Alle normen alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle Normen uit de NORANederlandse Overheid Referentie Architectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid Referentie Architectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Normen alle eigenschappen

De onderstaande tabel bevat alle eigenschappen van normen, inclusief een aantal technische checks. U kunt deze ook als csv downloaden. Er is ook een korte overzichtstabel van de inhoudelijk meest relevante eigenschappen beschikbaar.
NB: Om de laadtijd van de pagina te beperken worden hier alleen de eerste 200 normen getoond, de sortering werkt alleen binnen die eerste 200. U vindt de overige resultaten door door te klikken naar 'overige resultaten.'

NormIDTitelKent element met zelfde titelElementtypeIs subnormVersieaanduidingGebruik in Nederlandse publieke sectorStatus actualiteitPracticeRedactionele wijzigingsdatumToelichtingBeveiligingsaspectStellingConformiteitsindicatorInvalshoekHeeft bronHeeft ouderRealiseert
De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingAPO_B.01.01De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingNorm1.0Actueel6 april 2021BeleidDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.regelsBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingAPO_B.01.02Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingNorm1.0Actueel6 april 2021BeleidDe Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.regelsBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareAPO_B.01.03Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareNorm1.0Actueel6 april 2021BeleidIn het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
regelsBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Technieken voor beveiligd programmerenAPO_B.01.04Technieken voor beveiligd programmerenNorm1.0Actueel6 april 2021BeleidTechnieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.regelsBIO Thema-uitwerking ApplicatieontwikkelingBeleid voor (beveiligd) ontwikkelen
Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieAPO_B.02.01Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieNorm1.0Actueel6 april 2021BeleidEen formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).systeem ontwikkelmethodesBIO Thema-uitwerking ApplicatieontwikkelingSysteem ontwikkelmethode
Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenAPO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenNorm1.0Actueel6 april 2021BeleidSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.systeem ontwikkelmethodesBIO Thema-uitwerking ApplicatieontwikkelingSysteem ontwikkelmethode
Adoptie van ontwikkelmethodologie wordt gemonitordAPO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitordNorm1.0Actueel6 april 2021BeleidAdoptie van ontwikkelmethodologie wordt gemonitord.systeem ontwikkelmethodesBIO Thema-uitwerking ApplicatieontwikkelingSysteem ontwikkelmethode
Software wordt ontwikkelen conform standaarden en proceduresAPO_B.02.04Software wordt ontwikkelen conform standaarden en proceduresNorm1.0Actueel6 april 2021BeleidStandaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
standaarden/proceduresBIO Thema-uitwerking ApplicatieontwikkelingSysteem ontwikkelmethode
De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenAPO_B.02.05De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenNorm1.0Actueel6 april 2021BeleidDe systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • beleid en wet en regelgevingBIO Thema-uitwerking ApplicatieontwikkelingSysteem ontwikkelmethode
    Het softwareontwikkeling wordt projectmatig aangepaktAPO_B.02.06Het softwareontwikkeling wordt projectmatig aangepaktNorm1.0Actueel6 april 2021BeleidHet ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • projectmatigBIO Thema-uitwerking ApplicatieontwikkelingSysteem ontwikkelmethode
    Dataclassificatie' als uitgangspunt voor softwareontwikkelingAPO_B.03.01Dataclassificatie' als uitgangspunt voor softwareontwikkelingNorm1.0Actueel6 april 2021BeleidDe Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.informatieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van Informatie
    Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdAPO_B.03.02InformatieBetekenisvolle gegevens. in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdNorm1.0Actueel6 april 2021BeleidIn alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.informatieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van Informatie
    Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaAPO_B.03.03Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaNorm1.0Actueel6 april 2021BeleidBij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.informatieBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van Informatie
    Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsAPO_B.03.04Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsNorm1.0Actueel6 april 2021BeleidIn het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.wettelijke eisen, waarde, belang, gevoeligheidBIO Thema-uitwerking ApplicatieontwikkelingClassificatie van Informatie
    Security by Design als uitgangspunt voor softwareontwikkelingAPO_B.04.01Security by Design als uitgangspunt voor softwareontwikkelingNorm1.0Actueel6 april 2021BeleidDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.principesBIO Thema-uitwerking ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Principes voor het beveiligen van informatiesystemenAPO_B.04.02Principes voor het beveiligen van informatiesystemenNorm1.0Actueel6 april 2021BeleidVoor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • principesBIO Thema-uitwerking ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Beveiliging is integraal onderdeel van systeemontwikkelingAPO_B.04.03Beveiliging is integraal onderdeel van systeemontwikkelingNorm1.0Actueel6 april 2021BeleidBeveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.principesBIO Thema-uitwerking ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Ontwikkelaars zijn getraind om veilige software te ontwikkelenAPO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelenNorm1.0Actueel6 april 2021BeleidOntwikkelaars zijn getraind om veilige software te ontwikkelen.principesBIO Thema-uitwerking ApplicatieontwikkelingEngineeringprincipes beveiligde systemen
    Perspectieven bij de Business Impact AnalyseAPO_B.05.01Perspectieven bij de Business Impact AnalyseNorm1.0Actueel6 april 2021BeleidBij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • perspectievenBIO Thema-uitwerking ApplicatieontwikkelingBusiness Impact Analyse
    Scenario's voor de Business Impact AnalyseAPO_B.05.02Scenario's voor de Business Impact AnalyseNorm1.0Actueel6 april 2021BeleidDe business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • scenario'sBIO Thema-uitwerking ApplicatieontwikkelingBusiness Impact Analyse
    Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieAPO_B.05.03Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieNorm1.0Actueel6 april 2021BeleidMet de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • BIVC-aspectenBIO Thema-uitwerking ApplicatieontwikkelingBusiness Impact Analyse
    GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenAPO_B.06.01GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenNorm1.0Actueel6 april 2021BeleidOm privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.privacy en bescherming van persoonsgegevensBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomstenAPO_B.06.02procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomstenNorm1.0Actueel6 april 2021BeleidVoor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.privacy en bescherming van persoonsgegevensBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenAPO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenNorm1.0Actueel6 april 2021BeleidEen tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.privacy en bescherming van persoonsgegevensBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakAPO_B.06.04Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakNorm1.0Actueel6 april 2021BeleidPrivacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.privacy en bescherming van persoonsgegevensBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Risicomanagement aanpak aantoonbaar toegepastAPO_B.06.05Risicomanagement aanpak aantoonbaar toegepastNorm1.0Actueel6 april 2021BeleidDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.privacy en bescherming van persoonsgegevensBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdAPO_B.06.06Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdNorm1.0Actueel6 april 2021BeleidOp basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.wet- en regelgevingBIO Thema-uitwerking ApplicatieontwikkelingPrivacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
