Alle normen alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle Normen uit de NORANederlandse Overheid ReferentieArchitectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid ReferentieArchitectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid ReferentieArchitectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Normen alle eigenschappen

De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'

Norm ID Titel Kent element met zelfde titel Elementtype Is subnorm Versieaanduiding Gebruik in Nederlandse publieke sector Status actualiteit Practice Redactionele wijzigingsdatum Toelichting Beveiligingsaspect Stelling Conformiteitsindicator Invalshoek Heeft bron Heeft ouder Realiseert
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling AppO_B.01.01 De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. regels BIO thema Applicatieontwikkeling Beleid voor (beveiligd) ontwikkelen
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling AppO_B.01.02 Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling Norm 1.0 Actueel 1 februari 2019 Beleid De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. regels BIO thema Applicatieontwikkeling Beleid voor (beveiligd) ontwikkelen
Overwegingen bij het beleid voor beveiligd ontwikkelen van software AppO_B.01.03 Overwegingen bij het beleid voor beveiligd ontwikkelen van software Norm 1.0 Actueel 1 februari 2019 Beleid In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
 regels BIO thema Applicatieontwikkeling Beleid voor (beveiligd) ontwikkelen
Technieken voor beveiligd programmeren AppO_B.01.04 Technieken voor beveiligd programmeren Norm 1.0 Actueel 1 februari 2019 Beleid Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. regels BIO thema Applicatieontwikkeling Beleid voor (beveiligd) ontwikkelen
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie AppO_B.02.01 Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). systeem ontwikkelmethodes BIO thema Applicatieontwikkeling Systeem ontwikkelmethode
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen AppO_B.02.02 Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. systeem ontwikkelmethodes BIO thema Applicatieontwikkeling Systeem ontwikkelmethode
Adoptie van ontwikkelmethodologie wordt gemonitord AppO_B.02.03 Adoptie van ontwikkelmethodologie wordt gemonitord Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Adoptie van ontwikkelmethodologie wordt gemonitord. systeem ontwikkelmethodes BIO thema Applicatieontwikkeling Systeem ontwikkelmethode
Software wordt ontwikkelen conform standaarden en procedures AppO_B.02.04 Software wordt ontwikkelen conform standaarden en procedures Norm 1.0 Actueel 1 februari 2019 Beleid Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
 standaarden/procedures BIO thema Applicatieontwikkeling Systeem ontwikkelmethode
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten AppO_B.02.05 De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
 beleid en wet en regelgeving BIO thema Applicatieontwikkeling Systeem ontwikkelmethode
Het softwareontwikkeling wordt projectmatig aangepakt AppO_B.02.06 Het softwareontwikkeling wordt projectmatig aangepakt Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
 projectmatig BIO thema Applicatieontwikkeling Systeem ontwikkelmethode
Dataclassificatie' als uitgangspunt voor softwareontwikkeling AppO_B.03.01 Dataclassificatie' als uitgangspunt voor softwareontwikkeling Norm 1.0 Actueel 1 februari 2019 Beleid De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. informatie BIO thema Applicatieontwikkeling Classificatie van Informatie
Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd AppO_B.03.02 InformatieBetekenisvolle gegevens. in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd Norm 1.0 Actueel 1 februari 2019 Beleid In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. informatie BIO thema Applicatieontwikkeling Classificatie van Informatie
Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema AppO_B.03.03 Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema Norm 1.0 Actueel 1 februari 2019 Beleid Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. informatie BIO thema Applicatieontwikkeling Classificatie van Informatie
Verplichtingen uit wet en regelgeving en organisatorische en technische requirements AppO_B.03.04 Verplichtingen uit wet en regelgeving en organisatorische en technische requirements Norm 1.0 Actueel 1 februari 2019 Beleid In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. wettelijke eisen, waarde, belang, gevoeligheid BIO thema Applicatieontwikkeling Classificatie van Informatie
Security by Design als uitgangspunt voor softwareontwikkeling AppO_B.04.01 Security by Design als uitgangspunt voor softwareontwikkeling Norm 1.0 Actueel 1 februari 2019 Beleid De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. principes BIO thema Applicatieontwikkeling Engineeringprincipes beveiligde systemen
Principes voor het beveiligen van informatiesystemen AppO_B.04.02 Principes voor het beveiligen van informatiesystemen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
 principes BIO thema Applicatieontwikkeling Engineeringprincipes beveiligde systemen
Beveiliging is integraal onderdeel van systeemontwikkeling AppO_B.04.03 Beveiliging is integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van systeemontwikkeling Norm 1.0 Actueel 1 februari 2019 Beleid Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld. principes BIO thema Applicatieontwikkeling Engineeringprincipes beveiligde systemen
Ontwikkelaars zijn getraind om veilige software te ontwikkelen AppO_B.04.04 Ontwikkelaars zijn getraind om veilige software te ontwikkelen Norm 1.0 Actueel 1 februari 2019 Beleid Ontwikkelaars zijn getraind om veilige software te ontwikkelen. principes BIO thema Applicatieontwikkeling Engineeringprincipes beveiligde systemen
Perspectieven bij de Business Impact Analyse AppO_B.05.01 Perspectieven bij de Business Impact Analyse Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
 perspectieven BIO thema Applicatieontwikkeling Business Impact Analyse
Scenario's voor de Business Impact Analyse AppO_B.05.02 Scenario's voor de Business Impact Analyse Norm 1.0 Actueel 1 februari 2019 Beleid De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
 scenario's BIO thema Applicatieontwikkeling Business Impact Analyse
Vaststelling op welke wijze eventueel compromitteren invloed heeft op de financiën van de organisatie AppO_B.05.03 Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie Norm 1.0 Actueel 1 februari 2019 Beleid Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
 BIVC-aspecten BIO thema Applicatieontwikkeling Business Impact Analyse
GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen AppO_B.06.01 GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. privacy en bescherming van persoonsgegevens BIO thema Applicatieontwikkeling Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)
Procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten AppO_B.06.02 procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. privacy en bescherming van persoonsgegevens BIO thema Applicatieontwikkeling Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)
Een tot standaard verheven GEB-toetsmodel wordt toegepast AppO_B.06.03 Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. privacy en bescherming van persoonsgegevens BIO thema Applicatieontwikkeling Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)
Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak AppO_B.06.04 Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak Norm 1.0 Actueel 1 februari 2019 Beleid Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. privacy en bescherming van persoonsgegevens BIO thema Applicatieontwikkeling Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)
