Conformiteitsindicatoren

Uit NORA Online
Ga naar: navigatie, zoeken
schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Alle Conformiteitsindicatoren in de wiki

In het onderstaande overzicht kun je alle objecten uit de ISOR (Information Security Object Repository) vinden, gesorteerd op conformiteitsindicator.

IDConformiteitsindicatornaamElementtype
AppO_U.08.01(industrie) good practiceVoor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteldNorm
AppO_U.08.02(industrie) good practiceVeilige methodes ter voorkoming van veranderingen in basis code of in software packagesNorm
AppO_U.08.03(industrie) good practiceVoor het creëren van programma code wordt gebruik gemaakt van good practicesNorm
AppO_U.08.04(industrie) good practiceGeen gebruik van onveilig programmatechniekenNorm
AppO_U.08.05(industrie) good practice(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingenNorm
AppO_U.08.06(industrie) good practiceActiviteiten van applicatiebouw worden gereviewdNorm
AppO_U.08(industrie) good practice,juiste skills/toolsApplicatiebouwBeveiligingsprincipe
AppO_U.06.03(specifieke) beveiligingHet ontwerp is mede gebaseerd op een beveiligingsarchitectuurNorm
TVZ_B.03
  • technische inrichting
  • toegangbeveiligingsarchitectuur
ToegangbeveiligingsarchitectuurBeveiligingsprincipe
AppO_B.05.03BIVC-aspectenVaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatieNorm
SERV_U.01BedieningsproceduresBedieningsproceduresBeveiligingsprincipe
TVZ_U.01.02Formele registratie en afmeldprocedureHet gebruik van groepsaccounts is - tenzij gemotiveerd en vastgelegd door de proceseigenaar - niet toegestaanNorm
TVZ_U.10.02PersoneelsregistratiesysteemAlle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomenNorm
CommVZ_C.05VerantwoordelijkhedenBeheerorganisatie netwerkbeveiligingBeveiligingsprincipe
CommVZ_C.05.1VerantwoordelijkhedenDe communicatievoorzieningen worden geïdentificeerd en gedefinieerdNorm
CommVZ_C.05.2VerantwoordelijkhedenBeheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatieNorm
PRIV_B.03.03.01aantonenAantonen onderkende risico's en maatregelenNorm
PRIV_B.03.03.02aantonenAantonen uitvoeren GEB en opvolgen GEB uitkomstenNorm
PRIV_B.03.03.03aantonenAantonen aanpak risicomanagementNorm
PRIV_B.03.03.04aantonenAantonen toepassen GEB toetsmodelNorm
PRIV_B.03.03.05aantonenAantonen privacy by designNorm
AppO_U.10acceptatietestsSysteem acceptatietestsBeveiligingsprincipe
AppO_U.10.01acceptatietestsVoor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruiktNorm
AppO_U.10.02acceptatietestsVan de resultaten van de testen wordt een verslag gemaaktNorm
AppO_U.10.03acceptatietestsTestresultaten worden formeel geëvalueerd en beoordeeldNorm
AppO_U.10.04acceptatietestsAcceptatietesten worden uitgevoerd in een representatieve acceptatietest omgevingNorm
AppO_U.10.05acceptatietestsVastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgangNorm
AppO_U.10.06acceptatietestsTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevensNorm
AppO_U.10.07acceptatietestsBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesprokenNorm
PRIV_U.02.02.01actueel en samenhangend beeldOp verzoek van AP wordt middels de registers een actueel en samenhangend beeldNorm
PRIV_U.02.02.02actueel en samenhangend beeldRegisters van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeldNorm
PRIV_U.02.02.03actueel en samenhangend beeldActueel en samenhangend beeld t.a.v. gegevensstromenNorm
PRIV_U.02.02.04actueel en samenhangend beeldActueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingenNorm
PRIV_U.07.05.01adequaatheidsbesluitAdequaatheidsbesluitNorm
PRIV_U.07.02.01afdoende garantiesAfdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegdNorm
PRIV_U.07.02.02afdoende garantiesVormvereisten aan eisen voor afdoende garanties door verwerkerNorm
PRIV_U.07.02.03afdoende garantiesAfdoende garantiesNorm
PRIV_U.07.07.01afwijking voor een specifieke situatieAfwijking voor een specifieke situatieNorm
AppO_U.15.01applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteldNorm
AppO_U.15.02applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.Het architectuur document wordt actief onderhoudenNorm
AppO_U.15.03applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepastNorm
AppO_U.15applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., samenhangApplicatie architectuurBeveiligingsprincipe
