Beveiligingsprincipes
Uit NORA Online
Op deze pagina vind u alle Beveiligingsprincipes uit de NORANederlandse Overheid Referentie Architectuur. Privacyprincipes komen oorspronkelijk voort uit de normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken onderdeel uit van de Information Security Object Repository (ISOR). Het is de bedoeling dat de Beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide principes en het thema Beveiliging.
Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.
Alle privacyprincipes
De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.
| ID | Naam | Criterium | Doelstelling |
|---|---|---|---|
| AppO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.02 | Systeem ontwikkelmethode | Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.03 | Classificatie van Informatie | InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.04 | Engineeringprincipes beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | |
| AppO_B.05 | Business Impact Analyse | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.06 | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.07 | Kwaliteitsmanagement systeem (KMS) | De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.01 | Richtlijnen evaluatie ontwikkelactiviteiten | De projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.02 | Versie Management | De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.03 | Patchmanagement van externe programmacode | Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd. | |
| AppO_C.04 | (Software) configuratie management | De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.05 | Compliance management | De projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.06 | Quality assurance | De projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.07 | Technische beoordeling van informatiesystemen na wijziging besturingsplatform | Bij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.08 | Beheersing van software ontwikkeling(sprojecten) | De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.01 | Procedures voor wijzigingsbeheer m.b.t. applicaties | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. | |
| AppO_U.02 | Beperkingen voor de installatie van software(richtlijnen) | Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.03 | Richtlijnen voor programmacode (best practices) | Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.04 | Analyse en specificatie van informatiesystemen | De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.05 | Analyse en specificatie van informatiebeveiligingseisen | De beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen. | |
| AppO_U.06 | Applicatie ontwerp | Het applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.07 | Applicatie functionaliteiten | Informatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen. | |
| AppO_U.08 | Applicatiebouw | De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.09 | Testen van systeembeveiliging | Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest. | |
| AppO_U.10 | Systeem acceptatietests | Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. | |
| AppO_U.11 | Beschermen van testgegevens | Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.12 | Beveiligde ontwikkel- (en test) omgeving | Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.13 | Applicatiekoppelingen | De koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen. | |
| AppO_U.15 | Applicatie architectuur | De functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd. | |
| AppO_U.16 | Tooling ontwikkelmethode | De ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus. | De reden waarom de norm gehanteerd wordt. |
| Cloud_B.01 | Wet- en regelgeving | Alle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. | |
| Cloud_B.02 | Cloudbeveiligingsstrategie | De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt. | |
| Cloud_B.03 | Exit-strategie | In de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit). | |
| Cloud_B.04 | Clouddienstenbeleid | De CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren. | |
| Cloud_B.05 | Transparantie | De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd. | |
| Cloud_B.06 | Risicomanagement | De CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden. | |
| Cloud_B.07 | IT-functionaliteiten | IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC. | |
| Cloud_B.08 | Bedrijfscontinuïteitsmanagement | De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra. | |
| Cloud_B.09 | Data en privacy | De CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie. | |
| Cloud_B.10 | Beveiligingsorganisatie | De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. | |
| Cloud_C.01 | Service-managementbeleid en evaluatie richtlijnen | De CSP heeft voor de clouddiensten een service-managementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages. | |
