Beveiligingsaspect Beleid

Uit NORA Online
Ga naar: navigatie, zoeken

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Alle Normen) binnen het Beveiligingsaspect Beleid weer. Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool

Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Beleid

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Uitleg Beveiligingsaspecten[bewerken]

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

De ISOR onderscheidt drie verschillende beveiligingsaspecten:


Benamingen en uitleg binnen SIVA-methodiek

De SIVA-methodiek beschrijft dat de structuur is opgebouwd uit een aantal lagen waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

Beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur. Met behulp van de karakterisering van het auditobject en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

Uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

Control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Beleid[bewerken]

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina ControlNormenkader
Applicatieontwikkeling ControlBIO Thema-uitwerking Applicatieontwikkeling
Clouddiensten ControlBIO Thema-uitwerking Clouddiensten
Communicatievoorzieningen ControlBIO Thema-uitwerking Communicatievoorzieningen
Huisvesting Informatievoorzieningen ControlBIO Thema-uitwerking Huisvesting Informatievoorzieningen
Middleware ControlBIO Thema-uitwerking Middleware
Privacy Control: het control- of beheerdomeinDe Privacy Baseline
Serverplatform ControlBIO Thema-uitwerking Serverplatform
Softwarepakketten ControlBIO Thema-uitwerking Softwarepakketten
Toegangsbeveiliging ControlBIO Thema-uitwerking Toegangsbeveiliging

Alle Principes binnen Beveiligingsaspect Beleid[bewerken]

IDPrincipeCriterium
APO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
APO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
APO_B.03Classificatie van InformatieInformatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
APO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
APO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid (BIVC) hebben op de organisatie.
APO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
APO_B.07Kwaliteitsmanagement systeem (KMS)De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.
APO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
APO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
CLD_B.01Wet- en regelgeving clouddienstenAlle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
CLD_B.02Cloud beveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
CLD_B.03Exit strategie clouddienstenIn de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
CLD_B.04Clouddiensten beleidDe CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
CLD_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
CLD_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
CLD_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
CLD_B.08Business Continuïty ManagementDe CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
CLD_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
CLD_B.10Beveiligingsorganisatie clouddienstenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
CLD_B.11Clouddiensten architectuurDe CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT functionaliteiten.
CVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CVZ_B.02Overeenkomsten informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
CVZ_B.04Organisatiestructuur netwerkbeheerIn het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.
HVI_B.01Huisvesting informatievoorzieningenbeleidTen behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
HVI_B.02Wet- en regelgeving Huisvesting IVAlle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
HVI_B.03EigenaarschapHuisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.
HVI_B.04CertificeringHuisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
HVI_B.05ContractmanagementHuisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
HVI_B.06Service Level ManagementHet management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).
HVI_B.07In- en externe bedreigingenTegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
HVI_B.08Training en bewustwordingAlle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
HVI_B.09Huisvesting IV-organisatiestructuurDe huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingDe organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'.
PRIV_B.02Organieke inbeddingDe verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03Risicomanagement, Privacy by Design en de DPIADe verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
SVP_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SVP_B.02Principes voor inrichten beveiligde serversPrincipes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SVP_B.03Serverplatform-architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
SWP_B.01Verwervingsbeleid softwarepakkettenVoor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.
SWP_B.02Informatiebeveiligingsbeleid voor leveranciersrelatiesMet de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.
SWP_B.03Exit-strategie softwarepakkettenIn de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.
SWP_B.04Bedrijfs- en beveiligingsfunctiesDe noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.
SWP_B.05Cryptografie softwarepakettenTer bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
SWP_B.06BeveiligingsarchitectuurDe klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld.
TBV_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
TBV_B.02Eigenaarschap toegangsbeveiligingssysteemHet eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.
TBV_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.
TBV_B.04Cryptografie toegangsbeveiligingTer bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
TBV_B.05Beveiligingsorganisatie ToegangsbeveiligingDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
TBV_B.06ToegangsbeveiligingsarchitectuurDe organisatie behoort op basis van de organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.