SERV_B.03architectuurdocumentServerplatform architectuurBeveiligingsprincipe
SERV_B.03.01architectuurdocumentEisen aan het architectuurdocument van het in te richten van het serverplatformNorm
SERV_B.03.02architectuurdocumentIn het architectuurdocument voor servers platforms vastgelegde inrichtings eisenNorm
Huisv_U.12.01architectuurvoorschriftenDe architectuurvoorschriften voor de Huisvesting-IV worden actief onderhoudenNorm
Huisv_U.12.02architectuurvoorschriftenDe inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerdNorm
CommVZ_U.14authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodesNetwerkauthenticatieBeveiligingsprincipe
CommVZ_U.14.1authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodesAuthenticiteit van aangesloten netwerkdevices wordt gecontroleerdNorm
CommVZ_U.14.2authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodesAlleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemenNorm
CommVZ_U.12authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleutelingWireless AccessBeveiligingsprincipe
CommVZ_U.12.1authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleutelingAlgemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerkenNorm
LTV_B.04.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieAuthenticatie-informatie is versleuteldNorm
TVZ_B.02authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieCryptografieBeveiligingsprincipe
TVZ_B.02.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieAuthenticatie-informatie wordt beschermd door middel van versleutelingNorm
TVZ_U.08.01authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieElke gebruiker wordt geïdentificeerd op basis van een identificatiecodeNorm
TVZ_U.08.02authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatieBij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteldNorm
TVZ_U.08authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie beheersprocesAuthenticatie-informatieBeveiligingsprincipe
LTV_B.04authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie, cryptografische beheersmaatregelenCryptografie bij authenticatieBeveiligingsprincipe
TVZ_U.10.03autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen beheer systeemAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerdNorm
TVZ_U.10.01autorisatiefaciliteitenFormeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezetNorm
TVZ_U.10.04autorisatiefaciliteitenOnder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisatiesNorm
TVZ_U.10autorisatievoorzieningen

personeel registratiesysteem autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen beheersysteem

autorisatiefaciliteiten
AutorisatievoorzieningsfaciliteitenBeveiligingsprincipe
SERV_U.01.01bedieningsproceduresGedocumenteerde procedures voor bedieningsactiviteitenNorm
SERV_U.01.02bedieningsproceduresFormele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteitenNorm
SERV_U.01.03bedieningsproceduresIn de bedieningsprocedures opgenomen bedieningsvoorschriftenNorm
TVZ_B.01.02bedrijfseisenEisen aan het ToegangvoorzieningsbeleidNorm
TVZ_B.01.03bedrijfseisenVoor veelvoorkomende rollen zijn standaard gebruikersprofielen met toegangsrechten aanwezigNorm
AppO_U.09.01bedrijfsfunctionaliteitenFunctionarissen testen functionele requirementsNorm
AppO_U.09bedrijfsfunctionaliteiten, beveiligingsfunctionaliteitenTesten van systeembeveiligingBeveiligingsprincipe
Huisv_U.09.01bedrijfsmiddelenHet toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgdNorm
Huisv_U.09.02bedrijfsmiddelenIdentificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemenNorm
Huisv_U.09.03bedrijfsmiddelenTijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerdNorm
Huisv_U.09.04bedrijfsmiddelenMeenemen en terugkeer van bedrijfsmiddelen worden geregistreerdNorm
Huisv_U.09.05bedrijfsmiddelenDocumentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruiktNorm
CommVZ_U.01.6beheerNetwerken zijn zo opgezet dat ze centraal beheerd kunnen wordenNorm
CommVZ_U.03.1beheerdVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteldNorm
CommVZ_U.03.2beheerdNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnenNorm
CommVZ_U.03.3beheerdBeheeractiviteiten worden nauwgezet gecoördineerdNorm
CommVZ_U.03.4beheerdTer bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteldNorm
CommVZ_U.15.1beheerdNetwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratieNorm
CommVZ_U.03beheerd, beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Netwerk beveiligingsbeheerBeveiligingsprincipe
CommVZ_U.15beheerd, beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Netwerk beheeractiviteitenBeveiligingsprincipe
CommVZ_U.05.1beheereisenBinnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementenNorm
CommVZ_U.05beheereisen,

dienstverleningsniveaus,

beveiligingsmechanismen
Beveiliging netwerkdienstenBeveiligingsprincipe
Huisv_C.04.02beheersingsorganisatieFunctionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijkNorm
Huisv_C.04.03beheersingsorganisatieVerantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegdNorm
Huisv_C.04.04beheersingsorganisatieTaken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegdNorm
CommVZ_B.01.7beheersmaatregelenE-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurdNorm
TVZ_U.08.03beheersprocesVerplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaardenNorm
TVZ_U.08.04beheersprocesAuthenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekensNorm
CommVZ_U.03.5beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheidenNorm
CommVZ_U.03.6beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerdNorm
CommVZ_U.15.2beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerkenNorm
TVZ_U.06.03beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeldNorm
AppO_B.02.05beleid en wet en regelgevingDe systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereistenNorm
CommVZ_B.01.1beleidsregelsBeleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteitenNorm
CommVZ_B.01.2beleidsregelsBeleid of richtlijnen omschrijven het toepassen van cryptografieNorm
CommVZ_B.01.3beleidsregelsBeleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag wordenNorm
Huisv_B.01.02beleidsregelsBeleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisenNorm
Huisv_B.01.03beleidsregelsAan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting InformatievoorzieningNorm
CommVZ_B.01beleidsregels,

procedures,

beheersmaatregelen
Beleid en procedures informatietransportBeveiligingsprincipe
PRIV_B.02.02.01benodigde middelenBenodigde middelenNorm
CommVZ_U.16.2beoordeeldHet beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigenNorm
TVZ_C.02.07beoordeeldDe logbestanden worden gedurende een overeengekomen periode bewaardNorm
LTV_C.03.04beoordelenNieuwe dreigingen worden binnen geldende juridische kaders gedeeldNorm
AppO_U.03.04best practicesOver het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaaktNorm
AppO_U.03.05best practicesVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaireNorm
AppO_U.03.06best practicesOntwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfoutenNorm
AppO_U.03.07best practicesGebruik van programmacode uit externe programmabibliothekenNorm
TVZ_U.11.01beveiligde gebiedenToegang tot beveiligingszones of gebouwen is slechts toegankelijk voor geautoriseerde personenNorm
TVZ_U.11beveiligde gebieden passende toegangbeveiligingFysieke toegangbeveiligingBeveiligingsprincipe
TVZ_U.03beveiligde inlogprocedureInlogproceduresBeveiligingsprincipe
TVZ_U.03.01beveiligde inlogprocedureToegang vanuit een niet naar een wel vertrouwde zone vindt plaats op basis van minimaal 2-factor authenticatieNorm
TVZ_U.03.02beveiligde inlogprocedureVooraf aan het verlenen van toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaaktNorm
TVZ_U.03.03beveiligde inlogprocedureMet een risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgenNorm
AppO_U.12beveiligde ontwikkelomgevingenBeveiligde ontwikkel- (en test) omgevingBeveiligingsprincipe
AppO_U.12.01beveiligde ontwikkelomgevingenUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingNorm
AppO_U.12.02beveiligde ontwikkelomgevingenLogisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingenNorm
AppO_U.12.03beveiligde ontwikkelomgevingenDe taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollenNorm
AppO_U.12.04beveiligde ontwikkelomgevingenVoor remote werkzaamheden is een werkwijze vastgelegdNorm
AppO_U.12.05beveiligde ontwikkelomgevingenOntwikkelaars hebben geen toegang tot productieomgevingNorm
AppO_U.12.06beveiligde ontwikkelomgevingenOverdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingenNorm
AppO_U.12.07beveiligde ontwikkelomgevingenDe overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaatsNorm
AppO_U.12.08beveiligde ontwikkelomgevingenDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaatsNorm
AppO_U.12.09beveiligde ontwikkelomgevingenDe overdracht naar de Productieomgeving vindt gecontroleerd plaatsNorm
Huisv_U.03.01beveiligde zonesVoor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriftenNorm
Huisv_U.03.02beveiligde zonesBeveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelenNorm
Huisv_U.03.03beveiligde zonesInformatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteitenNorm
Huisv_U.03.04beveiligde zonesHet dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddelNorm
Huisv_U.03.05beveiligde zonesVan elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitordNorm
SERV_C.06.02beveiligingsbeleidInhoud van het beveiligingsbeleidNorm
AppO_U.05beveiligingseisenAnalyse en specificatie van informatiebeveiligingseisenBeveiligingsprincipe
AppO_U.05.01beveiligingseisenEen expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisenNorm
AppO_U.05.02beveiligingseisenDe Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005Norm
AppO_U.05.03beveiligingseisenInformatiebeveiligingseisenNorm
AppO_U.05.04beveiligingseisenOverwogen informatiebeveiligingseisenNorm
AppO_U.09.02beveiligingsfunctionaliteitenIn de infrastructuur wordt specifiek getest vanuit beveiligingsoptiekNorm
AppO_B.09.01beveiligingsfunctionarisTaken van de beveiligingsfunctionarisNorm
SERV_C.06.01beveiligingsfunctionarisActiviteiten van de beveiligingsfunctionarisNorm
SERV_C.06beveiligingsfunctionaris, beveiligingsbeleidBeheerorganisatie serverplatformsBeveiligingsprincipe
AppO_B.09beveiligingsfunctionaris,beveiligingsvoorschriftenProjectorganisatieBeveiligingsprincipe
CommVZ_U.05.3beveiligingsmechanismenBij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelenNorm
CommVZ_U.05.5beveiligingsmechanismenDe noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomstNorm
CommVZ_U.05.6beveiligingsmechanismenBeveiligingsmechanismen voor communicatie worden voorzien op de OSI lagenNorm
AppO_B.09.02beveiligingsvoorschriftenInzicht gegeven door de beveiligingsfunctionarisNorm
CommVZ_U.13.2bewaaktNetwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogdNorm
LTVZ_C.02.05bewaardDe SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerdNorm
TVZ_C.02.04bewaardNieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeldNorm
TVZ_C.02.06bewaardBij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden.Norm
PRIV_U.06.02.01bewaartermijnBewaartermijn, vastgesteld en bekrachtigdNorm
PRIV_U.06.02.02bewaartermijnBewaartermijn, maximale periodeNorm
PRIV_U.06.02.03bewaartermijnBewaartermijn, in sectorspecifieke wetgeving vastgelegde bewaartermijnNorm
PRIV_U.06.02.04bewaartermijnBewaartermijn, eisen aan evt. langere opslagperiodeNorm
PRIV_U.06bewaartermijn, nodige maatregelenBewaren van persoonsgegevensPrivacyprincipe
Huisv_B.08.01bewustzijnsopleiding, –training en bijscholingAwareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkersNorm
Huisv_B.08.02bewustzijnsopleiding, –training en bijscholingAanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiligingNorm
AppO_U.06.01business vereisten en reviewsHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatieNorm
AppO_U.06business vereisten en reviews,omgevingsanalyse,(specifieke) beveiligingApplicatie ontwerpBeveiligingsprincipe
AppO_C.05compliance management procesCompliance managementBeveiligingsprincipe
AppO_C.05.01compliance management procesHet compliance management proces is gedocumenteerd en vastgesteldNorm
AppO_C.05.02compliance management procesDe noodzakelijke eisen voor het compliance proces samengevat en vastgelegdNorm
AppO_C.04configuratie-administratie(Software) configuratie managementBeveiligingsprincipe
AppO_C.04.01configuratie-administratieSoftware configuratiescomponenten worden conform procedures vastgelegdNorm
AppO_C.04.02configuratie-administratieDe configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeelNorm
AppO_C.04.03configuratie-administratieWijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDBNorm
AppO_C.01.06controleactiviteiten en rapportagesControleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessenNorm
Huisv_U.07.01correctApparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhoudenNorm
Huisv_U.07.02correctAlleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voerenNorm
Huisv_U.07.03correctReparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeelNorm
Huisv_U.07.04correctAlle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerdNorm
Huisv_U.07.05correctEr wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegdNorm
Huisv_U.07.06correctVoorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerdNorm
CommVZ_B.03cryptografiebeleidCryptografiebeleid voor communicatieBeveiligingsprincipe
CommVZ_B.03.1cryptografiebeleidIn het cryptografiebeleid uitgewerkte onderwerpenNorm
CommVZ_B.03.2cryptografiebeleidAanvullende onderdelen in het cryptografiebeleidNorm
CommVZ_U.11.4cryptografische beheersmaatregelenCryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaardenNorm
LTV_B.04.02cryptografische beheersmaatregelenUitwerking van het cryptografiebeleid voor authenticatieNorm
LTV_B.04.03cryptografische beheersmaatregelenEisen aan Crypografische toepassingen voldoen aan passende standaardenNorm
TVZ_B.02.02cryptografische beheersmaatregelenHet cryptografiebeleid stelt eisenNorm
PRIV_U.01.02.01de doeleindenDoeleinden, toereikend, ter zake dienend en beperktNorm
PRIV_U.01.02.02de doeleindenDoeleinden, rechtmatigNorm
PRIV_U.01.02.03de doeleindenDoeleinden, behoorlijk en transparantNorm
SERV_U.03.06detectieServers en hiervoor gebruikte media worden routinematig gescand op malwareNorm
SERV_U.03.07detectieDe malware scan wordt op alle omgevingen uitgevoerdNorm
CommVZ_U.05.2dienstverleningsniveausOntdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheidNorm
CommVZ_U.05.4dienstverleningsniveausEisen op basis waarvan het dienstverleningsniveau wordt afgestemdNorm
Huisv_U.12.03documentatieAan het architectuurdocument gestelde eisenNorm
PRIV_C.03.03.01documenteert de inbreukDocumenteert de inbreuk, eisen aan de registratieNorm
PRIV_C.03.03.02documenteert de inbreukDocumenteert de inbreuk, mogelijkheid tot controleNorm
PRIV_C.03.03.03documenteert de inbreukDocumenteert de inbreuk, noodzakelijke gegevensNorm
PRIV_C.03.03.04documenteert de inbreukDocumenteert de inbreuk, m.b.t. kennisgevingNorm
AppO_C.02.04efficiënte wijzeOndersteuning vanuit het toegepaste versiebeheertoolNorm
Huisv_B.03.01eigenaarVoor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemdNorm
Huisv_B.03.02eigenaarHet eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddelNorm
Huisv_B.03.03eigenaarDe eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclusNorm
Huisv_B.03.04eigenaarOp passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellenNorm
PRIV_C.01.01.01evaluatieEvaluatie, controle op het voldoen aan wettelijke verplichtingenNorm
PRIV_C.01.01.02evaluatieEvaluatie, rapportage bij niet voldoenNorm
PRIV_C.01.01.03evaluatieEvaluatie, planning en compliancyNorm
PRIV_C.01evaluatie, rechtmatigheid aangetoondIntern toezichtPrivacyprincipe
AppO_U.16faciliteitenTooling ontwikkelmethodeBeveiligingsprincipe
AppO_U.16.01faciliteitenHet tool ondersteunt alle fasen van het ontwikkelprocesNorm
AppO_U.16.02faciliteitenFramework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkhedenNorm
AppO_U.16.03faciliteitenHet tool beschikt over faciliteiten voor versie- en releasebeheerNorm
AppO_U.16.04faciliteitenFaciliteiten van het toolNorm
AppO_U.16.05faciliteitenHet tool beschikt over faciliteiten voor de koppelingen met externe bronnenNorm
Huisv_U.04.01faciliteitenBelangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijnNorm
Huisv_U.04.02faciliteitenVertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaarNorm
Huisv_U.04.03faciliteitenAdresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijkNorm
Huisv_U.04.04faciliteitenSleutelbeheer is ingericht op basis van een sleutelplanNorm
CommVZ_U.09.1filterfunctieVoor elke gateway of firewall bestaat een actueel configuratiedocumentNorm
CommVZ_U.09.2filterfunctieDe filterfunctie van gateways en firewalls is instelbaarNorm
CommVZ_U.09.3filterfunctieGebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEMNorm
CommVZ_U.09filterfunctie, toegestaan netwerkverkeerGateway/FirewallBeveiligingsprincipe
TVZ_U.04.01formeel autorisatieprocesEen formeel proces voor het aanvragen, verwerken en archiveren van autorisaties wordt toegepastNorm