    De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidAPO_B.07.01De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidNorm1.0Actueel6 april 2021BeleidDe doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.ontwikkel en onderhoudsbeleidBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    De doelorganisatie beschikt over QA- en KMS-methodiekAPO_B.07.02De doelorganisatie beschikt over QA- en KMS-methodiekNorm1.0Actueel6 april 2021BeleidDe doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.ontwikkel en onderhoudsbeleidBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdAPO_B.07.03De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdNorm1.0Actueel6 april 2021BeleidDe ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.kwaliteitsmanagement systeemBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Voor informatie- en communicatie zijn processen ingerichtAPO_B.07.04Voor informatie- en communicatie zijn processen ingerichtNorm1.0Actueel6 april 2021BeleidEr zijn informatie- en communicatieprocessen ingericht.kwaliteitsmanagement systeemBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdAPO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdNorm1.0Actueel6 april 2021BeleidOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdkwaliteitsmanagement systeemBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Aan het management worden evaluatierapportages verstrektAPO_B.07.06Aan het management worden evaluatierapportages verstrektNorm1.0Actueel6 april 2021BeleidAan het management worden evaluatie rapportages verstrekt.kwaliteitsmanagement systeemBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMSAPO_B.07.07applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMSNorm1.0Actueel6 april 2021BeleidDe processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.kwaliteitsmanagement systeemBIO Thema-uitwerking ApplicatieontwikkelingKwaliteitsmanagement systeem (KMS)
    Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenAPO_B.08.01Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenNorm1.0Actueel6 april 2021BeleidOm de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    programmabroncode en broncode bibliothekenBIO Thema-uitwerking ApplicatieontwikkelingToegangsbeveiliging op programmacode
    Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdAPO_B.08.02Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdNorm1.0Actueel6 april 2021BeleidAls het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).programmabroncode en broncode bibliothekenBIO Thema-uitwerking ApplicatieontwikkelingToegangsbeveiliging op programmacode
    Taken van de beveiligingsfunctionarisAPO_B.09.01Taken van de beveiligingsfunctionarisNorm1.0Actueel6 april 2021BeleidDe beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    beveiligingsfunctionarisBIO Thema-uitwerking ApplicatieontwikkelingProjectorganisatie
    Inzicht gegeven door de beveiligingsfunctionarisAPO_B.09.02Inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat door de beveiligingsfunctionarisNorm1.0Actueel6 april 2021BeleidDe beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • beveiligingsvoorschriftenBIO Thema-uitwerking ApplicatieontwikkelingProjectorganisatie
    Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienAPO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeienNorm1.0Actueel7 april 2021ControlDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.richtlijnenBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeAPO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven codeNorm1.0Actueel7 april 2021ControlDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.richtlijnenBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastAPO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepastNorm1.0Actueel7 april 2021ControlDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.richtlijnenBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenAPO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnenNorm1.0Actueel7 april 2021ControlDe projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.richtlijnenBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    De Quality Assurance methodiek wordt conform de richtlijnen nageleefdAPO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefdNorm1.0Actueel7 april 2021ControlDe QA methodiek wordt conform de richtlijnen nageleefd.richtlijnenBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenAPO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenNorm1.0Actueel7 april 2021ControlDe projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.controleactiviteiten en rapportagesBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldAPO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeldNorm1.0Actueel7 april 2021ControlPeriodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.ontwikkelactiviteitenBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen evaluatie ontwikkelactiviteiten
    Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisAPO_C.02.01Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionarisNorm1.0Actueel7 april 2021ControlHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.procesmatigBIO Thema-uitwerking ApplicatieontwikkelingVersie Management
    Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdAPO_C.02.02Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegdNorm1.0Actueel7 april 2021ControlIn het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.procesmatigBIO Thema-uitwerking ApplicatieontwikkelingVersie Management
    Versiemanagement wordt ondersteund met procedures en werkinstructiesAPO_C.02.03Versiemanagement wordt ondersteund met procedures en werkinstructiesNorm1.0Actueel7 april 2021ControlHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.procesmatigBIO Thema-uitwerking ApplicatieontwikkelingVersie Management
    Ondersteuning vanuit het toegepaste versiebeheertoolAPO_C.02.04Ondersteuning vanuit het toegepaste versiebeheertoolNorm1.0Actueel7 april 2021ControlEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
  • efficiënte wijzeBIO Thema-uitwerking ApplicatieontwikkelingVersie Management
    Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktAPO_C.03.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaaktNorm1.0Actueel7 april 2021ControlHet patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.procesmatig en procedureelBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement van externe programmacode
    Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenAPO_C.03.02Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkhedenNorm1.0Actueel7 april 2021ControlDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.procesmatig en procedureelBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement van externe programmacode
    Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdAPO_C.03.03Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerdNorm1.0Actueel7 april 2021ControlHet al dan niet uitvoeren van de patches voor programmacode is geregistreerd.procesmatig en procedureelBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement van externe programmacode
    Het beheer van technische kwetsbaarheden in code uit externe bibliothekenAPO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliothekenNorm1.0Actueel7 april 2021ControlHet beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.technische kwetsbaarhedenBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement van externe programmacode
    Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesAPO_C.03.05Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixesNorm1.0Actueel7 april 2021ControlBij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.technische kwetsbaarhedenBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement van externe programmacode
    Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isAPO_C.03.06Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog isNorm1.0Actueel7 april 2021ControlUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.tijdigBIO Thema-uitwerking ApplicatieontwikkelingPatchmanagement van externe programmacode
    Software configuratiescomponenten worden conform procedures vastgelegdAPO_C.04.01Software configuratiescomponenten worden conform procedures vastgelegdNorm1.0Actueel7 april 2021ControlSoftware configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.configuratie-administratieBIO Thema-uitwerking Applicatieontwikkeling(Software) configuratie management
    De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelAPO_C.04.02De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelNorm1.0Actueel7 april 2021ControlDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.configuratie-administratieBIO Thema-uitwerking Applicatieontwikkeling(Software) configuratie management
    Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBAPO_C.04.03Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBNorm1.0Actueel7 april 2021ControlWijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.configuratie-administratieBIO Thema-uitwerking Applicatieontwikkeling(Software) configuratie management
    Het compliance management proces is gedocumenteerd en vastgesteldAPO_C.05.01Het compliance management proces is gedocumenteerd en vastgesteldNorm1.0Actueel7 april 2021ControlHet compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management.compliance management procesBIO Thema-uitwerking ApplicatieontwikkelingCompliance management
    De noodzakelijke eisen voor het compliance proces samengevat en vastgelegdAPO_C.05.02De noodzakelijke eisen voor het compliance proces samengevat en vastgelegdNorm1.0Actueel7 april 2021ControlTen behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
  • compliance management procesBIO Thema-uitwerking ApplicatieontwikkelingCompliance management
    De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefdAPO_C.06.01De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefdNorm1.0Actueel7 april 2021ControlDe projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek.quality assurance procesBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerdAPO_C.06.02Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerdNorm1.0Actueel7 april 2021ControlConform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
  • quality assurance procesBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijkenAPO_C.06.03Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijkenNorm1.0Actueel7 april 2021ControlDe resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.quality assurance procesBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegdAPO_C.06.04Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegdNorm1.0Actueel7 april 2021ControlAfspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd.quality assurance procesBIO Thema-uitwerking ApplicatieontwikkelingQuality assurance
    Testen bij verandering van besturingssystemenAPO_C.07.01Testen bij verandering van besturingssystemenNorm1.0Actueel7 april 2021ControlBij veranderingen van besturingssystemen wordt onder andere het volgende getest:
    1. de toepassingscontrole procedures;
    2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
    3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
    4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    verandering van besturingsplatformsBIO Thema-uitwerking ApplicatieontwikkelingTechnische beoordeling van informatiesystemen na wijziging besturingsplatform
    De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegdAPO_C.08.01De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegdNorm1.0Actueel7 april 2021ControlDe samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd.structuur van de beheersprocessenBIO Thema-uitwerking ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkAPO_C.08.02De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkNorm1.0Actueel7 april 2021ControlDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt.functionarissenBIO Thema-uitwerking ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegdAPO_C.08.03De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegdNorm1.0Actueel7 april 2021ControlDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.taken, verantwoordelijkheden en bevoegdhedenBIO Thema-uitwerking ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschrevenAPO_C.08.04De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschrevenNorm1.0Actueel7 april 2021ControlDe projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.taken, verantwoordelijkheden en bevoegdhedenBIO Thema-uitwerking ApplicatieontwikkelingBeheersing van software ontwikkeling(sprojecten)
    Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworksAPO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworksNorm1.0Actueel6 april 2021UitvoeringVoor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.levenscyclusBIO Thema-uitwerking ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoerenAPO_U.01.02Medewerkers (programmeurs) krijgen de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen om werkzaamheden te kunnen uitvoerenNorm1.0Actueel6 april 2021UitvoeringHet wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.levenscyclusBIO Thema-uitwerking ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesAPO_U.01.03Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesNorm1.0Actueel6 april 2021UitvoeringNieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.formele proceduresBIO Thema-uitwerking ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Elementen van de procedures voor wijzigingsbeheerAPO_U.01.04Elementen van de procedures voor wijzigingsbeheerNorm1.0Actueel6 april 2021UitvoeringEnkele elementen van de procedures voor wijzigingsbeheer zijn:
  • alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
  • formele proceduresBIO Thema-uitwerking ApplicatieontwikkelingProcedures voor wijzigingsbeheer m.b.t. applicaties
    Beleid ten aanzien van het type software dat mag worden geïnstalleerdAPO_U.02.01Beleid ten aanzien van het type software dat mag worden geïnstalleerdNorm1.0Actueel6 april 2021UitvoeringDe organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.regelsBIO Thema-uitwerking ApplicatieontwikkelingBeperkingen voor de installatie van software(richtlijnen)
    Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'APO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'Norm1.0Actueel6 april 2021UitvoeringHet toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.regelsBIO Thema-uitwerking ApplicatieontwikkelingBeperkingen voor de installatie van software(richtlijnen)
    De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaarsAPO_U.02.03De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaarsNorm1.0Actueel6 april 2021UitvoeringDe rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.regelsBIO Thema-uitwerking ApplicatieontwikkelingBeperkingen voor de installatie van software(richtlijnen)
    De programmacode voor functionele specificaties is reproduceerbaarAPO_U.03.01De programmacode voor functionele specificaties is reproduceerbaarNorm1.0Actueel6 april 2021UitvoeringDe programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
    • gebruikte tools;
    • gebruikte licenties;
    • versiebeheer;
    • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
    regelsBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    programmacode wordt aantoonbaar veilig gecreëerdAPO_U.03.02programmacode wordt aantoonbaar veilig gecreëerdNorm1.0Actueel6 april 2021Uitvoering(Programma)code wordt aantoonbaar veilig gecreëerd.regelsBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    programmacode is effectief, veranderbaar en testbaarAPO_U.03.03programmacode is effectief, veranderbaar en testbaarNorm1.0Actueel6 april 2021Uitvoering(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
  • regelsBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktAPO_U.03.04Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktNorm1.0Actueel6 april 2021UitvoeringOver het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.best practicesBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireAPO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireNorm1.0Actueel6 april 2021UitvoeringVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.best practicesBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenAPO_U.03.06Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenNorm1.0Actueel6 april 2021UitvoeringOntwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.best practicesBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Gebruik van programmacode uit externe programmabibliothekenAPO_U.03.07Gebruik van programmacode uit externe programmabibliothekenNorm1.0Actueel6 april 2021UitvoeringHet gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.best practicesBIO Thema-uitwerking ApplicatieontwikkelingRichtlijnen voor programmacode (best practices)
    Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdAPO_U.04.01Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdNorm1.0Actueel7 april 2021UitvoeringDe functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).functionele eisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenAPO_U.04.02Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenNorm1.0Actueel7 april 2021UitvoeringHet Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.functionele eisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdAPO_U.04.03Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdNorm1.0Actueel7 april 2021UitvoeringOp basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..functionele eisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Alle vereisten worden gevalideerd door peer review of prototypingAPO_U.04.04Alle vereisten worden gevalideerd door peer review of prototypingNorm1.0Actueel7 april 2021UitvoeringAlle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).functionele eisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpAPO_U.04.05Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpNorm1.0Actueel7 april 2021UitvoeringParallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.functionele eisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiesystemen
    Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenAPO_U.05.01Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenNorm1.0Actueel7 april 2021UitvoeringBij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.beveiligingseisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005APO_U.05.02De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005Norm1.0Actueel7 april 2021UitvoeringDe Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.beveiligingseisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    InformatiebeveiligingseisenAPO_U.05.03InformatiebeveiligingseisenNorm1.0Actueel7 april 2021UitvoeringInformatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
  • beveiligingseisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    Overwogen informatiebeveiligingseisenAPO_U.05.04Overwogen informatiebeveiligingseisenNorm1.0Actueel7 april 2021UitvoeringMet betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatie eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
  • beveiligingseisenBIO Thema-uitwerking ApplicatieontwikkelingAnalyse en specificatie van informatiebeveiligingseisen
    Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieAPO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieNorm1.0Actueel7 april 2021UitvoeringHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
  • business vereisten en reviewsBIO Thema-uitwerking ApplicatieontwikkelingApplicatie ontwerp
    Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatieAPO_U.06.02Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatieNorm1.0Actueel7 april 2021UitvoeringBij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
  • omgevingsanalyseBIO Thema-uitwerking ApplicatieontwikkelingApplicatie ontwerp
    Het ontwerp is mede gebaseerd op een beveiligingsarchitectuurAPO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuurNorm1.0Actueel7 april 2021UitvoeringHet ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.(specifieke) beveiligingBIO Thema-uitwerking ApplicatieontwikkelingApplicatie ontwerp
    Bereikcontroles worden toegepast en gegevens worden gevalideerdAPO_U.07.01Bereikcontroles worden toegepast en gegevens worden gevalideerdNorm1.0Actueel7 april 2021UitvoeringBereikcontroles worden toegepast en gegevens worden gevalideerd.invoerfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Geprogrammeerde controles worden ondersteundAPO_U.07.02Geprogrammeerde controles worden ondersteundNorm1.0Actueel7 april 2021UitvoeringGeprogrammeerde controles worden ondersteund.verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Het uitvoeren van onopzettelijke mutaties wordt tegengegaanAPO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaanNorm1.0Actueel7 april 2021UitvoeringHet uitvoeren van onopzettelijke mutaties wordt tegengegaan.verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaarAPO_U.07.04Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaarNorm1.0Actueel7 april 2021UitvoeringVoorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaarAPO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaarNorm1.0Actueel7 april 2021UitvoeringVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Opgeleverde en over te dragen gegevens worden gevalideerdAPO_U.07.06Opgeleverde en over te dragen gegevens worden gevalideerdNorm1.0Actueel7 april 2021UitvoeringOpgeleverde/over te dragen gegevens worden gevalideerd.verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevensAPO_U.07.07Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input en op de verwerking en output van gegevensNorm1.0Actueel7 april 2021UitvoeringControle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd.verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderdAPO_U.07.08Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderdNorm1.0Actueel7 april 2021UitvoeringOp basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.verwerkingsfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Gegevens worden conform vastgestelde beveiligingsklasse gevalideerdAPO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerdNorm1.0Actueel7 april 2021UitvoeringGegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.uitvoerfunctiesBIO Thema-uitwerking ApplicatieontwikkelingApplicatie functionaliteiten
    Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldAPO_U.08.01Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldNorm1.0Actueel7 april 2021UitvoeringGedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
  • (industrie) good practiceBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Veilige methodes ter voorkoming van veranderingen in basis code of in software packagesAPO_U.08.02Veilige methodes ter voorkoming van veranderingen in basis code of in software packagesNorm1.0Actueel7 april 2021UitvoeringVeilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.(industrie) good practiceBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Voor het creëren van programma code wordt gebruik gemaakt van good practicesAPO_U.08.03Voor het creëren van programma code wordt gebruik gemaakt van good practicesNorm1.0Actueel7 april 2021UitvoeringVoor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).(industrie) good practiceBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Geen gebruik van onveilig programmatechniekenAPO_U.08.04Geen gebruik van onveilig programmatechniekenNorm1.0Actueel7 april 2021UitvoeringHet gebruik van onveilig programmatechnieken is niet toegestaan.(industrie) good practiceBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenAPO_U.08.05(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenNorm1.0Actueel7 april 2021UitvoeringProgrammacode is beschermd tegen ongeautoriseerde wijzigingen.(industrie) good practiceBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Activiteiten van applicatiebouw worden gereviewdAPO_U.08.06Activiteiten van applicatiebouw worden gereviewdNorm1.0Actueel7 april 2021UitvoeringActiviteiten van applicatiebouw worden gereviewd.(industrie) good practiceBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanterenAPO_U.08.07De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanterenNorm1.0Actueel7 april 2021UitvoeringDe ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.juiste skills/toolsBIO Thema-uitwerking ApplicatieontwikkelingApplicatiebouw
