppO_B.01.02	Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling	Norm	1.0	Actueel	1 februari 2019	Beleid	De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.	regels	BIO Thema Applicatieontwikkeling	Beleid voor (beveiligd) ontwikkelen
Overwegingen bij het beleid voor beveiligd ontwikkelen van software	AppO_B.01.03	Overwegingen bij het beleid voor beveiligd ontwikkelen van software	Norm	1.0	Actueel	1 februari 2019	Beleid	In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen: beveiliging van de ontwikkelomgeving; richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling; beveiliging in de softwareontwikkelmethodologie; beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt; beveiligingseisen in de ontwikkelfase; beveiligingscontrolepunten binnen de mijlpalen van het project; beveiliging van de versiecontrole; vereiste kennis over toepassingsbeveiliging; het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.	regels	BIO Thema Applicatieontwikkeling	Beleid voor (beveiligd) ontwikkelen
Technieken voor beveiligd programmeren	AppO_B.01.04	Technieken voor beveiligd programmeren	Norm	1.0	Actueel	1 februari 2019	Beleid	Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.	regels	BIO Thema Applicatieontwikkeling	Beleid voor (beveiligd) ontwikkelen
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie	AppO_B.02.01	Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie	Norm	1.0	Actueel	1 februari 2019	Beleid	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).	systeem ontwikkelmethodes	BIO Thema Applicatieontwikkeling	Systeem ontwikkelmethode
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen	AppO_B.02.02	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen	Norm	1.0	Actueel	1 februari 2019	Beleid	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.	systeem ontwikkelmethodes	BIO Thema Applicatieontwikkeling	Systeem ontwikkelmethode
Adoptie van ontwikkelmethodologie wordt gemonitord	AppO_B.02.03	Adoptie van ontwikkelmethodologie wordt gemonitord	Norm	1.0	Actueel	1 februari 2019	Beleid	Adoptie van ontwikkelmethodologie wordt gemonitord.	systeem ontwikkelmethodes	BIO Thema Applicatieontwikkeling	Systeem ontwikkelmethode
Software wordt ontwikkelen conform standaarden en procedures	AppO_B.02.04	Software wordt ontwikkelen conform standaarden en procedures	Norm	1.0	Actueel	1 februari 2019	Beleid	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van ontwikkelde applicatie naar de productie omgeving; de training van software ontwikkelaars.	standaarden/procedures	BIO Thema Applicatieontwikkeling	Systeem ontwikkelmethode
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten	AppO_B.02.05	De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten	Norm	1.0	Actueel	1 februari 2019	Beleid	De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan: de eisen uit wet en regelgeving incl. privacy; de contactuele eisen; het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie; de specifieke beveiligingseisen vanuit business; het classificatiemodel van de organisatie.	beleid en wet en regelgeving	BIO Thema Applicatieontwikkeling	Systeem ontwikkelmethode
Het softwareontwikkeling wordt projectmatig aangepakt	AppO_B.02.06	Het softwareontwikkeling wordt projectmatig aangepakt	Norm	1.0	Actueel	1 februari 2019	Beleid	Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van assessment voor BIVC; het creëren van een risico register; het creëren van projectmanagement office file; het registreren van belangrijke details in een business applicatie register.	projectmatig	BIO Thema Applicatieontwikkeling	Systeem ontwikkelmethode
Dataclassificatie' als uitgangspunt voor softwareontwikkeling	AppO_B.03.01	Dataclassificatie' als uitgangspunt voor softwareontwikkeling	Norm	1.0	Actueel	1 februari 2019	Beleid	De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.	informatie	BIO Thema Applicatieontwikkeling	Classificatie van Informatie
Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd	AppO_B.03.02	InformatieBetekenisvolle gegevens. in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd	Norm	1.0	Actueel	1 februari 2019	Beleid	In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.	informatie	BIO Thema Applicatieontwikkeling	Classificatie van Informatie
Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema	AppO_B.03.03	Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema	Norm	1.0	Actueel	1 februari 2019	Beleid	Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.	informatie	BIO Thema Applicatieontwikkeling	Classificatie van Informatie
Verplichtingen uit wet en regelgeving en organisatorische en technische requirements	AppO_B.03.04	Verplichtingen uit wet en regelgeving en organisatorische en technische requirements	Norm	1.0	Actueel	1 februari 2019	Beleid	In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.	wettelijke eisen, waarde, belang, gevoeligheid	BIO Thema Applicatieontwikkeling	Classificatie van Informatie
Security by Design als uitgangspunt voor softwareontwikkeling	AppO_B.04.01	Security by Design als uitgangspunt voor softwareontwikkeling	Norm	1.0	Actueel	1 februari 2019	Beleid	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.	principes	BIO Thema Applicatieontwikkeling	Engineeringprincipes beveiligde systemen
Principes voor het beveiligen van informatiesystemen	AppO_B.04.02	Principes voor het beveiligen van informatiesystemen	Norm	1.0	Actueel	1 februari 2019	Beleid	Voor het beveiligen van informatiesystemen zijn de volgende principe van belang: defense in depth (beveiliging op verschillende lagen); secure by default; default deny; fail secure; wantrouwen van input van externe applicaties; secure in deployment; en bruikbaarheid en beheersbaarheid.	principes	BIO Thema Applicatieontwikkeling	Engineeringprincipes beveiligde systemen
Beveiliging is integraal onderdeel van systeemontwikkeling	AppO_B.04.03	Beveiliging is integraal onderdeel van systeemontwikkeling	Norm	1.0	Actueel	1 februari 2019	Beleid	Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.	principes	BIO Thema Applicatieontwikkeling	Engineeringprincipes beveiligde systemen
Ontwikkelaars zijn getraind om veilige software te ontwikkelen	AppO_B.04.04	Ontwikkelaars zijn getraind om veilige software te ontwikkelen	Norm	1.0	Actueel	1 februari 2019	Beleid	Ontwikkelaars zijn getraind om veilige software te ontwikkelen.	principes	BIO Thema Applicatieontwikkeling	Engineeringprincipes beveiligde systemen
Perspectieven bij de Business Impact Analyse	AppO_B.05.01	Perspectieven bij de Business Impact Analyse	Norm	1.0	Actueel	1 februari 2019	Beleid	Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen: de relevante stakeholders (business owners en business- en IT specialisten); de scope van het risk assessment; het profiel van de ‘doelomgeving’; de aanvaardbaarheid van risico’s in de doelomgeving	perspectieven	BIO Thema Applicatieontwikkeling	Business Impact Analyse
Scenario's voor de Business Impact Analyse	AppO_B.05.02	Scenario's voor de Business Impact Analyse	Norm	1.0	Actueel	1 februari 2019	Beleid	De business impact analyse richt zich op verschillende scenario’s met aandacht voor: de hoeveelheid mensen die nadelig beïnvloed worden; de hoeveelheid systemen die out-of-running kan raken; een realistische analyse en een analyse van worst-case situaties.	scenario's	BIO Thema Applicatieontwikkeling	Business Impact Analyse
Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie	AppO_B.05.03	Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie	Norm	1.0	Actueel	1 februari 2019	Beleid	Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van: verlies van orders en contracten en klanten; verlies van tastbare assets; onvoorziene kosten; verlies van management control; concurrentie; late leveringen; verlies van productiviteit; compliance; en reputatie.	BIVC-aspecten	BIO Thema Applicatieontwikkeling	Business Impact Analyse
GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen	AppO_B.06.01	GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen	Norm	1.0	Actueel	1 februari 2019	Beleid	Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.	privacy en bescherming van persoonsgegevens	BIO Thema Applicatieontwikkeling	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten	AppO_B.06.02	procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten	Norm	1.0	Actueel	1 februari 2019	Beleid	Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.	privacy en bescherming van persoonsgegevens	BIO Thema Applicatieontwikkeling	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen	AppO_B.06.03	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen	Norm	1.0	Actueel	1 februari 2019	Beleid	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.	privacy en bescherming van persoonsgegevens	BIO Thema Applicatieontwikkeling	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak	AppO_B.06.04	Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak	Norm	1.0	Actueel	1 februari 2019	Beleid	Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.	privacy en bescherming van persoonsgegevens	BIO Thema Applicatieontwikkeling	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
Risicomanagement aanpak aantoonbaar toegepast	AppO_B.06.05	Risicomanagement aanpak aantoonbaar toegepast	Norm	1.0	Actueel	1 februari 2019	Beleid	De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.	privacy en bescherming van persoonsgegevens	BIO Thema Applicatieontwikkeling	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd	AppO_B.06.06	Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd	Norm	1.0	Actueel	1 februari 2019	Beleid	Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.	wet- en regelgeving	BIO Thema Applicatieontwikkeling	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid	AppO_B.07.01	De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid	Norm	1.0	Actueel	1 februari 2019	Beleid	De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.	ontwikkel en onderhoudsbeleid	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
De doelorganisatie beschikt over QA- en KMS-methodiek	AppO_B.07.02	De doelorganisatie beschikt over QA- en KMS-methodiek	Norm	1.0	Actueel	1 februari 2019	Beleid	De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.	ontwikkel en onderhoudsbeleid	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd	AppO_B.07.03	De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd	Norm	1.0	Actueel	1 februari 2019	Beleid	De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.	kwaliteitsmanagement systeem	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
Voor informatie- en communicatie zijn processen ingericht	AppO_B.07.04	Voor informatie- en communicatie zijn processen ingericht	Norm	1.0	Actueel	1 februari 2019	Beleid	Er zijn informatie- en communicatieprocessen ingericht.	kwaliteitsmanagement systeem	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd	AppO_B.07.05	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd	Norm	1.0	Actueel	1 februari 2019	Beleid	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd	kwaliteitsmanagement systeem	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
Aan het management worden evaluatierapportages verstrekt	AppO_B.07.06	Aan het management worden evaluatierapportages verstrekt	Norm	1.0	Actueel	1 februari 2019	Beleid	Aan het management worden evaluatie rapportages verstrekt.	kwaliteitsmanagement systeem	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS	AppO_B.07.07	applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS	Norm	1.0	Actueel	1 februari 2019	Beleid	De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.	kwaliteitsmanagement systeem	BIO Thema Applicatieontwikkeling	Kwaliteitsmanagement systeem (KMS)
Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen	AppO_B.08.01	Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen	Norm	1.0	Actueel	1 februari 2019	Beleid	Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen: de broncode bibliotheken worden niet in operationele systemen opgeslagen; de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures; ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken; het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs; programma-uitdraaien worden in een beveiligde omgeving bewaard; van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand; onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.	programmabroncode en broncode bibliotheken	BIO Thema Applicatieontwikkeling	Toegangsbeveiliging op programmacode
Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd	AppO_B.08.02	Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd	Norm	1.0	Actueel	1 februari 2019	Beleid	Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).	programmabroncode en broncode bibliotheken	BIO Thema Applicatieontwikkeling	Toegangsbeveiliging op programmacode
Taken van de beveiligingsfunctionaris	AppO_B.09.01	Taken van de beveiligingsfunctionaris	Norm	1.0	Actueel	1 februari 2019	Beleid	De beveiligingsfunctionaris zorgt o.a. voor: de actualisatie van beveiligingsbeleid; afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen; de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; de bespreking van beveiligingsissues met ketenpartijen.	beveiligingsfunctionaris	BIO Thema Applicatieontwikkeling	Projectorganisatie
Inzicht gegeven door de beveiligingsfunctionaris	AppO_B.09.02	Inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat door de beveiligingsfunctionaris	Norm	1.0	Actueel	1 februari 2019	Beleid	De beveiligingsfunctionaris geeft o.a. inzicht in: het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch); specifieke beveiligings- en architectuurvoorschriften; afhankelijkheden tussen informatiesystemen.	beveiligingsvoorschriften	BIO Thema Applicatieontwikkeling	Projectorganisatie
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien	AppO_C.01.01	Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.	richtlijnen	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code	AppO_C.01.02	Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.	richtlijnen	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast	AppO_C.01.03	Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.	richtlijnen	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen	AppO_C.01.04	Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.	richtlijnen	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd	AppO_C.01.05	De Quality Assurance methodiek wordt conform de richtlijnen nageleefd	Norm	1.0	Actueel	1 februari 2019	Control	De QA methodiek wordt conform de richtlijnen nageleefd.	richtlijnen	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen	AppO_C.01.06	Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.	controleactiviteiten en rapportages	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld	AppO_C.01.07	Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld	Norm	1.0	Actueel	1 februari 2019	Control	Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.	ontwikkelactiviteiten	BIO Thema Applicatieontwikkeling	Richtlijnen evaluatie ontwikkelactiviteiten
Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris	AppO_C.02.01	Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris	Norm	1.0	Actueel	1 februari 2019	Control	Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.	procesmatig	BIO Thema Applicatieontwikkeling	Versie Management