Risicomanagement aanpak aantoonbaar toegepast AppO_B.06.05 Risicomanagement aanpak aantoonbaar toegepast Norm 1.0 Actueel 1 februari 2019 Beleid De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. privacy en bescherming van persoonsgegevens BIO thema Applicatieontwikkeling Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)
Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd AppO_B.06.06 Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd Norm 1.0 Actueel 1 februari 2019 Beleid Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. wet- en regelgeving BIO thema Applicatieontwikkeling Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)
De doelorganisatie beschikt over een ontwikkel & onderhoudsbeleid AppO_B.07.01 De doelorganisatie beschikt over een ontwikkel & onderhoudsbeleid Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. ontwikkel en onderhoudsbeleid BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
De doelorganisatie beschikt over QA methodiek en QSM methodiek AppO_B.07.02 De doelorganisatie beschikt over QA methodiek en KMS methodiek Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. ontwikkel en onderhoudsbeleid BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd AppO_B.07.03 De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd Norm 1.0 Actueel 1 februari 2019 Beleid De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. kwaliteitsmanagement systeem BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
Voor informatie- en communicatie zijn processen ingericht AppO_B.07.04 Voor informatie- en communicatie zijn processen ingericht Norm 1.0 Actueel 1 februari 2019 Beleid Er zijn informatie- en communicatieprocessen ingericht. kwaliteitsmanagement systeem BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd AppO_B.07.05 Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd Norm 1.0 Actueel 1 februari 2019 Beleid Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd kwaliteitsmanagement systeem BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
Aan het management worden evaluatierapportages worden verstrekt AppO_B.07.06 Aan het management worden evaluatierapportages worden verstrekt Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Aan het management worden evaluatie rapportages verstrekt. kwaliteitsmanagement systeem BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
Applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS AppO_B.07.07 applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS Norm 1.0 Actueel 1 februari 2019 Beleid De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. kwaliteitsmanagement systeem BIO thema Applicatieontwikkeling Kwaliteitsmanagement systeem
Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen AppO_B.08.01 Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
  1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
  2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
  3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
  4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
  5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
  6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
  7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
 programmabroncode en broncode bibliotheken BIO thema Applicatieontwikkeling Toegangsbeveiliging op programmacode
Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd AppO_B.08.02 Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd Norm 1.0 Actueel 1 februari 2019 Beleid Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). programmabroncode en broncode bibliotheken BIO thema Applicatieontwikkeling Toegangsbeveiliging op programmacode
Taken van de beveiligingsfunctionaris AppO_B.09.01 Taken van de beveiligingsfunctionaris Nee Norm onwaar 1.0 Actueel 1 februari 2019 Beleid De beveiligingsfunctionaris zorgt o.a. voor:
  • de actualisatie van beveiligingsbeleid;
  • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
  • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  • de bespreking van beveiligingsissues met ketenpartijen
 beveiligingsfunctionaris BIO thema Applicatieontwikkeling Projectorganisatie
Inzicht gegeven door de beveiligingsfunctionaris AppO_B.09.02 Inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat door de beveiligingsfunctionaris Norm 1.0 Actueel 1 februari 2019 Beleid De beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
 beveiligingsvoorschriften BIO thema Applicatieontwikkeling Projectorganisatie
Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien AppO_C.01.01 Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien Nee Norm onwaar 1.0 Actueel 1 februari 2019 Control De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. richtlijnen BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code AppO_C.01.02 Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code Norm 1.0 Actueel 1 februari 2019 Control De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. richtlijnen BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast AppO_C.01.03 Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast Nee Norm onwaar 1.0 Actueel 1 februari 2019 Control De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. richtlijnen BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen AppO_C.01.04 Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen Norm 1.0 Actueel 1 februari 2019 Control De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. richtlijnen BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
De Quality Assurance methodiek wordt conform de richtlijnen nageleefd AppO_C.01.05 De Quality Assurance methodiek wordt conform de richtlijnen nageleefd Norm 1.0 Actueel 1 februari 2019 Control De QA methodiek wordt conform de richtlijnen nageleefd. richtlijnen BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen AppO_C.01.06 Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen Norm 1.0 Actueel 1 februari 2019 Control De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. controleactiviteiten en rapportages BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld AppO_C.01.07 Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld Norm 1.0 Actueel 1 februari 2019 Control Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. ontwikkelactiviteiten BIO thema Applicatieontwikkeling Richtlijnen evaluatie ontwikkelactiviteiten
Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris AppO_C.02.01 Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris Norm 1.0 Actueel 1 februari 2019 Control Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. procesmatig BIO thema Applicatieontwikkeling Versie Management
Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd AppO_C.02.02 Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd Norm 1.0 Actueel 1 februari 2019 Control In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. procesmatig BIO thema Applicatieontwikkeling Versie Management
Versiemanagement wordt ondersteund met procedures en werkinstructies AppO_C.02.03 Versiemanagement wordt ondersteund met procedures en werkinstructies Norm 1.0 Actueel 1 februari 2019 Control Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. procesmatig BIO thema Applicatieontwikkeling Versie Management
Ondersteuning vanuit het toegepaste versiebeheertool AppO_C.02.04 Ondersteuning vanuit het toegepaste versiebeheertool Norm 1.0 Actueel 1 februari 2019 Control Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
 efficiënte wijze BIO thema Applicatieontwikkeling Versie Management
Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt AppO_C.03.01 Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt Norm 1.0 Actueel 1 februari 2019 Control Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. procesmatig en procedureel BIO thema Applicatieontwikkeling Patchmanagement van externe programmacode
Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden AppO_C.03.02 Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden Norm 1.0 Actueel 1 februari 2019 Control De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. procesmatig en procedureel BIO thema Applicatieontwikkeling Patchmanagement van externe programmacode
Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd AppO_C.03.03 Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd Norm 1.0 Actueel 1 februari 2019 Control Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. procesmatig en procedureel BIO thema Applicatieontwikkeling Patchmanagement van externe programmacode
Het beheer van technische kwetsbaarheden in code uit externe bibliotheken AppO_C.03.04 Het beheer van technische kwetsbaarheden in code uit externe bibliotheken Norm 1.0 Actueel 1 februari 2019 Control Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. technische kwetsbaarheden BIO thema Applicatieontwikkeling Patchmanagement van externe programmacode
Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes AppO_C.03.05 Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes Norm 1.0 Actueel 1 februari 2019 Control Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. technische kwetsbaarheden BIO thema Applicatieontwikkeling Patchmanagement van externe programmacode
Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is AppO_C.03.06 Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is Norm 1.0 Actueel 1 februari 2019 Control Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. tijdig BIO thema Applicatieontwikkeling Patchmanagement van externe programmacode
Software configuratiescomponenten worden conform procedures vastgelegd AppO_C.04.01 Software configuratiescomponenten worden conform procedures vastgelegd Norm 1.0 Actueel 1 februari 2019 Control Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. configuratie-administratie BIO thema Applicatieontwikkeling (Software) configuratie management
De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel AppO_C.04.02 De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel Norm 1.0 Actueel 1 februari 2019 Control De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. configuratie-administratie BIO thema Applicatieontwikkeling (Software) configuratie management
Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB AppO_C.04.03 Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB Norm 1.0 Actueel 1 februari 2019 Control Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. configuratie-administratie BIO thema Applicatieontwikkeling (Software) configuratie management
Het compliance management proces is gedocumenteerd en vastgesteld AppO_C.05.01 Het compliance management proces is gedocumenteerd en vastgesteld Norm 1.0 Actueel 1 februari 2019 Control Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. compliance management proces BIO thema Applicatieontwikkeling Compliance management
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd AppO_C.05.02 De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd Nee Norm onwaar 1.0 Actueel 1 februari 2019 Control Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
 compliance management proces BIO thema Applicatieontwikkeling Compliance management
De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd AppO_C.06.01 De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd Norm 1.0 Actueel 1 februari 2019 Control De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. quality assurance proces BIO thema Applicatieontwikkeling Quality assurance
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd AppO_C.06.02 Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd Nee Norm onwaar 1.0 Actueel 1 februari 2019 Control Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
 quality assurance proces BIO thema Applicatieontwikkeling Quality assurance
Rapportage van de resultaten uit QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken AppO_C.06.03 Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken Norm 1.0 Actueel 1 februari 2019 Control De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. quality assurance proces BIO thema Applicatieontwikkeling Quality assurance
Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd AppO_C.06.04 Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd Norm 1.0 Actueel 1 februari 2019 Control Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. quality assurance proces BIO thema Applicatieontwikkeling Quality assurance
Testen bij verandering van besturingssystemen AppO_C.07.01 Testen bij verandering van besturingssystemen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Control Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
  1. de toepassingscontrole procedures;
  2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
  3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
  4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
 verandering van besturingsplatforms BIO thema Applicatieontwikkeling Technische beoordeling van informatiesystemen na wijziging besturingsplatform
De samenhang van de beheerprocessen wordt door middel van een processtructuur vastgelegd AppO_C.08.01 De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd Nee Norm onwaar 1.0 Actueel 1 februari 2019 Control De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. structuur van de beheersprocessen BIO thema Applicatieontwikkeling Beheersing van software ontwikkeling(sprojecten)
De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk AppO_C.08.02 De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk Norm 1.0 Actueel 1 februari 2019 Control De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. functionarissen BIO thema Applicatieontwikkeling Beheersing van software ontwikkeling(sprojecten)
De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd AppO_C.08.03 De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd Norm 1.0 Actueel 1 februari 2019 Control De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. taken, verantwoordelijkheden en bevoegdheden BIO thema Applicatieontwikkeling Beheersing van software ontwikkeling(sprojecten)
De taken verantwoordelijkheden en bevoegdheden voor evaluatie- en beheerwerkzaamheden zijn beschreven AppO_C.08.04 De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven Norm 1.0 Actueel 1 februari 2019 Control De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. taken, verantwoordelijkheden en bevoegdheden BIO thema Applicatieontwikkeling Beheersing van software ontwikkeling(sprojecten)
Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks AppO_U.01.01 Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks Norm 1.0 Actueel 1 februari 2019 Uitvoering Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. levenscyclus BIO thema Applicatieontwikkeling Procedures voor wijzigingsbeheer m.b.t. applicaties
Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren AppO_U.01.02 Medewerkers (programmeurs) krijgen de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen om werkzaamheden te kunnen uitvoeren Norm 1.0 Actueel 1 februari 2019 Uitvoering Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. levenscyclus BIO thema Applicatieontwikkeling Procedures voor wijzigingsbeheer m.b.t. applicaties
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces AppO_U.01.03 Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. formele procedures BIO thema Applicatieontwikkeling Procedures voor wijzigingsbeheer m.b.t. applicaties
Elementen van de procedures voor wijzigingsbeheer AppO_U.01.04 Elementen van de procedures voor wijzigingsbeheer Norm 1.0 Actueel 1 februari 2019 Uitvoering Enkele elementen van de procedures voor wijzigingsbeheer zijn:
  1. alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  2. het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  3. wijzigingen worden doorgevoerd door bevoegde medewerkers.