| Cloud_C.02 | Risico-control | Het risicomanagement- en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd. | |
| Cloud_C.03 | Compliance en assurance | De CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities. | |
| Cloud_C.04 | Technische kwetsbaarhedenbeheer | InformatieBetekenisvolle gegevens. over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. | |
| Cloud_C.05 | Security-monitoring | De performance van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders. | |
| Cloud_C.06 | Beheerorganisatie clouddiensten | De CSP heeft een beheersingsorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen zijn vastgesteld. | |
| Cloud_U.01 | Standaarden voor clouddiensten | De CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC. | |
| Cloud_U.02 | Risico-assessment | De CSP behoort een risico-assessment uit te voeren, bestaande uit risico-analyse en risico-evaluatie en op basis van de criteria en de doelstelling met betrekking tot clouddiensten van de CSP. | |
| Cloud_U.03 | Bedrijfscontinuïteitsservices | InformatieBetekenisvolle gegevens. verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen. | |
| Cloud_U.04 | Herstelfunctie voor data en clouddiensten | De herstelfunctie van data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest. | |
| Cloud_U.05 | Data-protectie | Data (op transport, in verwerking en in rust) met classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving. | |
| Cloud_U.06 | Dataretentie en vernietiging gegevens | Gearchiveerde data behoort gedurende de overeengekomen bewaartermijn technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data eigenaar te kunnen worden vernietigd. | |
| Cloud_U.07 | Scheiding van data | CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft. | |
| Cloud_U.08 | Scheiding van dienstverlening | De cloud-infrastructuur is zodanig ingericht, dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden. | |
| Cloud_U.09 | Malware-protectie | Ter bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers. | |
| Cloud_U.10 | Toegang tot IT-diensten en data | Gebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn. | |
| Cloud_U.11 | Crypto-services | Gevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen, tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld. | |
| Cloud_U.12 | Koppelvlakken | De onderlinge netwerkconnecties (koppelvlakken) in de keten van CSC naar CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken. | |
| Cloud_U.13 | Service-orkestratie | Service-orkestratie biedt coördinatie, aggregatie en samenstelling van de service-componenten van de cloudservice die aan de CSC wordt geleverd. | |
| Cloud_U.14 | Interoperabiliteit en portabiliteit | Cloudservices zijn bruikbaar (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving) op verschillende IT-platforms en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s. | |
| Cloud_U.15 | Logging en monitoring | Logbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. | |
| Cloud_U.16 | Clouddiensten-architectuur | De clouddiensten-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert de samenhang en beveiliging van de services en de inter-connectie tussen CSC en CSP en biedt transparantieInzicht in de werkwijze die de overheid hanteert. en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data. | |
| Cloud_U.17 | Multi-tenant architectuur | Bij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines. | |
| CommVZ_B.01 | Beleid en procedures informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. | |
| CommVZ_B.02 | Overeenkomsten over informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. | |
| CommVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd. | |
| CommVZ_B.04 | Organisatiestructuur van netwerkbeheer | In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan. | |
| CommVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. | |
| CommVZ_C.02 | Netwerk security compliancy checking | De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks). | |
| CommVZ_C.03 | Evalueren netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. | |
| CommVZ_C.04 | Evalueren netwerk monitoring | Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. | |
| CommVZ_C.05 | Beheerorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen. | |
| CommVZ_U.01 | Richtlijnen netwerkbeveiliging | Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2). | |
| CommVZ_U.02 | Beveiligde inlogprocedure | Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. | |
| CommVZ_U.03 | Netwerk beveiligingsbeheer | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. | |
| CommVZ_U.04 | Vertrouwelijkheids- of geheimhoudingsovereenkomst | Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. | |
| CommVZ_U.05 | Beveiliging netwerkdiensten | Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. | |
| CommVZ_U.06 | Zonering en filtering | Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen). | |