    Functionarissen testen functionele requirementsAPO_U.09.01Functionarissen testen functionele requirementsNorm1.0Actueel7 april 2021UitvoeringVanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).bedrijfsfunctionaliteitenBIO Thema-uitwerking ApplicatieontwikkelingTesten van systeembeveiliging
    In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekAPO_U.09.02In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekNorm1.0Actueel7 april 2021UitvoeringDe functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.beveiligingsfunctionaliteitenBIO Thema-uitwerking ApplicatieontwikkelingTesten van systeembeveiliging
    Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktAPO_U.10.01Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktNorm1.0Actueel7 april 2021UitvoeringVoor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Van de resultaten van de testen wordt een verslag gemaaktAPO_U.10.02Van de resultaten van de testen wordt een verslag gemaaktNorm1.0Actueel7 april 2021UitvoeringVan de resultaten van de testen wordt een verslag gemaakt.acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Testresultaten worden formeel geëvalueerd en beoordeeldAPO_U.10.03Testresultaten worden formeel geëvalueerd en beoordeeldNorm1.0Actueel7 april 2021UitvoeringTestresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingAPO_U.10.04Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingNorm1.0Actueel7 april 2021Uitvoering(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangAPO_U.10.05Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangNorm1.0Actueel7 april 2021UitvoeringVoordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensAPO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensNorm1.0Actueel7 april 2021UitvoeringTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenAPO_U.10.07Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenNorm1.0Actueel7 april 2021UitvoeringBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
  • acceptatietestsBIO Thema-uitwerking ApplicatieontwikkelingSysteem acceptatietests
    Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermenAPO_U.11.01Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermenNorm1.0Actueel7 april 2021UitvoeringDe volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
  • testgegevensBIO Thema-uitwerking ApplicatieontwikkelingBeschermen van testgegevens
    Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingAPO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingNorm1.0Actueel7 april 2021UitvoeringUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenAPO_U.12.02Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenNorm1.0Actueel7 april 2021UitvoeringDe organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenAPO_U.12.03De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenNorm1.0Actueel7 april 2021UitvoeringDe taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Voor remote werkzaamheden is een werkwijze vastgelegdAPO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegdNorm1.0Actueel7 april 2021UitvoeringVoor remote werkzaamheden is een werkwijze vastgelegd.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Ontwikkelaars hebben geen toegang tot productieomgevingAPO_U.12.05Ontwikkelaars hebben geen toegang tot productieomgevingNorm1.0Actueel7 april 2021UitvoeringOntwikkelaars hebben geen toegang tot de Productie-omgeving.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenAPO_U.12.06Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenNorm1.0Actueel7 april 2021UitvoeringT.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsAPO_U.12.07De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsNorm1.0Actueel7 april 2021UitvoeringDe overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsAPO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsNorm1.0Actueel7 april 2021UitvoeringDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingBeveiligde ontwikkel- (en test) omgeving
    De overdracht naar de Productieomgeving vindt gecontroleerd plaatsAPO_U.12.09De overdracht naar de Productieomgeving vindt gecontroleerd plaatsNorm1.0Actueel8 april 2021UitvoeringDe overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.beveiligde ontwikkelomgevingenBIO Thema-uitwerking ApplicatieontwikkelingUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
    Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnenAPO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnenNorm1.0Actueel7 april 2021UitvoeringKoppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.koppelingsrichtlijnenBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppelingen
    Van het type koppelingen is een overzicht aanwezigAPO_U.13.02Van het type koppelingen is een overzicht aanwezigNorm1.0Actueel7 april 2021UitvoeringVan het type koppelingen is een overzicht aanwezig.koppelingsrichtlijnenBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppelingen
    Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachtenAPO_U.13.03Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachtenNorm1.0Actueel7 april 2021UitvoeringKoppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.koppelingsrichtlijnenBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppelingen
    De uitgevoerde koppelingen worden geregistreerdAPO_U.13.04De uitgevoerde koppelingen worden geregistreerdNorm1.0Actueel7 april 2021UitvoeringDe uitgevoerde koppelingen worden geregistreerd.koppelingsrichtlijnenBIO Thema-uitwerking ApplicatieontwikkelingApplicatiekoppelingen
    Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten wordenAPO_U.14.01Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten wordenNorm1.0Actueel8 april 2021UitvoeringWelke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.loggingBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring
    Informatie ten aanzien van autorisatie(s) wordt vastgelegdAPO_U.14.02InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegdNorm1.0Actueel8 april 2021UitvoeringInformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.loggingBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring
    De loggegevens zijn beveiligdAPO_U.14.03De loggegevens zijn beveiligdNorm1.0Actueel1 februari 2019UitvoeringDe loggegevens zijn beveiligd.loggingBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring
    De locatie van de vastlegging van de loggegevens is vastgesteldAPO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteldNorm1.0Actueel8 april 2021UitvoeringDe locatie van de vastlegging van de loggegevens is vastgesteld.loggingBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring
    De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet wordenAPO_U.14.05De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet wordenNorm1.0Actueel8 april 2021UitvoeringDe applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.monitoringBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring
    De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegdAPO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegdNorm1.0Actueel8 april 2021UitvoeringDe frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.monitoringBIO Thema-uitwerking ApplicatieontwikkelingLogging en monitoring
    De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldAPO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldNorm1.0Actueel7 april 2021UitvoeringDe architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.BIO Thema-uitwerking ApplicatieontwikkelingApplicatie architectuur
    Het architectuur document wordt actief onderhoudenAPO_U.15.02Het architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. document wordt actief onderhoudenNorm1.0Actueel7 april 2021UitvoeringHet architectuurdocument wordt actief onderhouden.applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.BIO Thema-uitwerking ApplicatieontwikkelingApplicatie architectuur
    De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepastAPO_U.15.03De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepastNorm1.0Actueel7 april 2021UitvoeringDe voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.BIO Thema-uitwerking ApplicatieontwikkelingApplicatie architectuur
    Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichtenAPO_U.15.04Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichtenNorm1.0Actueel7 april 2021UitvoeringTussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.samenhangBIO Thema-uitwerking ApplicatieontwikkelingApplicatie architectuur
    Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaarAPO_U.15.05Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaarNorm1.0Actueel7 april 2021UitvoeringHet is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).samenhangBIO Thema-uitwerking ApplicatieontwikkelingApplicatie architectuur
    De relatie tussen de persoonsgegevens is inzichtelijkAPO_U.15.06De relatie tussen de persoonsgegevens is inzichtelijkNorm1.0Actueel7 april 2021UitvoeringDe relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk.samenhangBIO Thema-uitwerking ApplicatieontwikkelingApplicatie architectuur
    Het tool ondersteunt alle fasen van het ontwikkelprocesAPO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelprocesNorm1.0Actueel7 april 2021UitvoeringHet tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.faciliteitenBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenAPO_U.16.02Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenNorm1.0Actueel7 april 2021UitvoeringHet tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.faciliteitenBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Het tool beschikt over faciliteiten voor versie- en releasebeheerAPO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheerNorm1.0Actueel7 april 2021UitvoeringHet tool beschikt over faciliteiten voor versie- en releasebeheer.faciliteitenBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Faciliteiten van het toolAPO_U.16.04Faciliteiten van het toolNorm1.0Actueel7 april 2021UitvoeringHet tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
  • faciliteitenBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Het tool beschikt over faciliteiten voor de koppelingen met externe bronnenAPO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnenNorm1.0Actueel7 april 2021UitvoeringHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen.faciliteitenBIO Thema-uitwerking ApplicatieontwikkelingTooling ontwikkelmethode
    Informeren welke wet- en regelgeving van toepassing is op clouddienstenCLD_B.01.01Informeren welke wet- en regelgeving van toepassing is op clouddienstenNorm1.0Actueel8 april 2021BeleidDe CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.wettelijke, statutaire en regelgevende eisenBIO Thema-uitwerking ClouddienstenWet- en regelgeving
    Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteitenCVZ_B.01.01Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteitenNorm2.0Actueel29 maart 2021BeleidHet beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.BeleidsregelsBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    Beleid of richtlijnen omschrijven het toepassen van cryptografieCVZ_B.01.02Beleid of richtlijnen omschrijven het toepassen van cryptografieNorm2.0Actueel29 maart 2021BeleidHet beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.BeleidsregelsBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag wordenCVZ_B.01.03Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag wordenNorm2.0Actueel29 maart 2021BeleidHet beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.BeleidsregelsBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    Procedures beschrijven het beveiligen van informatieCVZ_B.01.04Procedures beschrijven het beveiligen van informatieNorm2.0Actueel29 maart 2021BeleidDe procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging.ProceduresBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    Procedures beschrijven het opsporen van en beschermen tegen malwareCVZ_B.01.05Procedures beschrijven het opsporen van en beschermen tegen malwareNorm2.0Actueel29 maart 2021BeleidDe procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017).ProceduresBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatieCVZ_B.01.06Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatieNorm2.0Actueel29 maart 2021BeleidDe procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.ProceduresBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurdCVZ_B.01.07E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurdNorm2.0Actueel29 maart 2021BeleidE-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.BeheersmaatregelenBIO Thema-uitwerking CommunicatievoorzieningenBeleid en procedures informatietransport
    Elementen in overeenkomsten over informatietransportCVZ_B.02.01Elementen in overeenkomsten over informatietransportNorm2.0Actueel29 maart 2021BeleidOvereenkomsten over informatietransport bevatten onder andere de volgende elementen:
  • directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  • procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
  • speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  • het handhaven van een bewakingsketen voor informatie tijdens de verzending;
  • acceptabele niveaus van toegangsbeveiliging.
  • OvereenkomstenBIO Thema-uitwerking CommunicatievoorzieningenOvereenkomsten over informatietransport
    In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijnCVZ_B.02.02In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijnNorm2.0Actueel29 maart 2021BeleidIn de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn.OvereenkomstenBIO Thema-uitwerking CommunicatievoorzieningenOvereenkomsten over informatietransport
    In het cryptografiebeleid uitgewerkte onderwerpenCVZ_B.03.01In het cryptografiebeleid uitgewerkte onderwerpenNorm2.0Actueel29 maart 2021BeleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wanneer cryptografie ingezet wordt.
  • Wie verantwoordelijk is voor de implementatie.
  • Wie verantwoordelijk is voor het sleutelbeheer.
  • Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • De wijze waarop het beschermingsniveau wordt vastgesteld.
  • Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld
  • CryptografiebeleidBIO Thema-uitwerking CommunicatievoorzieningenCryptografiebeleid voor communicatie
    Aanvullende onderdelen in het cryptografiebeleidCVZ_B.03.02Aanvullende onderdelen in het cryptografiebeleidNorm2.0Actueel29 maart 2021BeleidAanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
  • Welk type gegevens moet voor welke communicatievorm worden versleuteld.
  • Welk type gegevens elektronisch worden ondertekend.
  • Aan welke standaarden cryptografische toepassingen dienen te voldoen.
  • In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast.
  • CryptografiebeleidBIO Thema-uitwerking CommunicatievoorzieningenCryptografiebeleid voor communicatie
    In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemdCVZ_B.04.01In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemdNorm2.0Actueel29 maart 2021BeleidIn de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management)OrganisatiestructuurBIO Thema-uitwerking CommunicatievoorzieningenOrganisatiestructuur van netwerkbeheer
    De beheer(sing)processen hebben een formele positie binnen de gehele organisatieCVZ_B.04.02De beheer(sing)processen hebben een formele positie binnen de gehele organisatieNorm2.0Actueel29 maart 2021BeleidDe beheer(sings)processen hebben volgens het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie.OrganisatiestructuurBIO Thema-uitwerking CommunicatievoorzieningenOrganisatiestructuur van netwerkbeheer
    De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerdCVZ_B.04.03De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerdNorm2.0Actueel29 maart 2021BeleidDe taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.OrganisatiestructuurBIO Thema-uitwerking CommunicatievoorzieningenOrganisatiestructuur van netwerkbeheer
    De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerdCVZ_C.01.01De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerdNorm2.0Actueel30 maart 2021ControlDe naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
  • netwerktopologie/-ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’;
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen;
  • autorisatiemechanismen en een actuele administratie van de uitgegeven rechten;
  • actuele beleidsregels voor de netwerkbeveiliging;
  • aanwijzingen voor hardening van netwerkcomponenten;
  • verifieerbare auditlogoplossing.