  4. van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  5. uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  6. aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
 formele procedures BIO thema Applicatieontwikkeling Procedures voor wijzigingsbeheer m.b.t. applicaties
Beleid ten aanzien van het type software dat mag worden geïnstalleerd AppO_U.02.01 Beleid ten aanzien van het type software dat mag worden geïnstalleerd Norm 1.0 Actueel 1 februari 2019 Uitvoering De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. regels BIO thema Applicatieontwikkeling Beperkingen voor de installatie van software(richtlijnen)
Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' AppO_U.02.02 Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' Norm 1.0 Actueel 1 februari 2019 Uitvoering Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. regels BIO thema Applicatieontwikkeling Beperkingen voor de installatie van software(richtlijnen)
De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars AppO_U.02.03 De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars Norm 1.0 Actueel 1 februari 2019 Uitvoering De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. regels BIO thema Applicatieontwikkeling Beperkingen voor de installatie van software(richtlijnen)
De programmacode voor functionele specificaties is reproduceerbaar AppO_U.03.01 De programmacode voor functionele specificaties is reproduceerbaar Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
 regels BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Programmacode wordt aantoonbaar veilig gecreëerd AppO_U.03.02 programmacode wordt aantoonbaar veilig gecreëerd Norm 1.0 Actueel 1 februari 2019 Uitvoering (Programma)code wordt aantoonbaar veilig gecreëerd. regels BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Programmacode is effectief - veranderbaar en testbaar AppO_U.03.03 programmacode is effectief, veranderbaar en testbaar Norm 1.0 Actueel 1 februari 2019 Uitvoering (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
 regels BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Over het gebruik van vocabulaire - applicatieframework en toolkits zijn afspraken gemaakt AppO_U.03.04 Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt Norm 1.0 Actueel 1 februari 2019 Uitvoering Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. best practices BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire AppO_U.03.05 Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire Norm 1.0 Actueel 1 februari 2019 Uitvoering Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. best practices BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten AppO_U.03.06 Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten Norm 1.0 Actueel 1 februari 2019 Uitvoering Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. best practices BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Gebruik van programmacode uit externe programmabibliotheken AppO_U.03.07 Gebruik van programmacode uit externe programmabibliotheken Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. best practices BIO thema Applicatieontwikkeling Richtlijnen voor programmacode (best practices)
Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in het FO vastgelegd AppO_U.04.01 Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). functionele eisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiesystemen
Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden AppO_U.04.02 Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. functionele eisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiesystemen
Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd AppO_U.04.03 Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. functionele eisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiesystemen
Alle vereisten worden gevalideerd door peer review of prototyping AppO_U.04.04 Alle vereisten worden gevalideerd door peer review of prototyping Norm 1.0 Actueel 1 februari 2019 Uitvoering Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). functionele eisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiesystemen
Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp AppO_U.04.05 Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp Norm 1.0 Actueel 1 februari 2019 Uitvoering Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. functionele eisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiesystemen
Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen AppO_U.05.01 Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen Norm 1.0 Actueel 1 februari 2019 Uitvoering Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. beveiligingseisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiebeveiligingseisen
De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 AppO_U.05.02 De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 Norm 1.0 Actueel 1 februari 2019 Uitvoering De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. beveiligingseisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiebeveiligingseisen
Informatiebeveiligingseisen AppO_U.05.03 Informatiebeveiligingseisen Norm 1.0 Actueel 1 februari 2019 Uitvoering Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
 beveiligingseisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiebeveiligingseisen
Overwogen informatiebeveiligingseisen AppO_U.05.04 Overwogen informatiebeveiligingseisen Norm 1.0 Actueel 1 februari 2019 Uitvoering Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
 beveiligingseisen BIO thema Applicatieontwikkeling Analyse en specificatie van informatiebeveiligingseisen
Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie AppO_U.06.01 Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie Norm 1.0 Actueel 1 februari 2019 Uitvoering Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
 business vereisten en reviews BIO thema Applicatieontwikkeling Applicatie ontwerp
Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie AppO_U.06.02 Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie Norm 1.0 Actueel 1 februari 2019 Uitvoering Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
 omgevingsanalyse BIO thema Applicatieontwikkeling Applicatie ontwerp
Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur AppO_U.06.03 Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur Norm 1.0 Actueel 1 februari 2019 Uitvoering Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. (specifieke) beveiliging BIO thema Applicatieontwikkeling Applicatie ontwerp
Bereikcontroles worden toegepast en gegevens worden gevalideerd AppO_U.07.01 Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd Norm 1.0 Actueel 1 februari 2019 Uitvoering Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd. invoerfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Geprogrammeerde controles worden ondersteund AppO_U.07.02 Geprogrammeerde controles worden ondersteund Norm 1.0 Actueel 1 februari 2019 Uitvoering Geprogrammeerde controles worden ondersteund. verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Het uitvoeren van onopzettelijke mutaties wordt tegengegaan AppO_U.07.03 Het uitvoeren van onopzettelijke mutaties wordt tegengegaan Norm 1.0 Actueel 1 februari 2019 Uitvoering Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar AppO_U.07.04 Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar Norm 1.0 Actueel 1 februari 2019 Uitvoering Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar AppO_U.07.05 Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar Norm 1.0 Actueel 1 februari 2019 Uitvoering Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Opgeleverde en over te dragen gegevens worden gevalideerd AppO_U.07.06 Opgeleverde en over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd Norm 1.0 Actueel 1 februari 2019 Uitvoering Opgeleverde/over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd. verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Controle op juistheid volledigheid en tijdigheid van input en op verwerking en output van gegevens AppO_U.07.07 Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd Norm 1.0 Actueel 1 februari 2019 Uitvoering Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (versterkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) wordt uitgevoerd. verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd AppO_U.07.08 Voorkomen wordt dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd Norm 1.0 Actueel 1 februari 2019 Uitvoering Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd. verwerkingsfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd AppO_U.07.09 Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd Norm 1.0 Actueel 1 februari 2019 Uitvoering Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. uitvoerfuncties BIO thema Applicatieontwikkeling Applicatie functionaliteiten