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd	AppO_C.02.02	Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd	Norm	1.0	Actueel	1 februari 2019	Control	In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.	procesmatig	BIO Thema Applicatieontwikkeling	Versie Management
Versiemanagement wordt ondersteund met procedures en werkinstructies	AppO_C.02.03	Versiemanagement wordt ondersteund met procedures en werkinstructies	Norm	1.0	Actueel	1 februari 2019	Control	Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.	procesmatig	BIO Thema Applicatieontwikkeling	Versie Management
Ondersteuning vanuit het toegepaste versiebeheertool	AppO_C.02.04	Ondersteuning vanuit het toegepaste versiebeheertool	Norm	1.0	Actueel	1 februari 2019	Control	Een versiebeheertool wordt toegepast die onder andere: het vastleggen van versies van ontwikkelproducten ondersteunt; het vastleggen van versies van programmacode ondersteunt; het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt; toegangsmogelijkheden voor verschillende rollen ondersteunt.	efficiënte wijze	BIO Thema Applicatieontwikkeling	Versie Management
Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt	AppO_C.03.01	Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt	Norm	1.0	Actueel	1 februari 2019	Control	Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.	procesmatig en procedureel	BIO Thema Applicatieontwikkeling	Patchmanagement van externe programmacode
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden	AppO_C.03.02	Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden	Norm	1.0	Actueel	1 februari 2019	Control	De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.	procesmatig en procedureel	BIO Thema Applicatieontwikkeling	Patchmanagement van externe programmacode
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd	AppO_C.03.03	Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd	Norm	1.0	Actueel	1 februari 2019	Control	Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd.	procesmatig en procedureel	BIO Thema Applicatieontwikkeling	Patchmanagement van externe programmacode
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken	AppO_C.03.04	Het beheer van technische kwetsbaarheden in code uit externe bibliotheken	Norm	1.0	Actueel	1 februari 2019	Control	Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.	technische kwetsbaarheden	BIO Thema Applicatieontwikkeling	Patchmanagement van externe programmacode
Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes	AppO_C.03.05	Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes	Norm	1.0	Actueel	1 februari 2019	Control	Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.	technische kwetsbaarheden	BIO Thema Applicatieontwikkeling	Patchmanagement van externe programmacode
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is	AppO_C.03.06	Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is	Norm	1.0	Actueel	1 februari 2019	Control	Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.	tijdig	BIO Thema Applicatieontwikkeling	Patchmanagement van externe programmacode
Software configuratiescomponenten worden conform procedures vastgelegd	AppO_C.04.01	Software configuratiescomponenten worden conform procedures vastgelegd	Norm	1.0	Actueel	1 februari 2019	Control	Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.	configuratie-administratie	BIO Thema Applicatieontwikkeling	(Software) configuratie management
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel	AppO_C.04.02	De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel	Norm	1.0	Actueel	1 februari 2019	Control	De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.	configuratie-administratie	BIO Thema Applicatieontwikkeling	(Software) configuratie management
Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB	AppO_C.04.03	Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB	Norm	1.0	Actueel	1 februari 2019	Control	Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.	configuratie-administratie	BIO Thema Applicatieontwikkeling	(Software) configuratie management
Het compliance management proces is gedocumenteerd en vastgesteld	AppO_C.05.01	Het compliance management proces is gedocumenteerd en vastgesteld	Norm	1.0	Actueel	1 februari 2019	Control	Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management.	compliance management proces	BIO Thema Applicatieontwikkeling	Compliance management
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd	AppO_C.05.02	De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd	Norm	1.0	Actueel	1 februari 2019	Control	Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan: wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties; het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces; het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management; het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.	compliance management proces	BIO Thema Applicatieontwikkeling	Compliance management
De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd	AppO_C.06.01	De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek.	quality assurance proces	BIO Thema Applicatieontwikkeling	Quality assurance
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd	AppO_C.06.02	Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd	Norm	1.0	Actueel	1 februari 2019	Control	Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan: het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software; het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren; het vaststellen of de ontwikkelmethodologie is opgevolgd.	quality assurance proces	BIO Thema Applicatieontwikkeling	Quality assurance
Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken	AppO_C.06.03	Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken	Norm	1.0	Actueel	1 februari 2019	Control	De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.	quality assurance proces	BIO Thema Applicatieontwikkeling	Quality assurance
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd	AppO_C.06.04	Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd	Norm	1.0	Actueel	1 februari 2019	Control	Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd.	quality assurance proces	BIO Thema Applicatieontwikkeling	Quality assurance
Testen bij verandering van besturingssystemen	AppO_C.07.01	Testen bij verandering van besturingssystemen	Norm	1.0	Actueel	1 februari 2019	Control	Bij veranderingen van besturingssystemen wordt onder andere het volgende getest: de toepassingscontrole procedures; het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben; het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie; het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.	verandering van besturingsplatforms	BIO Thema Applicatieontwikkeling	Technische beoordeling van informatiesystemen na wijziging besturingsplatform
De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd	AppO_C.08.01	De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd	Norm	1.0	Actueel	1 februari 2019	Control	De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd.	structuur van de beheersprocessen	BIO Thema Applicatieontwikkeling	Beheersing van software ontwikkeling(sprojecten)
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk	AppO_C.08.02	De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk	Norm	1.0	Actueel	1 februari 2019	Control	De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt.	functionarissen	BIO Thema Applicatieontwikkeling	Beheersing van software ontwikkeling(sprojecten)
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd	AppO_C.08.03	De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd	Norm	1.0	Actueel	1 februari 2019	Control	De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.	taken, verantwoordelijkheden en bevoegdheden	BIO Thema Applicatieontwikkeling	Beheersing van software ontwikkeling(sprojecten)