  • NalevingBIO Thema-uitwerking CommunicatievoorzieningenNaleving richtlijnen netwerkbeheer en evaluaties
    Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’sCVZ_C.02.01Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’sNorm2.0Actueel30 maart 2021ControlDe controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • een actueel beveiligingsbeleid;
  • gerelateerde security operation-documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • het beleid voor toegang tot security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
  • InrichtingBIO Thema-uitwerking CommunicatievoorzieningenCompliance toets netwerkbeveiliging
    Checklist voor veilige inrichting van netwerk(diensten)CVZ_C.02.02Checklist voor veilige inrichting van netwerk(diensten)Norm2.0Actueel30 maart 2021ControlInformatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.PeriodiekBIO Thema-uitwerking CommunicatievoorzieningenCompliance toets netwerkbeveiliging
    Resultaten worden gerapporteerd aan het verantwoordelijke managementCVZ_C.02.03Resultaten worden gerapporteerd aan het verantwoordelijke managementNorm2.0Actueel30 maart 2021ControlDe resultaten worden gerapporteerd aan het verantwoordelijke management.VerantwoordelijkBIO Thema-uitwerking CommunicatievoorzieningenCompliance toets netwerkbeveiliging
    De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerdCVZ_C.03.01De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerdNorm2.0Actueel30 maart 2021ControlDe teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • de robuustheid van het ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’;
  • de sterkte van Identificatie-, Authenticatie en Autorisatie (IAA)-mechanismen en de relevantie van uitgegeven rechten;
  • de juiste implementatie van de beleidsregels voor netwerkbeveiliging;
  • de verificatie van de hardening van netwerkcomponenten;
  • de verificatie van de auditlogoplossing;
  • de bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door servicepersoneel en eindgebruikers.
  • RobuustheidBIO Thema-uitwerking CommunicatievoorzieningenEvalueren robuustheid netwerkbeveiliging
    Zeer belangrijke onderdelen van netwerkbeveiligingCVZ_C.04.01Zeer belangrijke onderdelen van netwerkbeveiligingNorm2.0Actueel30 maart 2021ControlZeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren en vervolgens;
  • snel reageren.
  • Onderzoek van gebeurtenissenBIO Thema-uitwerking CommunicatievoorzieningenEvalueren netwerkgebeurtenissen (monitoring)
    Continue bewaking via monitoringCVZ_C.04.02Continue bewaking via monitoringNorm2.0Actueel30 maart 2021ControlContinue bewaking via monitoring legt de volgende informatie vast:
  • auditlogs vanuit de netwerkcomponenten: firewalls, router, servers etc.;
  • analyse-informatie vanuit Intrusion Detection Systems (IDS);
  • resultaten vanuit netwerkscanningsactiviteiten.
  • Onderzoek van gebeurtenissenBIO Thema-uitwerking CommunicatievoorzieningenEvalueren netwerkgebeurtenissen (monitoring)
    De communicatievoorzieningen worden geïdentificeerd en gedefinieerdCVZ_C.05.01De communicatievoorzieningen worden geïdentificeerd en gedefinieerdNorm2.0Actueel30 maart 2021ControlDe communicatievoorzieningen worden geïdentificeerd en gedefinieerd.VerantwoordelijkhedenBIO Thema-uitwerking CommunicatievoorzieningenBeheerorganisatie netwerkbeveiliging
    Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatieCVZ_C.05.02Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatieNorm2.0Actueel30 maart 2021ControlBeheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
  • De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend.
  • De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd.
  • De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken.
  • De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
  • VerantwoordelijkhedenBIO Thema-uitwerking CommunicatievoorzieningenBeheerorganisatie netwerkbeveiliging
    Stappen ter voorbereiding van veilige netwerkontwerpenCVZ_U.01.01Stappen ter voorbereiding van veilige netwerkontwerpenNorm2.0Actueel29 maart 2021UitvoeringDe voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van middelen (assets);
  • inventarisatie van functionele eisen;
  • beoordeling van functionele eisen in de context van het beoogd gebruik;
  • evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
  • evaluatie van bestaande ontwerpen en implementaties.
  • OntwerpBIO Thema-uitwerking CommunicatievoorzieningenRichtlijnen netwerkbeveiliging
    Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”CVZ_U.01.02Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”Norm2.0Actueel29 maart 2021UitvoeringLeidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen.OntwerpBIO Thema-uitwerking CommunicatievoorzieningenRichtlijnen netwerkbeveiliging
    Netwerkbeveiliging is gebaseerd op ITU-T X.80xCVZ_U.01.03Netwerkbeveiliging is gebaseerd op ITU-T X.80xNorm2.0Actueel29 maart 2021UitvoeringNetwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C).OntwerpBIO Thema-uitwerking CommunicatievoorzieningenRichtlijnen netwerkbeveiliging
    Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichtenCVZ_U.01.04Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichtenNorm2.0Actueel29 maart 2021UitvoeringNetwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.OntwerpBIO Thema-uitwerking CommunicatievoorzieningenRichtlijnen netwerkbeveiliging
    De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevatCVZ_U.01.05De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevatNorm2.0Actueel29 maart 2021UitvoeringDe implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012.ImplementatieBIO Thema-uitwerking CommunicatievoorzieningenRichtlijnen netwerkbeveiliging
    Netwerken zijn zo opgezet dat ze centraal beheerd kunnen wordenCVZ_U.01.06Netwerken zijn zo opgezet dat ze centraal beheerd kunnen wordenNorm2.0Actueel29 maart 2021UitvoeringNetwerken zijn zo opgezet dat ze centraal beheerd kunnen worden.BeheerBIO Thema-uitwerking CommunicatievoorzieningenRichtlijnen netwerkbeveiliging
    Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaaktCVZ_U.02.01Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaaktNorm2.0Actueel30 maart 2021UitvoeringVoor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.InlogprocedureBIO Thema-uitwerking CommunicatievoorzieningenBeveiligde inlogprocedure
    Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zoneCVZ_U.02.02Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zoneNorm2.0Actueel30 maart 2021UitvoeringAls vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie.InlogprocedureBIO Thema-uitwerking CommunicatievoorzieningenBeveiligde inlogprocedure
    Toegang tot netwerken is beperkt tot geautoriseerde gebruikersCVZ_U.02.03Toegang tot netwerken is beperkt tot geautoriseerde gebruikersNorm2.0Actueel30 maart 2021UitvoeringToegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
    1. Remote login

    Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.