TVZ_U.04.02formeel autorisatieprocesHet verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdrachtNorm
TVZ_U.04.03formeel autorisatieprocesAlle autorisatie-activiteiten worden vastgelegd en gearchiveerdNorm
TVZ_U.04formeel autorisatieproces toegangsrechtenAutorisatieprocesBeveiligingsprincipe
AppO_U.01.03formele proceduresNieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsprocesNorm
AppO_U.01.04formele proceduresElementen van de procedures voor wijzigingsbeheerNorm
TVZ_U.01.01formele registratie en afmeldprocedureVoor alle gebruikers wordt een sluitende formele registratie- en afmeldprocedure toegepastNorm
TVZ_U.01.03formele registratie en afmeldprocedureDe aanvraag van autorisaties en de toegewezen autorisatieniveaus worden gecontroleerdNorm
TVZ_U.01formele registratie en afmeldprocedure toegangsrechtenRegistratieprocedureBeveiligingsprincipe
SERV_U.09.01functiesServers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeldNorm
SERV_U.09.02functiesServers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperktNorm
SERV_U.09functies, toegangHardenen van serversBeveiligingsprincipe
AppO_C.08.02functionarissenDe belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijkNorm
Huisv_B.09.03functionarissenHet organisatieschema toont de rollen/functionarissen binnen de HuisvestingsorganisatieNorm
LTV_B.05.02functionarissenOrganisatieschema met de belangrijkste functionarissenNorm
LTV_C.04.02functionarissenBelangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijkNorm
TVZ_C.03.02functionarissenDe belangrijkste functionarissen voor de beheerorganisatie zijn benoemd en inzichtelijk in een organisatieschemaNorm
AppO_U.04functionele eisenAnalyse en specificatie van informatiesystemenBeveiligingsprincipe
AppO_U.04.01functionele eisenFunctionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegdNorm
AppO_U.04.02functionele eisenHet Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvindenNorm
AppO_U.04.03functionele eisenOp basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigdNorm
AppO_U.04.04functionele eisenAlle vereisten worden gevalideerd door peer review of prototypingNorm
AppO_U.04.05functionele eisenAcceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch OntwerpNorm
SERV_U.11.01fysieke serversFysieke servers worden gebruikt om virtuele servers te hosten en worden beschermdNorm
Huisv_B.04.01gangbare standaardenISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemenNorm
Huisv_B.04.02gangbare standaardenCertificeringseisen van de ingezette Huisvesting InformatievoorzieningNorm
PRIV_U.01.04.01geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. ras of etnische afkomstNorm
PRIV_U.01.04.02geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. politieke opvattingenNorm
PRIV_U.01.04.03geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. religieuze of levensbeschouwende overtuigingenNorm
PRIV_U.01.04.04geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. lidmaatschap vakbondNorm
PRIV_U.01.04.05geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. genetische gegevensNorm
PRIV_U.01.04.06geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. biometrische gegevensNorm
PRIV_U.01.04.07geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. gezondheidsgegevensNorm
PRIV_U.01.04.08geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. sexueel gedrag of gerichtheidNorm
PRIV_U.01.04.09geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. voorwaarden aan de verwerkingNorm
PRIV_U.01.04.10geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. noodzakelijke uitzonderingenNorm
PRIV_U.01.04.11geautomatiseerde besluitvormingBijzondere persoonsgegevens, m.b.t. verplichtingen of algemeen belangNorm
PRIV_U.01.07.01geautomatiseerde besluitvormingGeautomatiseerde besluitvorming, geen geautomatiseerde individuele besluitvorming tenzijNorm
PRIV_U.01.07.02geautomatiseerde besluitvormingGeautomatiseerde besluitvorming, m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkeneNorm
PRIV_U.01.07.03geautomatiseerde besluitvormingGeautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevensNorm
TVZ_U.02gebruikers toegangverleningsprocedureToegangsverlening procedureBeveiligingsprincipe
TVZ_U.02.01gebruikers toegangverleningsprocedureToegang tot informatiesystemen wordt uitsluitend verleend na autorisatie door een bevoegde functionarisNorm