Voor het bouwen van programmacode zijn gedocumenteerde standaarden en procedures beschikbaar AppO_U.08.01 Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld Norm 1.0 Actueel 1 februari 2019 Uitvoering Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
 (industrie) good practice BIO thema Applicatieontwikkeling Applicatiebouw
Veilige methodes ter voorkoming van veranderingen in basis code of in software packages AppO_U.08.02 Veilige methodes ter voorkoming van veranderingen in basis code of in software packages Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. (industrie) good practice BIO thema Applicatieontwikkeling Applicatiebouw
Voor het creëren van programma code wordt gebruik gemaakt van good practices AppO_U.08.03 Voor het creëren van programma code wordt gebruik gemaakt van good practices Norm 1.0 Actueel 1 februari 2019 Uitvoering Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). (industrie) good practice BIO thema Applicatieontwikkeling Applicatiebouw
Geen gebruik van onveilig programmatechnieken AppO_U.08.04 Geen gebruik van onveilig programmatechnieken Norm 1.0 Actueel 1 februari 2019 Uitvoering Het gebruik van onveilig programmatechnieken is niet toegestaan. (industrie) good practice BIO thema Applicatieontwikkeling Applicatiebouw
(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen AppO_U.08.05 (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen Norm 1.0 Actueel 1 februari 2019 Uitvoering Programmacode is beschermd tegen ongeautoriseerde wijzigingen. (industrie) good practice BIO thema Applicatieontwikkeling Applicatiebouw
Activiteiten van applicatiebouw worden gereviewd AppO_U.08.06 Activiteiten van applicatiebouw worden gereviewd Norm 1.0 Actueel 1 februari 2019 Uitvoering Activiteiten van applicatiebouw worden gereviewd. (industrie) good practice BIO thema Applicatieontwikkeling Applicatiebouw
De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren AppO_U.08.07 De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren Norm 1.0 Actueel 1 februari 2019 Uitvoering De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. juiste skills/tools BIO thema Applicatieontwikkeling Applicatiebouw
Functionarissen testen functionele requirements AppO_U.09.01 Functionarissen testen functionele requirements Norm 1.0 Actueel 1 februari 2019 Uitvoering Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). bedrijfsfunctionaliteiten BIO thema Applicatieontwikkeling Testen van systeembeveiliging
In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek AppO_U.09.02 In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek Norm 1.0 Actueel 1 februari 2019 Uitvoering De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. beveiligingsfunctionaliteiten BIO thema Applicatieontwikkeling Testen van systeembeveiliging
Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt AppO_U.10.01 Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Van de resultaten van de testen wordt een verslag gemaakt AppO_U.10.02 Van de resultaten van de testen wordt een verslag gemaakt Norm 1.0 Actueel 1 februari 2019 Uitvoering Van de resultaten van de testen wordt een verslag gemaakt. acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Testresultaten worden formeel geëvalueerd en beoordeeld AppO_U.10.03 Testresultaten worden formeel geëvalueerd en beoordeeld Norm 1.0 Actueel 1 februari 2019 Uitvoering Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving AppO_U.10.04 Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand in productiename AppO_U.10.05 Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang Norm 1.0 Actueel 1 februari 2019 Uitvoering Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens AppO_U.10.06 Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens Norm 1.0 Actueel 1 februari 2019 Uitvoering Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken AppO_U.10.07 Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken Norm 1.0 Actueel 1 februari 2019 Uitvoering Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
 acceptatietests BIO thema Applicatieontwikkeling Systeem acceptatietests
Toepassen van richtlijnen om operationele voor testdoeleinden te gebruiken gegevens te beschermen AppO_U.11.01 Richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen Norm 1.0 Actueel 1 februari 2019 Uitvoering De volgende richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
 testgegevens BIO thema Applicatieontwikkeling Beschermen van testgegevens
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging AppO_U.12.01 Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging Norm 1.0 Actueel 1 februari 2019 Uitvoering Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
Logisch en/of fysiek gescheiden Ontwikkel - Test - Acceptatie en Productie omgevingen AppO_U.12.02 Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
De taken verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen AppO_U.12.03 De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen Norm 1.0 Actueel 1 februari 2019 Uitvoering De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
Voor remote werkzaamheden is een werkwijze vastgelegd AppO_U.12.04 Voor remote werkzaamheden is een werkwijze vastgelegd Norm 1.0 Actueel 1 februari 2019 Uitvoering Voor remote werkzaamheden is een werkwijze vastgelegd. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
Ontwikkelaars hebben geen toegang tot productieomgeving AppO_U.12.05 Ontwikkelaars hebben geen toegang tot productieomgeving Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Ontwikkelaars hebben geen toegang tot de Productie-omgeving. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen AppO_U.12.06 Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen Norm 1.0 Actueel 1 februari 2019 Uitvoering T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats AppO_U.12.07 De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats AppO_U.12.08 De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats Norm 1.0 Actueel 1 februari 2019 Uitvoering De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Beveiligde ontwikkel- (en test) omgeving
De overdracht naar de Productieomgeving vindt gecontroleerd plaats AppO_U.12.09 De overdracht naar de Productieomgeving vindt gecontroleerd plaats Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. beveiligde ontwikkelomgevingen BIO thema Applicatieontwikkeling Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen AppO_U.13.01 Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen Norm 1.0 Actueel 1 februari 2019 Uitvoering Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. koppelingsrichtlijnen BIO thema Applicatieontwikkeling Applicatiekoppelingen
Van het type koppelingen is een overzicht aanwezig AppO_U.13.02 Van het type koppelingen is een overzicht aanwezig Norm 1.0 Actueel 1 februari 2019 Uitvoering Van het type koppelingen is een overzicht aanwezig. koppelingsrichtlijnen BIO thema Applicatieontwikkeling Applicatiekoppelingen
Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten AppO_U.13.03 Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten Norm 1.0 Actueel 1 februari 2019 Uitvoering Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. koppelingsrichtlijnen BIO thema Applicatieontwikkeling Applicatiekoppelingen
De uitgevoerde koppelingen worden geregistreerd AppO_U.13.04 De uitgevoerde koppelingen worden geregistreerd Norm 1.0 Actueel 1 februari 2019 Uitvoering De uitgevoerde koppelingen worden geregistreerd. koppelingsrichtlijnen BIO thema Applicatieontwikkeling Applicatiekoppelingen
Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden AppO_U.14.01 Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden Norm 1.0 Actueel 1 februari 2019 Uitvoering Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. logging BIO thema Applicatieontwikkeling Logging en monitoring