Alle onderliggende Normen binnen Beveiligingsaspect Beleid[bewerken]

IDNormStelling
APO_B.01.01De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkelingDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.
APO_B.01.02Grip op Secure Software Development' als uitgangspunt voor softwareontwikkelingDe Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.
APO_B.01.03Overwegingen bij het beleid voor beveiligd ontwikkelen van softwareIn het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
APO_B.01.04Technieken voor beveiligd programmerenTechnieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.
APO_B.02.01Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologieEen formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).
APO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passenSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.
APO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitordAdoptie van ontwikkelmethodologie wordt gemonitord.
APO_B.02.04Software wordt ontwikkelen conform standaarden en proceduresStandaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
APO_B.02.05De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenDe systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • APO_B.02.06Het softwareontwikkeling wordt projectmatig aangepaktHet ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • APO_B.03.01Dataclassificatie' als uitgangspunt voor softwareontwikkelingDe Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.
    APO_B.03.02Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerdIn alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.
    APO_B.03.03Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschemaBij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.
    APO_B.03.04Verplichtingen uit wet en regelgeving en organisatorische en technische requirementsIn het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.
    APO_B.04.01Security by Design als uitgangspunt voor softwareontwikkelingDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.
    APO_B.04.02Principes voor het beveiligen van informatiesystemenVoor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • APO_B.04.03Beveiliging is integraal onderdeel van systeemontwikkelingBeveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.
    APO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelenOntwikkelaars zijn getraind om veilige software te ontwikkelen.
    APO_B.05.01Perspectieven bij de Business Impact AnalyseBij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • APO_B.05.02Scenario's voor de Business Impact AnalyseDe business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • APO_B.05.03Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieMet de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • APO_B.06.01GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemenOm privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.
    APO_B.06.02procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomstenVoor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.
    APO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisenEen tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.
    APO_B.06.04Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpakPrivacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.
    APO_B.06.05Risicomanagement aanpak aantoonbaar toegepastDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.
    APO_B.06.06Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerdOp basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.
    APO_B.07.01De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleidDe doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.
    APO_B.07.02De doelorganisatie beschikt over QA- en KMS-methodiekDe doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.
    APO_B.07.03De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerdDe ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.
    APO_B.07.04Voor informatie- en communicatie zijn processen ingerichtEr zijn informatie- en communicatieprocessen ingericht.
    APO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    APO_B.07.06Aan het management worden evaluatierapportages verstrektAan het management worden evaluatie rapportages verstrekt.
    APO_B.07.07applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMSDe processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.
    APO_B.08.01Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomenOm de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    APO_B.08.02Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerdAls het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).
    APO_B.09.01Taken van de beveiligingsfunctionarisDe beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    APO_B.09.02Inzicht gegeven door de beveiligingsfunctionarisDe beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • CLD_B.01.01Informeren welke wet- en regelgeving van toepassing is op clouddienstenDe CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.
    CLD_B.01.02Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevensDe CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.
    CLD_B.01.03Identificeren vereisten die van toepassing zijnDe voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.
    CLD_B.01.04Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereistenDe CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.
    CLD_B.01.05Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisenVoor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.
    CLD_B.01.06Vaststellen alle van toepassing zijnde wet- en regelgevingDe CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.
    CLD_B.02.01Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteuntDe cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten bewerkstelligt.
  • CLD_B.02.02Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontextDe cloudbeveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.
  • CLD_B.02.03Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelenDe samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • CLD_B.03.01Vastleggen bepalingen over exit-regelingDe CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
  • de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities);
  • de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd;
  • de opzegtermijn geeft voldoende tijd om te kunnen migreren;
  • data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden;
  • door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd;
  • de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • CLD_B.03.02Overgaan tot exit buiten verstrijken contractperiodeDe CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • de contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van het SLA;
    • prijsverhoging.
  • de geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of life van de clouddienst(en);
    • achterwege blijvende features.
  • CLD_B.04.01Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleidHet cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy maatregelen ten aanzien van wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
    • toegang tot en protectie van data van de CSC;
    • lifecycle-management van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • CLD_B.05.01Bevatten diverse aspecten in systeembeschrijvingDe systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven op basis van Service Level Agreements;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.
  • CLD_B.05.02SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatieDe SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.
    CLD_B.05.03SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkhedenDe SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.