    1. Versterkte authenticatie

    Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.

    1. Single Sign-On
    Voor situaties waarbij netwerken worden geacht authenticatie-checks uit te voeren voor verschillende toepassingen.
    InlogprocedureBIO Thema-uitwerking CommunicatievoorzieningenBeveiligde inlogprocedure
    Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteldCVZ_U.03.01Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteldNorm2.0Actueel30 maart 2021UitvoeringVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.BeheerdBIO Thema-uitwerking CommunicatievoorzieningenNetwerk beveiligingsbeheer
    Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnenCVZ_U.03.02Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnenNorm2.0Actueel30 maart 2021UitvoeringNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.BeheerdBIO Thema-uitwerking CommunicatievoorzieningenNetwerk beveiligingsbeheer
    Beheeractiviteiten worden nauwgezet gecoördineerdCVZ_U.03.03Beheeractiviteiten worden nauwgezet gecoördineerdNorm2.0Actueel30 maart 2021UitvoeringBeheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast.BeheerdBIO Thema-uitwerking CommunicatievoorzieningenNetwerk beveiligingsbeheer
    Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteldCVZ_U.03.04Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteldNorm2.0Actueel30 maart 2021UitvoeringTer bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld.BeheerdBIO Thema-uitwerking CommunicatievoorzieningenNetwerk beveiligingsbeheer
    De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheidenCVZ_U.03.05De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheidenNorm2.0Actueel30 maart 2021UitvoeringDe functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden.BeheerstBIO Thema-uitwerking CommunicatievoorzieningenNetwerk beveiligingsbeheer
    Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerdCVZ_U.03.06Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerdNorm2.0Actueel30 maart 2021UitvoeringSystemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.BeheerstBIO Thema-uitwerking CommunicatievoorzieningenNetwerk beveiligingsbeheer
    Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomstenCVZ_U.04.01Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomstenNorm2.0Actueel30 maart 2021UitvoeringVoor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
    • de looptijd van een overeenkomst;
    • de benodigde acties bij beëindiging;
    • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
    • hoe het eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
    • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
    • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
    • de acties in geval van schending van de overeenkomst;
    • de privacyregelgeving (Algemene Verordening Gegevensbescherming (AVG) en Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)).
    Vertrouwelijkheids- of geheimhoudingsovereenkomstenBIO Thema-uitwerking CommunicatievoorzieningenVertrouwelijkheids- of geheimhoudingsovereenkomst
    Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementenCVZ_U.05.01Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementenNorm2.0Actueel30 maart 2021UitvoeringBij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau Verbindingsveiligheid (NBV) een positief inzetadvies heeft afgegeven.BeveiligingsmechanismenBIO Thema-uitwerking CommunicatievoorzieningenBeveiliging netwerkdiensten
    Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheidCVZ_U.05.02Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheidNorm2.0Actueel30 maart 2021UitvoeringDe noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.BeveiligingsmechanismenBIO Thema-uitwerking CommunicatievoorzieningenBeveiliging netwerkdiensten
    Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelenCVZ_U.05.03Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelenNorm2.0Actueel30 maart 2021UitvoeringBeveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
  • Applicatieniveau
  • Voor authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: encryptie.

    • Transportniveau

    Voor veilige point to point-verbindingen: encryptie.

    • Netwerkniveau
    Voor veilige communicatie tussen devices, encryptie, firewalls en netwerkverbindingen: Virtual Private Network (VPN).
    BeveiligingsmechanismenBIO Thema-uitwerking CommunicatievoorzieningenBeveiliging netwerkdiensten
    Eisen op basis waarvan het dienstverleningsniveau wordt afgestemdCVZ_U.05.04Eisen op basis waarvan het dienstverleningsniveau wordt afgestemdNorm2.0Actueel30 maart 2021UitvoeringHet dienstverleningsniveau wordt afgestemd op de volgende eisen:
    • de vereiste performance en beschikbaarheid van het netwerk;
    • de toegestane verbindingstypen;
    • de toegestane netwerkprotocollen;
    • de toegepaste applicaties op de te leveren netwerkservices;
    • de beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
    DienstverleningsniveausBIO Thema-uitwerking CommunicatievoorzieningenBeveiliging netwerkdiensten
    De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomstCVZ_U.05.05De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomstNorm2.0Actueel30 maart 2021UitvoeringHet dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.BeheereisenBIO Thema-uitwerking CommunicatievoorzieningenBeveiliging netwerkdiensten
    Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagenCVZ_U.05.06Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagenNorm2.0Actueel30 maart 2021UitvoeringBij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cybersecurity Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).BeheereisenBIO Thema-uitwerking CommunicatievoorzieningenBeveiliging netwerkdiensten
    Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveauCVZ_U.06.01Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveauNorm2.0Actueel30 maart 2021UitvoeringHet netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Gescheiden (in domeinen)BIO Thema-uitwerking CommunicatievoorzieningenZonering en filtering
    Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloedingCVZ_U.06.02Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloedingNorm2.0Actueel30 maart 2021UitvoeringAlle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Gescheiden (in domeinen)BIO Thema-uitwerking CommunicatievoorzieningenZonering en filtering
    Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerstCVZ_U.06.03Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerstNorm2.0Actueel30 maart 2021UitvoeringPerimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router).Gescheiden (in domeinen)BIO Thema-uitwerking CommunicatievoorzieningenZonering en filtering
    … overige resultaten