De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven	AppO_C.08.04	De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven	Norm	1.0	Actueel	1 februari 2019	Control	De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.	taken, verantwoordelijkheden en bevoegdheden	BIO Thema Applicatieontwikkeling	Beheersing van software ontwikkeling(sprojecten)
Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks	AppO_U.01.01	Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.	levenscyclus	BIO Thema Applicatieontwikkeling	Procedures voor wijzigingsbeheer m.b.t. applicaties
Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren	AppO_U.01.02	Medewerkers (programmeurs) krijgen de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen om werkzaamheden te kunnen uitvoeren	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.	levenscyclus	BIO Thema Applicatieontwikkeling	Procedures voor wijzigingsbeheer m.b.t. applicaties
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces	AppO_U.01.03	Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.	formele procedures	BIO Thema Applicatieontwikkeling	Procedures voor wijzigingsbeheer m.b.t. applicaties
Elementen van de procedures voor wijzigingsbeheer	AppO_U.01.04	Elementen van de procedures voor wijzigingsbeheer	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Enkele elementen van de procedures voor wijzigingsbeheer zijn: alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen). het generieke wijzigingsproces heeft aansluiting met functioneel beheer. wijzigingen worden doorgevoerd door bevoegde medewerkers. van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld. uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd. aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.	formele procedures	BIO Thema Applicatieontwikkeling	Procedures voor wijzigingsbeheer m.b.t. applicaties
Beleid ten aanzien van het type software dat mag worden geïnstalleerd	AppO_U.02.01	Beleid ten aanzien van het type software dat mag worden geïnstalleerd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.	regels	BIO Thema Applicatieontwikkeling	Beperkingen voor de installatie van software(richtlijnen)
Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'	AppO_U.02.02	Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.	regels	BIO Thema Applicatieontwikkeling	Beperkingen voor de installatie van software(richtlijnen)
De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars	AppO_U.02.03	De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.	regels	BIO Thema Applicatieontwikkeling	Beperkingen voor de installatie van software(richtlijnen)
De programmacode voor functionele specificaties is reproduceerbaar	AppO_U.03.01	De programmacode voor functionele specificaties is reproduceerbaar	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan: gebruikte tools; gebruikte licenties; versiebeheer; documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.	regels	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
programmacode wordt aantoonbaar veilig gecreëerd	AppO_U.03.02	programmacode wordt aantoonbaar veilig gecreëerd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	(Programma)code wordt aantoonbaar veilig gecreëerd.	regels	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
programmacode is effectief, veranderbaar en testbaar	AppO_U.03.03	programmacode is effectief, veranderbaar en testbaar	Norm	1.0	Actueel	1 februari 2019	Uitvoering	(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan: het juist registreren van code bugs; het voorkomen van herintroductie van code bugs; het binnen 72 uur corrigeren van beveiligingsfixes; het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten); het adequaat documenteren van software-interface, koppelingen en API’s.	regels	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt	AppO_U.03.04	Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.	best practices	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire	AppO_U.03.05	Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.	best practices	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten	AppO_U.03.06	Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.	best practices	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
Gebruik van programmacode uit externe programmabibliotheken	AppO_U.03.07	Gebruik van programmacode uit externe programmabibliotheken	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.	best practices	BIO Thema Applicatieontwikkeling	Richtlijnen voor programmacode (best practices)
Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd	AppO_U.04.01	Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).	functionele eisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiesystemen
Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden	AppO_U.04.02	Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.	functionele eisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiesystemen
Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd	AppO_U.04.03	Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..	functionele eisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiesystemen
Alle vereisten worden gevalideerd door peer review of prototyping	AppO_U.04.04	Alle vereisten worden gevalideerd door peer review of prototyping	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).	functionele eisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiesystemen
Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp	AppO_U.04.05	Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.	functionele eisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiesystemen
Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen	AppO_U.05.01	Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.	beveiligingseisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiebeveiligingseisen
De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005	AppO_U.05.02	De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.	beveiligingseisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiebeveiligingseisen
Informatiebeveiligingseisen	AppO_U.05.03	Informatiebeveiligingseisen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit: beleidsregels, wet en regelgeving; context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen; afspraken met en afhankelijkheden van ketenpartijen.	beveiligingseisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiebeveiligingseisen
Overwogen informatiebeveiligingseisen	AppO_U.05.04	Overwogen informatiebeveiligingseisen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen: authenticatie eisen van gebruikers; toegangsbeveiligingseisen; eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen; eisen afgeleid uit bedrijfsprocessen; eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.	beveiligingseisen	BIO Thema Applicatieontwikkeling	Analyse en specificatie van informatiebeveiligingseisen
Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie	AppO_U.06.01	Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals: gebruikerseisen, beveiligingseisen en kwaliteitseisen; business vereisten, (o.a. nut, noodzaak en kosten); eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan); eisen welke voortvloeien uit BIA en PIA (GEB) analyses.	business vereisten en reviews	BIO Thema Applicatieontwikkeling	Applicatie ontwerp
Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie	AppO_U.06.02	Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten); connecties tussen modules binnen applicatie en connecties met andere applicaties; gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage; uitvoer van informatie naar andere applicaties en beveiliging hiervan; mogelijke transmissie van data tussen applicaties.	omgevingsanalyse	BIO Thema Applicatieontwikkeling	Applicatie ontwerp
Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur	AppO_U.06.03	Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.	(specifieke) beveiliging	BIO Thema Applicatieontwikkeling	Applicatie ontwerp
Bereikcontroles worden toegepast en gegevens worden gevalideerd	AppO_U.07.01	Bereikcontroles worden toegepast en gegevens worden gevalideerd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Bereikcontroles worden toegepast en gegevens worden gevalideerd.	invoerfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Geprogrammeerde controles worden ondersteund	AppO_U.07.02	Geprogrammeerde controles worden ondersteund	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Geprogrammeerde controles worden ondersteund.	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Het uitvoeren van onopzettelijke mutaties wordt tegengegaan	AppO_U.07.03	Het uitvoeren van onopzettelijke mutaties wordt tegengegaan	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het uitvoeren van onopzettelijke mutaties wordt tegengegaan.	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar	AppO_U.07.04	Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar	AppO_U.07.05	Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Opgeleverde en over te dragen gegevens worden gevalideerd	AppO_U.07.06	Opgeleverde en over te dragen gegevens worden gevalideerd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Opgeleverde/over te dragen gegevens worden gevalideerd.	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens	AppO_U.07.07	Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input en op de verwerking en output van gegevens	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd.	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd	AppO_U.07.08	Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.	verwerkingsfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd	AppO_U.07.09	Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.	uitvoerfuncties	BIO Thema Applicatieontwikkeling	Applicatie functionaliteiten
Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld	AppO_U.08.01	Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren: dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd; dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).	(industrie) good practice	BIO Thema Applicatieontwikkeling	Applicatiebouw
Veilige methodes ter voorkoming van veranderingen in basis code of in software packages	AppO_U.08.02	Veilige methodes ter voorkoming van veranderingen in basis code of in software packages	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.	(industrie) good practice	BIO Thema Applicatieontwikkeling	Applicatiebouw
Voor het creëren van programma code wordt gebruik gemaakt van good practices	AppO_U.08.03	Voor het creëren van programma code wordt gebruik gemaakt van good practices	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).	(industrie) good practice	BIO Thema Applicatieontwikkeling	Applicatiebouw
Geen gebruik van onveilig programmatechnieken	AppO_U.08.04	Geen gebruik van onveilig programmatechnieken	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het gebruik van onveilig programmatechnieken is niet toegestaan.	(industrie) good practice	BIO Thema Applicatieontwikkeling	Applicatiebouw
(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen	AppO_U.08.05	(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Programmacode is beschermd tegen ongeautoriseerde wijzigingen.	(industrie) good practice	BIO Thema Applicatieontwikkeling	Applicatiebouw
Activiteiten van applicatiebouw worden gereviewd	AppO_U.08.06	Activiteiten van applicatiebouw worden gereviewd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Activiteiten van applicatiebouw worden gereviewd.	(industrie) good practice	BIO Thema Applicatieontwikkeling	Applicatiebouw
De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren	AppO_U.08.07	De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.	juiste skills/tools	BIO Thema Applicatieontwikkeling	Applicatiebouw
Functionarissen testen functionele requirements	AppO_U.09.01	Functionarissen testen functionele requirements	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).	bedrijfsfunctionaliteiten	BIO Thema Applicatieontwikkeling	Testen van systeembeveiliging
In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek	AppO_U.09.02	In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.	beveiligingsfunctionaliteiten	BIO Thema Applicatieontwikkeling	Testen van systeembeveiliging
Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt	AppO_U.10.01	Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Van de resultaten van de testen wordt een verslag gemaakt	AppO_U.10.02	Van de resultaten van de testen wordt een verslag gemaakt	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Van de resultaten van de testen wordt een verslag gemaakt.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Testresultaten worden formeel geëvalueerd en beoordeeld	AppO_U.10.03	Testresultaten worden formeel geëvalueerd en beoordeeld	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving	AppO_U.10.04	Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving	Norm	1.0	Actueel	1 februari 2019	Uitvoering	(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang	AppO_U.10.05	Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens	AppO_U.10.06	Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken	AppO_U.10.07	Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op: het testen van de functionele requirements. het testen van de business rules voor de betrokken bedrijfsprocessen. de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.	acceptatietests	BIO Thema Applicatieontwikkeling	Systeem acceptatietests
Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen	AppO_U.11.01	Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen: de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen; voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen; besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd; van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.	testgegevens	BIO Thema Applicatieontwikkeling	Beschermen van testgegevens
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging	AppO_U.12.01	Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen	AppO_U.12.02	Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen	AppO_U.12.03	De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
Voor remote werkzaamheden is een werkwijze vastgelegd	AppO_U.12.04	Voor remote werkzaamheden is een werkwijze vastgelegd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Voor remote werkzaamheden is een werkwijze vastgelegd.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
Ontwikkelaars hebben geen toegang tot productieomgeving	AppO_U.12.05	Ontwikkelaars hebben geen toegang tot productieomgeving	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Ontwikkelaars hebben geen toegang tot de Productie-omgeving.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen	AppO_U.12.06	Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats	AppO_U.12.07	De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats	AppO_U.12.08	De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Beveiligde ontwikkel- (en test) omgeving