Informatie ten aanzien van autorisatie(s) wordt vastgelegd AppO_U.14.02 InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd Norm 1.0 Actueel 1 februari 2019 Uitvoering InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. logging BIO thema Applicatieontwikkeling Logging en monitoring
De loggegevens zijn beveiligd AppO_U.14.03 De loggegevens zijn beveiligd Norm 1.0 Actueel 1 februari 2019 Uitvoering De loggegevens zijn beveiligd. logging BIO thema Applicatieontwikkeling Logging en monitoring
De locatie van de vastlegging van de loggegevens is vastgesteld AppO_U.14.04 De locatie van de vastlegging van de loggegevens is vastgesteld Norm 1.0 Actueel 1 februari 2019 Uitvoering De locatie van de vastlegging van de loggegevens is vastgesteld. logging BIO thema Applicatieontwikkeling Logging en monitoring
De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden AppO_U.14.05 De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden Norm 1.0 Actueel 1 februari 2019 Uitvoering De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. monitoring BIO thema Applicatieontwikkeling Logging en monitoring
De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd AppO_U.14.06 De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd Norm 1.0 Actueel 1 februari 2019 Uitvoering De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. monitoring BIO thema Applicatieontwikkeling Logging en monitoring
De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld AppO_U.15.01 De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld Norm 1.0 Actueel 1 februari 2019 Uitvoering De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
 applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. BIO thema Applicatieontwikkeling Applicatie architectuur
Het architectuur document wordt actief onderhouden AppO_U.15.02 Het architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. document wordt actief onderhouden Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Het architectuurdocument wordt actief onderhouden. applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. BIO thema Applicatieontwikkeling Applicatie architectuur
De voorschriften, methoden en technieken ten aanzien van applicatie architectuur worden toegepast AppO_U.15.03 De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast Norm 1.0 Actueel 1 februari 2019 Uitvoering De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. BIO thema Applicatieontwikkeling Applicatie architectuur
Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten AppO_U.15.04 Samenhang tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van gegevensberichten Norm 1.0 Actueel 1 februari 2019 Uitvoering Tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. samenhang BIO thema Applicatieontwikkeling Applicatie architectuur
Onderliggende infrastructuurcomponenten zijn beveiligd o.b.v. security baselines AppO_U.15.05 Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar Norm 1.0 Actueel 1 februari 2019 Uitvoering Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). samenhang BIO thema Applicatieontwikkeling Applicatie architectuur
De relatie tussen de persoonsgegevens is inzichtelijk AppO_U.15.06 De relatie tussen de persoonsgegevens is inzichtelijk Norm 1.0 Actueel 1 februari 2019 Uitvoering De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is inzichtelijk. samenhang BIO thema Applicatieontwikkeling Applicatie architectuur
Het tool ondersteunt alle fasen van het ontwikkelproces AppO_U.16.01 Het tool ondersteunt alle fasen van het ontwikkelproces Norm 1.0 Actueel 1 februari 2019 Uitvoering Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. faciliteiten BIO thema Applicatieontwikkeling Tooling ontwikkelmethode
Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden AppO_U.16.02 Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden Nee Norm onwaar 1.0 Actueel 1 februari 2019 Uitvoering Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. faciliteiten BIO thema Applicatieontwikkeling Tooling ontwikkelmethode
Het tool beschikt over faciliteiten voor versie- en releasebeheer AppO_U.16.03 Het tool beschikt over faciliteiten voor versie- en releasebeheer Norm 1.0 Actueel 1 februari 2019 Uitvoering Het tool beschikt over faciliteiten voor versie- en releasebeheer. faciliteiten BIO thema Applicatieontwikkeling Tooling ontwikkelmethode
Faciliteiten van het tool AppO_U.16.04 Faciliteiten van het tool Norm 1.0 Actueel 1 februari 2019 Uitvoering Het tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
 faciliteiten BIO thema Applicatieontwikkeling Tooling ontwikkelmethode
Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen AppO_U.16.05 Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen Norm 1.0 Actueel 1 februari 2019 Uitvoering Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. faciliteiten BIO thema Applicatieontwikkeling Tooling ontwikkelmethode
Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten CommVZ_B.01.1 Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten Norm 1.0 Actueel 1 februari 2019 Beleid Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. beleidsregels BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
Beleid of richtlijnen omschrijven het toepassen van cryptografie CommVZ_B.01.2 Beleid of richtlijnen omschrijven het toepassen van cryptografie Norm 1.0 Actueel 1 februari 2019 Beleid Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. beleidsregels BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden CommVZ_B.01.3 Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden Norm 1.0 Actueel 1 februari 2019 Beleid Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden. beleidsregels BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
Procedures beschrijven het beveiligen van informatie CommVZ_B.01.4 Procedures beschrijven het beveiligen van informatie Norm 1.0 Actueel 1 februari 2019 Beleid Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging. procedures BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
Procedures beschrijven het opsporen van en beschermen tegen malware CommVZ_B.01.5 Procedures beschrijven het opsporen van en beschermen tegen malware Norm 1.0 Actueel 1 februari 2019 Beleid Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1). procedures BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie CommVZ_B.01.6 Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie Norm 1.0 Actueel 1 februari 2019 Beleid Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. procedures BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
E-mail berichten worden conform vastgelegde procedures en richtlijnen doorgestuurd CommVZ_B.01.7 E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd Norm 1.0 Actueel 1 februari 2019 Beleid E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. beheersmaatregelen BIO Thema Communicatievoorzieningen Beleid en procedures informatietransport
Elementen in overeenkomsten over informatietransport CommVZ_B.02.1 Elementen in overeenkomsten over informatietransport Norm 1.0 Actueel 1 februari 2019 Beleid Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
  1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
  3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
  5. acceptabele niveaus van toegangsbeveiliging.
 overeenkomsten BIO Thema Communicatievoorzieningen Overeenkomsten over informatietransport
In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn CommVZ_B.02.2 In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn Norm 1.0 Actueel 1 februari 2019 Beleid In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn. overeenkomsten BIO Thema Communicatievoorzieningen Overeenkomsten over informatietransport
In het cryptografiebeleid uitgewerkte onderwerpen CommVZ_B.03.1 In het cryptografiebeleid uitgewerkte onderwerpen Norm 1.0 Actueel 1 februari 2019 Beleid In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  1. wanneer cryptografie ingezet wordt;
  2. wie verantwoordelijk is voor de implementatie van cryptografie;
  3. wie verantwoordelijk is voor het sleutelbeheer;
  4. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  5. de wijze waarop het beschermingsniveau wordt vastgesteld;
  6. het onderling vaststellen van het beleid bij inter-organisatie communicatie.