| CommVZ_U.07 | Elektronische berichten | InformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd. | |
| CommVZ_U.08 | Toepassingen via openbare netwerken | InformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. | |
| CommVZ_U.09 | Gateway/Firewall | De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten. | |
| CommVZ_U.10 | Virtual Private Networks (VPN) | Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt. | |
| CommVZ_U.11 | Cryptografische Services | Ter bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet. | |
| CommVZ_U.12 | Wireless Access | Draadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie. | |
| CommVZ_U.13 | Netwerkconnecties | Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt. | |
| CommVZ_U.14 | Netwerkauthenticatie | 'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen. | |
| CommVZ_U.15 | Netwerk beheeractiviteiten | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. | |
| CommVZ_U.16 | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s). | |
| CommVZ_U.17 | Netwerk beveiligingsarchitectuur | Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden. | |
| Huisv_B.01 | Huisvesting informatievoorziening Beleid | De directie behoort ten behoeve van Huisvesting-IV beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen. | Bewerkstelligen dat de Huisvesting-IV de diensten kunnen leveren waarmee de organisatie haar doelstellingen kan realiseren. |
| Huisv_B.02 | Wet en regelgeving | Voor elke Huisvestingsdienst behoren alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. | Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen. |
| Huisv_B.03 | Eigenaarschap | Huisvesting-IV bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben. | Bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. |
| Huisv_B.04 | Certificering | De Huisvesting-IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. | Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet. |
| Huisv_B.05 | Contractmanagement | Huisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. | Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet. |
| Huisv_B.06 | Service Levelmanagement | Het management van Huisvesting-IV behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreement of SLA). | Bewerkstelligen dat de Huisvesting-IV services conform afspraken geleverd worden (leveren wat je hebt beloofd). |
| Huisv_B.07 | Interne en Externe bedreigingen | Fysieke bescherming tegen natuurrampen, ongelukken en kwaadwillige aanvallen behoort te worden ontworpen en toegepast . | Bewerkstelligen van de weerbaarheid van de Huisvesting-IV en het voorkomen van verstoringen in de Huisvesting-IV. |
| Huisv_B.08 | Training en Awareness | Alle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie. | Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
|
| Huisv_B.09 | Organisatiestructuur | De huisvestingsorganisatie behoort voor de te realiseren Huisvesting-IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden (TVB) vast te stellen. | Invullen, coördineren en borgen van de Huisvesting-IV voorzieningen. |
| Huisv_C.01 | Controle richtlijn | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. | Effectieve beheersing van de bedrijfsmiddelen binnen Huisvesting IV. |
| Huisv_C.02 | Onderhoudsplan | Voor iedere locatie van de Huisvesting-IV behoort op basis van een risicoafweging en onderhoudsbepalingen een onderhoudsplan te zijn opgesteld. | Zorgen dat vastgoed zoals gebouwen niet verwaarloosd worden en niet in verval raken. |
| Huisv_C.03 | Continuiteitsmanagement | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. | Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. |
| Huisv_C.04 | Huisvesting-IV beheersingsorganisatie | De stakeholder van de Huisvesting-IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van de Huisvesting-IV dienstverlening. |
| Huisv_U.01 | Richtlijnen gebieden en ruimten | Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’. | Bewerkstelligen van juiste coördinatie van activiteiten binnen de beveiligde ruimten. |
| Huisv_U.02 | Bedrijfsmiddelen inventaris | Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
NB: De control uit de BIO is afwijkend van de ISO 27001. | Bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is. |
| Huisv_U.03 | Fysieke zonering | Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten. | Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie voorkomen. |
| Huisv_U.04 | Beveiligingsfaciliteiten ruimten | Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en te zijn toegepast. | Het voorkomen van onbevoegde toegang tot ruimten. |
| Huisv_U.05 | Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | Bewerkstelligen dat het disfunctioneren van deze nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de Huisvesting-IV dienstverlening. |
| Huisv_U.06 | Apparatuur positionering | Apparatuur behoort zodanig te zijn gepositioneerd en beschermd, dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind.
NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'. | Apparatuur wordt zodanig geïnstalleerd (= geplaatst en beschermd) dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. |
| Huisv_U.07 | Onderhoud Apparatuur | Apparatuur behoort op een correcte wijze te worden onderhouden. | Het waarborgen dat deze continu beschikbaar en integer is. |
| Huisv_U.08 | Apparatuur verwijdering | Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | Waarborging dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| Huisv_U.09 | Bedrijfsmiddelen verwijdering | Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring. | Bewerkstelligen van een gecontroleerde behandeling (invoering, gebruikt en afvoering) van bedrijfsmiddelen. |
| Huisv_U.10 | Laad en los locatie | De toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk te worden afgeschermd van IT-voorzieningen. | Het voorkomen van onbevoegde toegang tot Huisvesting-IV, zoals terreinen en gebouwen. |
| Huisv_U.11 | Bekabeling | De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging. | Bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet. |
| Huisv_U.12 | Huisvesting-IV architectuur | Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn. | Een Huisvesting-IV landschap bieden dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen. |
| LTV_C.04 | Toegangbeveiliging beheers(ings)organisatie | De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. |
| SERV_B.01 | Beleid voor beveiligde inrichting en onderhoud | Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast. | De reden waarom de norm gehanteerd wordt. |
| SERV_B.02 | Principes voor inrichten van beveiligde servers | De principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers. | |
| SERV_B.03 | Serverplatform architectuur | De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd. | |
| SERV_C.01 | Evaluatie richtlijnen servers en besturingssystemen | Er behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd. | De reden waarom de norm gehanteerd wordt. |
| SERV_C.02 | Beoordeling technische serveromgeving | Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms. | De reden waarom de norm gehanteerd wordt. |
| SERV_C.03 | Beheerderactiviteiten vastgelegd in logbestanden | Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. | |
| SERV_C.04 | Registratie gebeurtenissen | Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. | De reden waarom de norm gehanteerd wordt. |
| SERV_C.05 | Monitoren van serverplatforms | De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren. | |
| SERV_C.06 | Beheerorganisatie serverplatforms | Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform. | |
| SERV_U.01 | Bedieningsprocedures | Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben. | |
| SERV_U.02 | Standaarden voor configuratie van servers | Het serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden. | |
| SERV_U.03 | Malwareprotectie | Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers. | |
| SERV_U.04 | Beheer van serverkwetsbaarheden | InformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.05 | Patchmanagement | Patchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. | |
| SERV_U.06 | Beheer op afstand | Richtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.07 | Onderhoud van servers | Servers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.08 | Veilig verwijderen of hergebruiken van serverapparatuur | Alle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | |
| SERV_U.09 | Hardenen van servers | Voor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld. | |
| SERV_U.10 | Serverconfiguratie | Serverplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.11 | Beveiliging Virtueel serverplatform | Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd. | |
| SERV_U.12 | Beperking van software-installatie | Voor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | |
| SERV_U.13 | Kloksynchronisatie | De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.14 | Ontwerpdocumentatie | Het ontwerp van een serverplatform behoort te zijn gedocumenteerd. | |
| TVZ_B.01 | Toegangsbeveiligingsbeleid | Een toegangbeveiligingsbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen. | Het beheersen van de toegang tot informatie. |
| TVZ_B.02 | Eigenaarschap bedrijfsmiddelen | Het eigenaarschap en de verantwoordelijkheden voor logische bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen moeten zijn vastgelegd. | Het bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. |
| TVZ_B.03 | Beveiligingsfunctie | Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie. | Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht. |
| TVZ_B.04 | Cryptografie | Ter bescherming van authenticatie-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd. | Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatie-informatie te beschermen. |
| TVZ_B.06 | Toegangsbeveiligingsarchitectuur | De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd. | Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting en beheer van het toegangsvoorzieningsdomein. |
| TVZ_C.01 | Beoordelingsrichtlijnen en procedures | Om het gebruik van toegangbeveiligingsvoorzieningen te (kunnen) controleren, moeten procedures zijn vastgesteld. | Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten. |
| TVZ_C.02 | Beoordeling toegangsrechten | Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen. | Het vaststellen of:
|
| TVZ_C.03 | Gebeurtenissen registreren (logging en monitoring) | Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld. | Het maakt mogelijk:
|
| TVZ_C.04 | Beheersorganisatie toegangsbeveiliging | De eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben, waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem. |
| TVZ_U.01 | Registratieprocedure | Een formele registratie- en afmeldprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. | Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen. |
| … overige resultaten | |||