De overdracht naar de Productieomgeving vindt gecontroleerd plaats	AppO_U.12.09	De overdracht naar de Productieomgeving vindt gecontroleerd plaats	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.	beveiligde ontwikkelomgevingen	BIO Thema Applicatieontwikkeling	Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen	AppO_U.13.01	Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.	koppelingsrichtlijnen	BIO Thema Applicatieontwikkeling	Applicatiekoppelingen
Van het type koppelingen is een overzicht aanwezig	AppO_U.13.02	Van het type koppelingen is een overzicht aanwezig	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Van het type koppelingen is een overzicht aanwezig.	koppelingsrichtlijnen	BIO Thema Applicatieontwikkeling	Applicatiekoppelingen
Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten	AppO_U.13.03	Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.	koppelingsrichtlijnen	BIO Thema Applicatieontwikkeling	Applicatiekoppelingen
De uitgevoerde koppelingen worden geregistreerd	AppO_U.13.04	De uitgevoerde koppelingen worden geregistreerd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De uitgevoerde koppelingen worden geregistreerd.	koppelingsrichtlijnen	BIO Thema Applicatieontwikkeling	Applicatiekoppelingen
Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden	AppO_U.14.01	Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.	logging	BIO Thema Applicatieontwikkeling	Logging en monitoring
Informatie ten aanzien van autorisatie(s) wordt vastgelegd	AppO_U.14.02	InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.	logging	BIO Thema Applicatieontwikkeling	Logging en monitoring
De loggegevens zijn beveiligd	AppO_U.14.03	De loggegevens zijn beveiligd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De loggegevens zijn beveiligd.	logging	BIO Thema Applicatieontwikkeling	Logging en monitoring
De locatie van de vastlegging van de loggegevens is vastgesteld	AppO_U.14.04	De locatie van de vastlegging van de loggegevens is vastgesteld	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De locatie van de vastlegging van de loggegevens is vastgesteld.	logging	BIO Thema Applicatieontwikkeling	Logging en monitoring
De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden	AppO_U.14.05	De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.	monitoring	BIO Thema Applicatieontwikkeling	Logging en monitoring
De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd	AppO_U.14.06	De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.	monitoring	BIO Thema Applicatieontwikkeling	Logging en monitoring
De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld	AppO_U.15.01	De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document: heeft een eigenaar; is voorzien van een datum en versienummer; bevat een documenthistorie (wat is wanneer en door wie aangepast); is actueel, juist en volledig; is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.	applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.	BIO Thema Applicatieontwikkeling	Applicatie architectuur
Het architectuur document wordt actief onderhouden	AppO_U.15.02	Het architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. document wordt actief onderhouden	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het architectuurdocument wordt actief onderhouden.	applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.	BIO Thema Applicatieontwikkeling	Applicatie architectuur
De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast	AppO_U.15.03	De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.	applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.	BIO Thema Applicatieontwikkeling	Applicatie architectuur
Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten	AppO_U.15.04	Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.	samenhang	BIO Thema Applicatieontwikkeling	Applicatie architectuur
Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar	AppO_U.15.05	Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).	samenhang	BIO Thema Applicatieontwikkeling	Applicatie architectuur
De relatie tussen de persoonsgegevens is inzichtelijk	AppO_U.15.06	De relatie tussen de persoonsgegevens is inzichtelijk	Norm	1.0	Actueel	1 februari 2019	Uitvoering	De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk.	samenhang	BIO Thema Applicatieontwikkeling	Applicatie architectuur
Het tool ondersteunt alle fasen van het ontwikkelproces	AppO_U.16.01	Het tool ondersteunt alle fasen van het ontwikkelproces	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.	faciliteiten	BIO Thema Applicatieontwikkeling	Tooling ontwikkelmethode
Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden	AppO_U.16.02	Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.	faciliteiten	BIO Thema Applicatieontwikkeling	Tooling ontwikkelmethode
Het tool beschikt over faciliteiten voor versie- en releasebeheer	AppO_U.16.03	Het tool beschikt over faciliteiten voor versie- en releasebeheer	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het tool beschikt over faciliteiten voor versie- en releasebeheer.	faciliteiten	BIO Thema Applicatieontwikkeling	Tooling ontwikkelmethode
Faciliteiten van het tool	AppO_U.16.04	Faciliteiten van het tool	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het tool beschikt over faciliteiten voor: het registreren van eisen en wensen; het afhandelen van fouten; het beveiligen van registraties (programmacode); het continu integreren van componenten; het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.	faciliteiten	BIO Thema Applicatieontwikkeling	Tooling ontwikkelmethode
Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen	AppO_U.16.05	Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen	Norm	1.0	Actueel	1 februari 2019	Uitvoering	Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen.	faciliteiten	BIO Thema Applicatieontwikkeling	Tooling ontwikkelmethode
Informeren welke wet- en regelgeving van toepassing is op clouddiensten	Cloud_B.01.01	Informeren welke wet- en regelgeving van toepassing is op clouddiensten	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.	wettelijke, statutaire en regelgevende eisen	BIO Thema Clouddiensten	Wet- en regelgeving
Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens	Cloud_B.01.02	Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens	Norm	1.0		26 februari 2020	Beleid	De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.	wettelijke, statutaire en regelgevende eisen	BIO Thema Clouddiensten	Wet- en regelgeving
Identificeren vereisten die van toepassing zijn	Cloud_B.01.03	Identificeren vereisten die van toepassing zijn	Norm	1.0		26 februari 2020	Beleid	De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.	wettelijke, statutaire en regelgevende eisen	BIO Thema Clouddiensten	Wet- en regelgeving
Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten	Cloud_B.01.04	Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.	wettelijke, statutaire en regelgevende eisen	BIO Thema Clouddiensten	Wet- en regelgeving
Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen	Cloud_B.01.05	Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen	Norm	1.0	Actueel	26 februari 2020	Beleid	Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.	contractuele eisen	BIO Thema Clouddiensten	Wet- en regelgeving
Vaststellen alle van toepassing zijnde wet- en regelgeving	Cloud_B.01.06	Vaststellen alle van toepassing zijnde wet- en regelgeving	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.	aanpak	BIO Thema Clouddiensten	Wet- en regelgeving
Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt	Cloud_B.02.01	Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt	Norm	1.0	Actueel	26 februari 2020	Beleid	De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven: een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement; hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.	cloudbeveiligingsstrategie	BIO Thema Clouddiensten	Cloudbeveiligingsstrategie
Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext	Cloud_B.02.02	Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext	Norm	1.0	Actueel	26 februari 2020	Beleid	De cloudbeveiligingsstrategie van de CSP: geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt; besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.	cloudbeveiligingsstrategie	BIO Thema Clouddiensten	Cloudbeveiligingsstrategie
Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen	Cloud_B.02.03	Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen	Norm	1.0	Actueel	26 februari 2020	Beleid	De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven: in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC; hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP; dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.	samenhangt	BIO Thema Clouddiensten	Cloudbeveiligingsstrategie
Vastleggen bepalingen over exit-regeling	Cloud_B.03.01	Vastleggen bepalingen over exit-regeling	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals: de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities); de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd; de opzegtermijn geeft voldoende tijd om te kunnen migreren; data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden; door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd; de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.	bepalingen	BIO Thema Clouddiensten	Exit-strategie
Overgaan tot exit buiten verstrijken contractperiode	Cloud_B.03.02	Overgaan tot exit buiten verstrijken contractperiode	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan: de contracten: niet beschikbaarheid zijn van afgesproken performance; eenzijdige wijziging door de CSP van het SLA; prijsverhoging. de geleverde prestatie/ondersteuning: onvoldoende compensatie voor storingen; niet leveren van de afgesproken beschikbaarheid of performance; gebrekkige support en/of ondersteuning. clouddienst(en): nieuwe eigenaar of nieuwe strategie; end-of life van de clouddienst(en); achterwege blijvende features.	condities	BIO Thema Clouddiensten	Exit-strategie
Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid	Cloud_B.04.01	Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid	Norm	1.0	Actueel	26 februari 2020	Beleid	Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals: Organische georiënteerde maatregelen: informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices; communicatie met CSC in relatie tot en tijdens wijzigingen; communicatie van beveiligingsinbreuken en het delen van informatie; richtlijnen voor de ondersteuning van (forensische) onderzoeken; compliancy maatregelen ten aanzien van wet- en regelgeving. Technisch georiënteerde maatregelen: multi-tenancy en isolatie van CSC; toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices; toegang tot en protectie van data van de CSC; lifecycle-management van CSC-accounts; risico’s gerelateerd aan niet geautoriseerde insiders; virtualisatie beveiliging; beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.	cloudbeveiligingsbeleid	BIO Thema Clouddiensten	Clouddienstenbeleid
Bevatten diverse aspecten in systeembeschrijving	Cloud_B.05.01	Bevatten diverse aspecten in systeembeschrijving	Norm	1.0	Actueel	26 februari 2020	Beleid	De systeembeschrijving bevat de volgende aspecten: type en scope van de clouddiensten weergegeven op basis van Service Level Agreements; principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven; beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten; hoe met beveiligingsincidenten wordt omgegaan; rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken; (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.	systeembeschrijving	BIO Thema Clouddiensten	Transparantie
SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie	Cloud_B.05.02	SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie	Norm	1.0	Actueel	26 februari 2020	Beleid	De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.	jurisdictie	BIO Thema Clouddiensten	Transparantie
SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden	Cloud_B.05.03	SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden	Norm	1.0	Actueel	26 februari 2020	Beleid	De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.	onderzoeksmogelijkheden	BIO Thema Clouddiensten	Transparantie
SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten	Cloud_B.05.04	SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten	Norm	1.0	Actueel	26 februari 2020	Beleid	De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.	certificaten	BIO Thema Clouddiensten	Transparantie
Hebben CSP-verantwoordelijkheden	Cloud_B.06.01	Hebben CSP-verantwoordelijkheden	Norm	1.0	Actueel	26 februari 2020	Beleid	De verantwoordelijkheden van de CSP zijn onder andere: het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP; het identificeren van analyses van de stakeholders; het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen; het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.	verantwoordelijkheden	BIO Thema Clouddiensten	Risicomanagement
Goedkeuren organisatie van risicomanagementproces	Cloud_B.06.02	Goedkeuren organisatie van risicomanagementproces	Norm	1.0	Actueel	26 februari 2020	Beleid	De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.	verantwoordelijkheden	BIO Thema Clouddiensten	Risicomanagement
Beschrijven risicomanagementproces	Cloud_B.06.03	Beschrijven risicomanagementproces	Norm	1.0	Actueel	26 februari 2020	Beleid	Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.	risicomanagementproces	BIO Thema Clouddiensten	Risicomanagement
Treffen maatregelen voor beveiliging IT-functionaliteiten	Cloud_B.07.01	Treffen maatregelen voor beveiliging IT-functionaliteiten	Norm	1.0	Actueel	26 februari 2020	Beleid	Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.	IT-functionaliteiten	BIO Thema Clouddiensten	IT-functionaliteiten
Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur	Cloud_B.07.02	Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur	Norm	1.0	Actueel	26 februari 2020	Beleid	Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.	IT-functionaliteiten	BIO Thema Clouddiensten	IT-functionaliteiten
Bewaken en beheersen IT-infrastructuur	Cloud_B.07.03	Bewaken en beheersen IT-infrastructuur	Norm	1.0	Actueel	26 februari 2020	Beleid	De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.	IT-functionaliteiten	BIO Thema Clouddiensten	IT-functionaliteiten
Inrichten infrastructuur met betrouwbare hardware- en software-componenten	Cloud_B.07.04	Inrichten infrastructuur met betrouwbare hardware- en software-componenten	Norm	1.0	Actueel	26 februari 2020	Beleid	De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.	robuuste en beveiligde systeemketen	BIO Thema Clouddiensten	IT-functionaliteiten
Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen	Cloud_B.07.05	Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen	Norm	1.0	Actueel	26 februari 2020	Beleid	Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.	robuuste en beveiligde systeemketen	BIO Thema Clouddiensten	IT-functionaliteiten
Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden	Cloud_B.08.01	Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.	verantwoordelijkheid voor BCM	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Zeker stellen adequate resources voor uitvoeren van BCM-proces	Cloud_B.08.02	Zeker stellen adequate resources voor uitvoeren van BCM-proces	Norm	1.0	Actueel	26 februari 2020	Beleid	De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.	verantwoordelijkheid voor BCM	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Committeren aan vastgestelde BCM-vereisten	Cloud_B.08.03	Committeren aan vastgestelde BCM-vereisten	Norm	1.0	Actueel	26 februari 2020	Beleid	Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten.	verantwoordelijkheid voor BCM	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Vaststellen en communiceren BCM- en BIA-beleid	Cloud_B.08.04	Vaststellen en communiceren BCM- en BIA-beleid	Norm	1.0	Actueel	26 februari 2020	Beleid	Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.	verantwoordelijkheid voor BCM	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices	Cloud_B.08.05	Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices	Norm	1.0	Actueel	26 februari 2020	Beleid	Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan: beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s); identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services; identificaties van afhankelijkheden, processen, en business partners en derde partijen; consequenties van verstoringen; schattingen van vereiste resources voor herstel.	beleid en procedures	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit	Cloud_B.08.06	Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan: definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden; toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen; toewijzen van een verantwoordelijke voor review, update en goedkeuring; definiëren van communicatiekanalen; herstelprocedures; methode voor het implementeren van het BCM-plan; continu verbeteringsproces van het BCM-plan; relaties met beveiligingsincidenten.	bedrijfscontinuïteitsplanning	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen	Cloud_B.08.07	Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen	Norm	1.0	Actueel	26 februari 2020	Beleid	De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.	verificatie en updaten	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen	Cloud_B.08.08	Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen	Norm	1.0	Actueel	26 februari 2020	Beleid	Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.	verificatie en updaten	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen	Cloud_B.08.09	Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen	Norm	1.0	Actueel	26 februari 2020	Beleid	De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.	computercentra	BIO Thema Clouddiensten	Bedrijfscontinuïteitsmanagement
Treffen maatregelen voor opslag, verwerking en transport van data	Cloud_B.09.01	Treffen maatregelen voor opslag, verwerking en transport van data	Norm	1.0	Actueel	26 februari 2020	Beleid	Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.	beveiligingsaspecten en stadia	BIO Thema Clouddiensten	Data en privacy
Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie	Cloud_B.09.02	Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie	Norm	1.0	Actueel	26 februari 2020	Beleid	Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.	toegang en privacy	BIO Thema Clouddiensten	Data en privacy
Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt	Cloud_B.09.03	Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt	Norm	1.0	Actueel	26 februari 2020	Beleid	Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.	classificatie/labelen	BIO Thema Clouddiensten	Data en privacy
Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken	Cloud_B.09.04	Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken	Norm	1.0	Actueel	26 februari 2020	Beleid	Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.	classificatie/labelen	BIO Thema Clouddiensten	Data en privacy
Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten	Cloud_B.09.05	Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.	classificatie/labelen	BIO Thema Clouddiensten	Data en privacy
Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten	Cloud_B.09.06	Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten	Norm	1.0	Actueel	26 februari 2020	Beleid	Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.	eigenaarschap	BIO Thema Clouddiensten	Data en privacy
Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst	Cloud_B.09.07	Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst	Norm	1.0	Actueel	26 februari 2020	Beleid	In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.	eigenaarschap	BIO Thema Clouddiensten	Data en privacy
Specificeren en documenteren opslag op welke locatie data	Cloud_B.09.08	Specificeren en documenteren opslag op welke locatie data	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.	locatie	BIO Thema Clouddiensten	Data en privacy
Bewerkstelligen en promoten cloudbeveiligingsbeleid	Cloud_B.10.01	Bewerkstelligen en promoten cloudbeveiligingsbeleid	Norm	1.0	Actueel	26 februari 2020	Beleid	De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door: het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid; het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen; het definiëren van een set beveiligingsdiensten; het coördineren van beveiliging door de gehele organisatie; het monitoren van de effectiviteit van de clouddienstreglementen; het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.	beveiligingsfunctie	BIO Thema Clouddiensten	Beveiligingsorganisatie
Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen	Cloud_B.10.02	Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen	Norm	1.0	Concept	26 februari 2020	Beleid	De beveiligingsfunctie voorziet in proactieve ondersteuning van: cloudrisico-assessment-activiteiten; classificeren van informatie en systemen; gebruik van encryptie; beveiliging van gerelateerde projecten; ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.	beveiligingsfunctie	BIO Thema Clouddiensten	Beveiligingsorganisatie
Geven positie van informatiebeveiligingsorganisatie binnen organisatie	Cloud_B.10.03	Geven positie van informatiebeveiligingsorganisatie binnen organisatie	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.	organisatorische positie	BIO Thema Clouddiensten	Beveiligingsorganisatie
Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging	Cloud_B.10.04	Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.	Norm	1.0	Actueel	26 februari 2020	Beleid	De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.	taken, verantwoordelijkheden en bevoegdheden	BIO Thema Clouddiensten	Beveiligingsorganisatie
Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix	Cloud_B.10.05	Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix	Norm	1.0	Actueel	26 februari 2020	Beleid	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.	taken, verantwoordelijkheden en bevoegdheden	BIO Thema Clouddiensten	Beveiligingsorganisatie
Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken	Cloud_B.10.06	Benoemen functionarissen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en onderlinge relaties inzichtelijk maken	Norm	1.0	Actueel	26 februari 2020	Beleid	De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.	functionarissen	BIO Thema Clouddiensten	Beveiligingsorganisatie
Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen	Cloud_B.10.07	Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen	Norm	1.0	Actueel	26 februari 2020	Beleid	De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.	rapportagelijnen	BIO Thema Clouddiensten	Beveiligingsorganisatie
Vaststellen type, frequentie en eisen voor inhoudelijke rapportages	Cloud_B.10.08	Vaststellen type, frequentie en eisen voor inhoudelijke rapportages	Norm	1.0	Actueel	26 februari 2020	Beleid	Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.	rapportagelijnen	BIO Thema Clouddiensten	Beveiligingsorganisatie
… overige resultaten

Alle normen alle eigenschappen

Normen alle eigenschappen

Navigatiemenu

Zoeken