TVZ_U.02.02gebruikers toegangverleningsprocedureHet toepassen van functiescheiding en toegangsrechten wordt op basis van een risicoafweging bepaaldNorm
TVZ_U.02.03gebruikers toegangverleningsprocedureUit een actueel mandaatregister blijkt wie toegangsrechten en functieprofielen mogen verlenenNorm
TVZ_C.02.03gebruikersactiviteitenDe informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt door een SIEM en/of SOCNorm
SERV_U.10.01geconfigureerdDe Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/proceduresNorm
SERV_U.10.02geconfigureerdDe servers zijn geconfigureerd conform een gestandaardiseerde serverimageNorm
SERV_U.10geconfigureerd,ongeautoriseerdServerconfiguratieBeveiligingsprincipe
PRIV_U.03.02.01gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, rectificatie op verzoek van betrokkeneNorm
PRIV_U.03.02.02gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, vervollediging op verzoek van betrokkeneNorm
PRIV_U.03.02.03gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, wissen op verzoek van betrokkeneNorm
PRIV_U.03.02.04gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, steken van de verwerking op verzoek van betrokkeneNorm
PRIV_U.03.02.05gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevensNorm
PRIV_U.03.02.06gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, beperking van de verwerking op verzoek van betrokkeneNorm
PRIV_U.03.02.07gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijkeNorm
PRIV_U.03.02.08gecorrigeerd, gestaakt of overgedragenGecorrigeerd, gestaakt of overgedragen, overdracht aan andere verwerkingsverantwoordelijkeNorm
SERV_U.13.01gedocumenteerdDe systemen zijn met een standaard referentietijd voor gebruik geconfigureerdNorm
SERV_U.13gedocumenteerd,gesynchroniseerdKloksynchronisatieBeveiligingsprincipe
Huisv_U.06.01gepositioneerd en beschermdOnbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteitenNorm
Huisv_U.06.02gepositioneerd en beschermdApparatuur wordt beschermd tegen externe bedreigingenNorm
CommVZ_U.16.1geregistreerd en bewaardOvertredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogsNorm
CommVZ_U.16geregistreerd en bewaard, beoordeeldVastleggen en monitoring van netwerkgebeurtenissen (events)Beveiligingsprincipe
TVZ_U.07.01gescheidenFunctiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepastNorm
TVZ_U.07.02gescheidenRollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingenNorm
TVZ_U.07gescheiden

taken verantwoordelijkheden

onbedoeld
FunctiescheidingBeveiligingsprincipe
CommVZ_U.06gescheiden (in domeinen)Zonering en filteringBeveiligingsprincipe
CommVZ_U.06.01gescheiden (in domeinen)Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveauNorm
CommVZ_U.06.02gescheiden (in domeinen)Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloedingNorm
CommVZ_U.06.03gescheiden (in domeinen)Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerstNorm
CommVZ_U.06.04gescheiden (in domeinen)Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbindingNorm
CommVZ_U.10gescheiden end-to-end connectieVirtual Private Networks (VPN)Beveiligingsprincipe
CommVZ_U.10.1gescheiden end-to-end connectieDe end-to-endNorm
PRIV_C.03.02.01gestelde termijnTermijn melden aan verwerkingsverantwoordelijkeNorm
PRIV_C.03.02.02gestelde termijnTermijn melden aan APNorm
PRIV_C.03.02.03gestelde termijnTermijn, motivering bij vertraagd meldenNorm
PRIV_C.03.02.04gestelde termijnTermijn aan betrokkeneNorm
SERV_U.13.02gesynchroniseerdDe interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.Norm
Huisv_U.08.01geverifieerdVoorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevatNorm
SERV_U.08.02geverifieerdGecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevatNorm
SERV_U.04.07geëvalueerdHet kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerdNorm
PRIV_U.03.03.01geïnformeerdGeïnformeerd, van iedere ontvanger van elke rectificatie, gegevenswissing of verwerkingsbeperkingNorm
PRIV_U.03.03.02geïnformeerdGeïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrektNorm
PRIV_U.03.03.03geïnformeerdGeïnformeerd, bretrokkene over gevolg van verzoek van betrokkenNorm
PRIV_U.03.03.04geïnformeerdGeïnformeerd, elketronische verwerking van het verzoekNorm
PRIV_U.03.03.06geïnformeerdGeïnformeerd, informeren bij geen gevolg geven aan het verzoekNorm
… overige resultaten