    CLD_B.05.04SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificatenDe SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.
    CLD_B.06.01Hebben CSP-verantwoordelijkhedenDe verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • CLD_B.06.02Goedkeuren organisatie van risicomanagementprocesDe organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.
    CLD_B.06.03Beschrijven risicomanagementprocesHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.
    CLD_B.07.01Treffen maatregelen voor beveiliging IT-functionaliteitenVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.
    CLD_B.07.02Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuurTechnische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.
    CLD_B.07.03Bewaken en beheersen IT-infrastructuurDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.
    CLD_B.07.04Inrichten infrastructuur met betrouwbare hardware- en software-componentenDe infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.
    CLD_B.07.05Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallenEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.
    CLD_B.08.01Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkhedenDe CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.
    CLD_B.08.02Zeker stellen adequate resources voor uitvoeren van BCM-procesDe verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.
    CLD_B.08.03Committeren aan vastgestelde BCM-vereistenHet management van de CSP committeert zich aan de vastgestelde BCM-vereisten.
    CLD_B.08.04Vaststellen en communiceren BCM- en BIA-beleidHet BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.
    CLD_B.08.05Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservicesBeleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatie van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • CLD_B.08.06Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteitDe CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheid van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • CLD_B.08.07Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannenDe business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.
    CLD_B.08.08Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testenBij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.
    CLD_B.08.09Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningenDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.
    CLD_B.09.01Treffen maatregelen voor opslag, verwerking en transport van dataVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.
    CLD_B.09.02Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptieTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.
    CLD_B.09.03Toekennen classificatie aan data en middelen waarin/waarop zich data bevindtAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.
    CLD_B.09.04Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerkenData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.
    CLD_B.09.05Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddienstenDe CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.
    CLD_B.09.06Vaststellen eigenaarschap van middelen die deel uitmaken van clouddienstenHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.
    CLD_B.09.07Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienstIn de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.
    CLD_B.09.08Specificeren en documenteren opslag op welke locatie dataDe CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.
    CLD_B.10.01Bewerkstelligen en promoten cloudbeveiligingsbeleidDe beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • CLD_B.10.02Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelenDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • cloudrisico-assessment-activiteiten;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiliging van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • CLD_B.10.03Geven positie van informatiebeveiligingsorganisatie binnen organisatieDe CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. NB Dit een voorstel van de werkgroep (WGR) en stuurgroep (SGR).
    CLD_B.10.04Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk makenDe belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.
    CLD_B.10.05Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiligingDe CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiliging beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.
    CLD_B.10.06Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrixDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.
    CLD_B.10.07Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissenDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.
    CLD_B.10.08Vaststellen type, frequentie en eisen voor inhoudelijke rapportagesHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.
    CLD_B.11.01Bevatten diverse aspecten voor raamwerkHet raamwerk bevat de volgende aspecten:
    • beveiligingsbeleid CSP op basis van principes, wet- en regelgeving;
    • functioneel; type en scope van de clouddiensten;
    • zoneringsmodel voor scheiding tussen CSC’s;
    • trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie);
    • SLA’s en valide certificaten;
    • risicomanagement.
    CLD_B.11.02Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoudDe onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.
    CVZ_B.01.01Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteitenHet beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.
    CVZ_B.01.02Beleid of richtlijnen omschrijven het toepassen van cryptografieHet beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie.
    CVZ_B.01.03Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag wordenHet beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.
    CVZ_B.01.04Procedures beschrijven het beveiligen van informatieDe procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging.
    CVZ_B.01.05Procedures beschrijven het opsporen van en beschermen tegen malwareDe procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017).
    CVZ_B.01.06Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatieDe procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.
    CVZ_B.01.07E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurdE-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.
    CVZ_B.02.01Elementen in overeenkomsten over informatietransportOvereenkomsten over informatietransport bevatten onder andere de volgende elementen:
  • directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  • procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheid;
  • speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  • het handhaven van een bewakingsketen voor informatie tijdens de verzending;
  • acceptabele niveaus van toegangsbeveiliging.
  • CVZ_B.02.02In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijnIn de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn.
    CVZ_B.03.01In het cryptografiebeleid uitgewerkte onderwerpenIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wanneer cryptografie ingezet wordt.
  • Wie verantwoordelijk is voor de implementatie.
  • Wie verantwoordelijk is voor het sleutelbeheer.
  • Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • De wijze waarop het beschermingsniveau wordt vastgesteld.
  • Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld
  • CVZ_B.03.02Aanvullende onderdelen in het cryptografiebeleidAanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
  • Welk type gegevens moet voor welke communicatievorm worden versleuteld.
  • Welk type gegevens elektronisch worden ondertekend.
  • Aan welke standaarden cryptografische toepassingen dienen te voldoen.
  • In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast.
  • ... meer resultaten