 cryptografiebeleid BIO Thema Communicatievoorzieningen Cryptografiebeleid voor communicatie
Aanvullende onderdelen in het cryptografiebeleid CommVZ_B.03.2 Aanvullende onderdelen in het cryptografiebeleid Norm 1.0 Actueel 1 februari 2019 Beleid Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  1. welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld;
  2. welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend;
  3. aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  4. in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
 cryptografiebeleid BIO Thema Communicatievoorzieningen Cryptografiebeleid voor communicatie
In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd CommVZ_B.04.1 In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd Norm 1.0 Actueel 1 februari 2019 Beleid In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement). organisatiestructuur BIO Thema Communicatievoorzieningen Organisatiestructuur van netwerkbeheer
De beheer(sing)processen hebben een formele positie binnen de gehele organisatie CommVZ_B.04.2 De beheer(sing)processen hebben een formele positie binnen de gehele organisatie Norm 1.0 Actueel 1 februari 2019 Beleid De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. organisatiestructuur BIO Thema Communicatievoorzieningen Organisatiestructuur van netwerkbeheer
Taken en verantwoordelijkheden van verantwoordelijke functionarissen zijn duidelijk gedefinieerd CommVZ_B.04.3 De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd Norm 1.0 Actueel 1 februari 2019 Beleid De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. organisatiestructuur BIO Thema Communicatievoorzieningen Organisatiestructuur van netwerkbeheer
De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd CommVZ_C.01.1 De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd Norm 1.0 Actueel 1 februari 2019 Control De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
  • netwerk topologie / ontwerp, op basis van principes als “defence in depth”en “inbraak betekent geen doorbraak”;
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen;
  • autorisatiemechanismen en actuele administratie van uitgegeven rechten;
  • actuele beleidsregels voor netwerkbeveiliging;
  • aanwijzingen voor hardening van netwerkcomponenten;
  • verifieerbare auditlog oplossing.
 naleving BIO Thema Communicatievoorzieningen Naleving richtlijnen netwerkbeheer en evaluaties
Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s CommVZ_C.02.1 Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s Norm 1.0 Actueel 1 februari 2019 Control Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. periodiek BIO Thema Communicatievoorzieningen Netwerk security compliancy checking
Checklist voor veilige inrichting van netwerk(diensten) CommVZ_C.02.2 Checklist voor veilige inrichting van netwerk(diensten) Norm 1.0 Actueel 1 februari 2019 Control De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • actueel beveiligingsbeleid;
  • gerelateerde Security Operation documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • beleid voor toegang tot Security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
 inrichting BIO Thema Communicatievoorzieningen Netwerk security compliancy checking
Resultaten worden gerapporteerd aan het verantwoordelijke management CommVZ_C.02.3 Resultaten worden gerapporteerd aan het verantwoordelijke management Norm 1.0 Actueel 1 februari 2019 Control Resultaten worden gerapporteerd aan het verantwoordelijke management. verantwoordelijk BIO Thema Communicatievoorzieningen Netwerk security compliancy checking
De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd CommVZ_C.03.1 De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd Norm 1.0 Actueel 1 februari 2019 Control De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • robuustheid van het ontwerp, op basis van principes als “defence in depth” en “inbraak betekent geen doorbraak”;
  • sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
  • juiste implementatie van beleidsregels voor netwerkbeveiliging;
  • verificatie van de hardening van netwerkcomponenten;
  • verificatie van de auditlog oplossing;
  • bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door service personeel en eindgebruikers.
 robuustheid BIO Thema Communicatievoorzieningen Evalueren netwerkbeveiliging
Zeer belangrijke onderdelen van netwerkbeveiliging CommVZ_C.04.1 Zeer belangrijke onderdelen van netwerkbeveiliging Norm 1.0 Actueel 1 februari 2019 Control Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren én vervolgens
  • snel te reageren.
 onderzoek van gebeurtenissen BIO Thema Communicatievoorzieningen Evalueren netwerk monitoring
Continue bewaking via monitoring CommVZ_C.04.2 Continue bewaking via monitoring Norm 1.0 Actueel 1 februari 2019 Control Continue bewaking via monitoring legt de volgende informatie vast:
  • audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
  • analyse-informatie vanuit Intrusion Detection Systemen (IDS);
  • resultaten vanuit netwerkscanning activiteiten.
 onderzoek van gebeurtenissen BIO Thema Communicatievoorzieningen Evalueren netwerk monitoring
De communicatievoorzieningen worden geïdentificeerd en gedefinieerd CommVZ_C.05.1 De communicatievoorzieningen worden geïdentificeerd en gedefinieerd Norm 1.0 Actueel 1 februari 2019 Control De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. Verantwoordelijkheden BIO Thema Communicatievoorzieningen Beheerorganisatie netwerkbeveiliging
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie CommVZ_C.05.2 Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie Norm 1.0 Actueel 1 februari 2019 Control Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
  • de entiteit, die verantwoordelijk is voor de communicatievoorzieningen worden bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend;
  • de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd;
  • de netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken;
  • de coördinatie en overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
 Verantwoordelijkheden BIO Thema Communicatievoorzieningen Beheerorganisatie netwerkbeveiliging
Stappen ter voorbereiding van veilige netwerkontwerpen CommVZ_U.01.1 Stappen ter voorbereiding van veilige netwerkontwerpen Norm 1.0 Actueel 1 februari 2019 Uitvoering De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
  1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
  2. inventarisatie van de functionele eisen;
  3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
  4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
  5. evaluatie van bestaande ontwerpen en implementaties.
 ontwerp BIO Thema Communicatievoorzieningen Richtlijnen netwerkbeveiliging
Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” CommVZ_U.01.2 Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” Norm 1.0 Actueel 1 februari 2019 Uitvoering Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak". ontwerp BIO Thema Communicatievoorzieningen Richtlijnen netwerkbeveiliging
Netwerkbeveiliging is gebaseerd op ITU-T X.80x CommVZ_U.01.3 Netwerkbeveiliging is gebaseerd op ITU-T X.80x Norm 1.0 Actueel 1 februari 2019 Uitvoering Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen. ontwerp BIO Thema Communicatievoorzieningen Richtlijnen netwerkbeveiliging
Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten CommVZ_U.01.4 Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten Norm 1.0 Actueel 1 februari 2019 Uitvoering Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C). ontwerp BIO Thema Communicatievoorzieningen Richtlijnen netwerkbeveiliging
De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat CommVZ_U.01.5 De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat Norm 1.0 Actueel 1 februari 2019 Uitvoering Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. implementatie BIO Thema Communicatievoorzieningen Richtlijnen netwerkbeveiliging
Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden CommVZ_U.01.6 Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden Norm 1.0 Actueel 1 februari 2019 Uitvoering De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8. beheer BIO Thema Communicatievoorzieningen Richtlijnen netwerkbeveiliging
Risicoafweging voorafgaand aan het verlenen van toegang tot het netwerk aan externe leveranciers CommVZ_U.02.1 Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt Norm 1.0 Actueel 1 februari 2019 Uitvoering Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend. inlogprocedure BIO Thema Communicatievoorzieningen Beveiligde inlogprocedure
Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone CommVZ_U.02.2 Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone Norm 1.0 Actueel 1 februari 2019 Uitvoering Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. inlogprocedure BIO Thema Communicatievoorzieningen Beveiligde inlogprocedure
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers CommVZ_U.02.3 Toegang tot netwerken is beperkt tot geautoriseerde gebruikers Norm 1.0 Actueel 1 februari 2019 Uitvoering Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  1. remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  2. versterkte authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., voor toepassingen waarbij de ‘standaard’ authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van gebruikers (en applicaties) kan worden gecompromitteerd;
  3. Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
 inlogprocedure BIO Thema Communicatievoorzieningen Beveiligde inlogprocedure
Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld CommVZ_U.03.1 Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld Norm 1.0 Actueel 1 februari 2019 Uitvoering Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. beheerd BIO Thema Communicatievoorzieningen Netwerk beveiligingsbeheer
Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen CommVZ_U.03.2 Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen Norm 1.0 Actueel 1 februari 2019 Uitvoering Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. beheerd BIO Thema Communicatievoorzieningen Netwerk beveiligingsbeheer
Beheeractiviteiten worden nauwgezet gecoördineerd CommVZ_U.03.3 Beheeractiviteiten worden nauwgezet gecoördineerd Norm 1.0 Actueel 1 februari 2019 Uitvoering Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast. beheerd BIO Thema Communicatievoorzieningen Netwerk beveiligingsbeheer
Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld CommVZ_U.03.4 Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld Norm 1.0 Actueel 1 februari 2019 Uitvoering Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld. beheerd BIO Thema Communicatievoorzieningen Netwerk beveiligingsbeheer
De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden CommVZ_U.03.5 De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden Norm 1.0 Actueel 1 februari 2019 Uitvoering De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden. beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. BIO Thema Communicatievoorzieningen Netwerk beveiligingsbeheer
Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd CommVZ_U.03.6 Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd Norm 1.0 Actueel 1 februari 2019 Uitvoering Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. BIO Thema Communicatievoorzieningen Netwerk beveiligingsbeheer
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten CommVZ_U.04.1 Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten Norm 1.0 Actueel 1 februari 2019 Uitvoering Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  1. de looptijd van een overeenkomst;
  2. de benodigde acties bij beëindiging;
  3. de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  4. hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  5. het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  6. de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  7. de acties in geval van schending van de overeenkomst;
  8. de privacyregelgeving (UAVG en AVG/GDPR).
 vertrouwelijkheids- of geheimhoudingsovereenkomsten BIO Thema Communicatievoorzieningen Vertrouwelijkheids- of geheimhoudingsovereenkomst
Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen CommVZ_U.05.1 Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen Norm 1.0 Actueel 1 februari 2019 Uitvoering Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen. beheereisen BIO Thema Communicatievoorzieningen Beveiliging netwerkdiensten
Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid CommVZ_U.05.2 Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid Norm 1.0 Actueel 1 februari 2019 Uitvoering Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). dienstverleningsniveaus BIO Thema Communicatievoorzieningen Beveiliging netwerkdiensten
Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen CommVZ_U.05.3 Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen Norm 1.0 Actueel 1 februari 2019 Uitvoering Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven. beveiligingsmechanismen BIO Thema Communicatievoorzieningen Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd CommVZ_U.05.4 Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd Norm 1.0 Actueel 1 februari 2019 Uitvoering Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
  • vereiste performance en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van het netwerk;
  • toegestane verbindingstypen;
  • toegestane netwerkprotocollen;
  • toegepaste applicaties op de te leveren netwerkservices;
  • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
 dienstverleningsniveaus BIO Thema Communicatievoorzieningen Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst CommVZ_U.05.5 De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst Norm 1.0 Actueel 1 februari 2019 Uitvoering De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. beveiligingsmechanismen BIO Thema Communicatievoorzieningen Beveiliging netwerkdiensten
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen CommVZ_U.05.6 Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen Norm 1.0 Actueel 1 februari 2019 Uitvoering Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
 beveiligingsmechanismen BIO Thema Communicatievoorzieningen Beveiliging netwerkdiensten
Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau CommVZ_U.06.01 Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau Norm 1.0 Actueel 1 februari 2019 Uitvoering Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. gescheiden (in domeinen) BIO Thema Communicatievoorzieningen Zonering en filtering
Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding CommVZ_U.06.02 Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding Norm 1.0 Actueel 1 februari 2019 Uitvoering Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. gescheiden (in domeinen) BIO Thema Communicatievoorzieningen Zonering en filtering
Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst CommVZ_U.06.03 Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. Norm 1.0 Actueel 1 februari 2019 Uitvoering Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router). gescheiden (in domeinen) BIO Thema Communicatievoorzieningen Zonering en filtering
Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding CommVZ_U.06.04 Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding Norm 1.0 Actueel 1 februari 2019 Uitvoering Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen. gescheiden (in domeinen) BIO Thema Communicatievoorzieningen Zonering en filtering
… overige resultaten
Overgenomen van "https://www.noraonline.nl/index.php?title=Alle_normen_alle_eigenschappen&oldid=25492"
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen