Conformiteitsindicatoren

Uit NORA Online
Ga naar: navigatie, zoeken
De Privacy Baseline is op het moment in review: feedback gevraagd. Geef je feedback via nora@ictu.nl.

Conformiteitsindicatoren zijn (definitie hier).

Conformiteitsindicatoren horen bij Beveiligingseisen en maken onderdeel van de ISOR.

Alle Conformiteitsindicatoren in de wiki

In het onderstaande overzicht kun je alle objecten uit de ISOR (Information Security Object Repository) vinden, gesorteerd op conformiteitsindicator.

ID Conformiteitsindicator naam Elementtype
AppO_B.01 regels Beleid voor (beveiligd) ontwikkelen Beveiligingsprincipe
AppO_B.01.01 regels De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling Norm
AppO_B.01.02 regels Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling Norm
AppO_B.01.03 regels Overwegingen bij het beleid voor beveiligd ontwikkelen van software Norm
AppO_B.01.04 regels Technieken voor beveiligd programmeren Norm
AppO_B.02 systeem ontwikkelmethode,standaarden/procedures,beleid en wet en regelgeving,projectmatige aanpak Systeem ontwikkelmethode Beveiligingsprincipe
AppO_B.02.01 systeem ontwikkelmethodes Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie Norm
AppO_B.02.02 systeem ontwikkelmethodes Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen Norm
AppO_B.02.03 systeem ontwikkelmethodes Adoptie van ontwikkelmethodologie wordt gemonitord Norm
AppO_B.02.04 standaarden/procedures Software wordt ontwikkelen conform standaarden en procedures Norm
AppO_B.02.05 beleid en wet en regelgeving De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten Norm
AppO_B.02.06 projectmatig Het softwareontwikkeling wordt projectmatig aangepakt Norm
AppO_B.03 informatie,wettelijke eisen, waarde, belang, gevoeligheid Classificatie van Informatie Beveiligingsprincipe
AppO_B.03.01 informatie Dataclassificatie' als uitgangspunt voor softwareontwikkeling Norm
AppO_B.03.02 informatie Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd Norm
AppO_B.03.03 informatie Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema Norm
AppO_B.03.04 wettelijke eisen, waarde, belang, gevoeligheid Verplichtingen uit wet en regelgeving en organisatorische en technische requirements Norm
AppO_B.04 principes Engineeringprincipes beveiligde systemen Beveiligingsprincipe
AppO_B.04.01 principes Security by Design als uitgangspunt voor softwareontwikkeling Norm
AppO_B.04.02 principes Principes voor het beveiligen van informatiesystemen Norm
AppO_B.04.03 principes Beveiliging is integraal onderdeel van systeemontwikkeling Norm
AppO_B.04.04 principes Ontwikkelaars zijn getraind om veilige software te ontwikkelen Norm
AppO_B.05 perspectieven,scenario's,BIVC-aspecten Business Impact Analyse Beveiligingsprincipe
AppO_B.05.01 perspectieven Perspectieven bij de Business Impact Analyse Norm
AppO_B.05.02 scenario's Scenario's voor de Business Impact Analyse Norm
AppO_B.05.03 BIVC-aspecten Vaststelling op welke wijze eventueel compromitteren invloed heeft op de financiën van de organisatie Norm
AppO_B.06 privacy en bescherming van persoonsgegevens,wet- en regelgeving Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse) Beveiligingsprincipe
AppO_B.06.01 privacy en bescherming van persoonsgegevens GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen Norm
AppO_B.06.02 privacy en bescherming van persoonsgegevens Procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten Norm
AppO_B.06.03 privacy en bescherming van persoonsgegevens Een tot standaard verheven GEB-toetsmodel wordt toegepast Norm
AppO_B.06.04 privacy en bescherming van persoonsgegevens Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak Norm
AppO_B.06.05 privacy en bescherming van persoonsgegevens Risicomanagement aanpak aantoonbaar toegepast Norm
AppO_B.06.06 wet- en regelgeving Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd Norm
AppO_B.07 ontwikkel en onderhoudsbeleid,kwaliteitsmanagement systeem Kwaliteitsmanagement systeem Beveiligingsprincipe
AppO_B.07.01 ontwikkel en onderhoudsbeleid De doelorganisatie beschikt over een ontwikkel & onderhoudsbeleid Norm
AppO_B.07.02 ontwikkel en onderhoudsbeleid De doelorganisatie beschikt over QA methodiek en QSM methodiek Norm
AppO_B.07.03 kwaliteitsmanagement systeem De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd Norm
AppO_B.07.04 kwaliteitsmanagement systeem Voor informatie- en communicatie zijn processen ingericht Norm
AppO_B.07.05 kwaliteitsmanagement systeem Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd Norm
AppO_B.07.06 kwaliteitsmanagement systeem Aan het management worden evaluatierapportages worden verstrekt Norm
AppO_B.07.07 kwaliteitsmanagement systeem Applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS Norm
AppO_B.08 programmabroncode en broncode bibliotheken Toegangsbeveiliging op programmacode Beveiligingsprincipe
AppO_B.08.01 programmabroncode en broncode bibliotheken Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen Norm
AppO_B.08.02 programmabroncode en broncode bibliotheken Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd Norm
AppO_B.09 beveiligingsfunctionaris,beveiligingsvoorschriften Projectorganisatie Beveiligingsprincipe
AppO_B.09.01 beveiligingsfunctionaris Taken van de beveiligingsfunctionaris Norm
AppO_B.09.02 beveiligingsvoorschriften Inzicht gegeven door de beveiligingsfunctionaris Norm
AppO_C.01 richtlijnen,controleactiviteiten en rapportages,ontwikkelactiviteiten Richtlijnen evaluatie ontwikkelactiviteiten Beveiligingsprincipe
AppO_C.01.01 richtlijnen Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien Norm
AppO_C.01.02 richtlijnen Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code Norm
AppO_C.01.03 richtlijnen Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast Norm
AppO_C.01.04 richtlijnen Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen Norm
AppO_C.01.05 richtlijnen De Quality Assurance methodiek wordt conform de richtlijnen nageleefd Norm
AppO_C.01.06 controleactiviteiten en rapportages Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen Norm
AppO_C.01.07 ontwikkelactiviteiten Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld Norm
AppO_C.02 procesmatige,efficiënte Versie Management Beveiligingsprincipe
AppO_C.02.01 procesmatig Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris Norm
AppO_C.02.02 procesmatig Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd Norm
AppO_C.02.03 procesmatig Versiemanagement wordt ondersteund met procedures en werkinstructies Norm
AppO_C.02.04 efficiënte wijze Ondersteuning vanuit het toegepaste versiebeheertool Norm
AppO_C.03 procesmatig en procedureel,

technische kwetsbaarheden,

tijdig
Patchmanagement van externe programmacode Beveiligingsprincipe
AppO_C.03.01 procesmatig en procedureel Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt Norm
AppO_C.03.02 procesmatig en procedureel Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden Norm
AppO_C.03.03 procesmatig en procedureel Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd Norm
AppO_C.03.04 technische kwetsbaarheden Het beheer van technische kwetsbaarheden in code uit externe bibliotheken Norm
AppO_C.03.05 technische kwetsbaarheden Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes Norm
AppO_C.03.06 tijdig Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is Norm
AppO_C.04 configuratie-administratie (Software) configuratie management Beveiligingsprincipe
AppO_C.04.01 configuratie-administratie Software configuratiescomponenten worden conform procedures vastgelegd Norm
AppO_C.04.02 configuratie-administratie De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel Norm
AppO_C.04.03 configuratie-administratie Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB Norm
AppO_C.05 compliance management proces Compliance management Beveiligingsprincipe
AppO_C.05.01 compliance management proces Het compliance management proces is gedocumenteerd en vastgesteld Norm
AppO_C.05.02 compliance management proces De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd Norm
AppO_C.06 quality assurance proces Quality assurance Beveiligingsprincipe
AppO_C.06.01 quality assurance proces De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd Norm
AppO_C.06.02 quality assurance proces Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd Norm
AppO_C.06.03 quality assurance proces Rapportage van de resultaten uit QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken Norm
AppO_C.06.04 quality assurance proces Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd Norm
AppO_C.07 verandering van besturingsplatforms Technische beoordeling van informatiesystemen na wijziging besturingsplatform Beveiligingsprincipe
AppO_C.07.01 verandering van besturingsplatforms Testen bij verandering van besturingssystemen Norm
AppO_C.08 structuur van de beheersprocessen,functionarissen,taken, verantwoordelijkheden en bevoegdheden Beheersing van software ontwikkeling(sprojecten) Beveiligingsprincipe
AppO_C.08.01 structuur van de beheersprocessen De samenhang van de beheerprocessen wordt door middel van een processtructuur vastgelegd Norm
AppO_C.08.02 functionarissen De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk Norm
AppO_C.08.03 taken, verantwoordelijkheden en bevoegdheden De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd Norm
AppO_C.08.04 taken, verantwoordelijkheden en bevoegdheden De taken verantwoordelijkheden en bevoegdheden voor evaluatie- en beheerwerkzaamheden zijn beschreven Norm
AppO_U.01 levenscyclus, formele procedures Procedures voor wijzigingsbeheer m.b.t. applicaties Beveiligingsprincipe
AppO_U.01.01 levenscyclus Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks Norm
AppO_U.01.02 levenscyclus Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren Norm
AppO_U.01.03 formele procedures Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces Norm
AppO_U.01.04 formele procedures Elementen van de procedures voor wijzigingsbeheer Norm
AppO_U.02 regels Beperkingen voor de installatie van software(richtlijnen) Beveiligingsprincipe
AppO_U.02.01 regels Beleid ten aanzien van het type software dat mag worden geïnstalleerd Norm
AppO_U.02.02 regels Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' Norm
AppO_U.02.03 regels De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars Norm
AppO_U.03 regels,best practices Richtlijnen voor programmacode (best practices) Beveiligingsprincipe
AppO_U.03.01 regels De programmacode voor functionele specificaties is reproduceerbaar Norm
AppO_U.03.02 regels Programmacode wordt aantoonbaar veilig gecreëerd Norm
AppO_U.03.03 regels Programmacode is effectief - veranderbaar en testbaar Norm
AppO_U.03.04 best practices Over het gebruik van vocabulaire - applicatieframework en toolkits zijn afspraken gemaakt Norm
AppO_U.03.05 best practices Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire Norm
AppO_U.03.06 best practices Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten Norm
AppO_U.03.07 best practices Gebruik van programmacode uit externe programmabibliotheken Norm
AppO_U.04 functionele eisen Analyse en specificatie van informatiesystemen Beveiligingsprincipe
AppO_U.04.01 functionele eisen Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in het FO vastgelegd Norm
AppO_U.04.02 functionele eisen Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden Norm
AppO_U.04.03 functionele eisen Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd Norm
AppO_U.04.04 functionele eisen Alle vereisten worden gevalideerd door peer review of prototyping Norm
AppO_U.04.05 functionele eisen Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp Norm
AppO_U.05 beveiligingseisen Analyse en specificatie van informatiebeveiligingseisen Beveiligingsprincipe
AppO_U.05.01 beveiligingseisen Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen Norm
AppO_U.05.02 beveiligingseisen De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 Norm
AppO_U.05.03 beveiligingseisen Informatiebeveiligingseisen Norm
AppO_U.05.04 beveiligingseisen Overwogen informatiebeveiligingseisen Norm
AppO_U.06 business vereisten en reviews,omgevingsanalyse,(specifieke) beveiliging Applicatie ontwerp Beveiligingsprincipe
AppO_U.06.01 business vereisten en reviews Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie Norm
AppO_U.06.02 omgevingsanalyse Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie Norm
AppO_U.06.03 (specifieke) beveiliging Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur Norm
AppO_U.07 invoerfuncties,

verwerkingsfuncties,

uitvoerfuncties
Applicatie functionaliteiten Beveiligingsprincipe
AppO_U.07.01 invoerfuncties Bereikcontroles worden toegepast en gegevens worden gevalideerd Norm
AppO_U.07.02 verwerkingsfuncties Geprogrammeerde controles worden ondersteund Norm
AppO_U.07.03 verwerkingsfuncties Het uitvoeren van onopzettelijke mutaties wordt tegengegaan Norm
AppO_U.07.04 verwerkingsfuncties Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar Norm
AppO_U.07.05 verwerkingsfuncties Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar Norm
AppO_U.07.06 verwerkingsfuncties Opgeleverde en over te dragen gegevens worden gevalideerd Norm
AppO_U.07.07 verwerkingsfuncties Controle op juistheid volledigheid en tijdigheid van input en op verwerking en output van gegevens Norm
AppO_U.07.08 verwerkingsfuncties Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd Norm
AppO_U.07.09 uitvoerfuncties Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd Norm
AppO_U.08 (industrie) good practice,juiste skills/tools Applicatiebouw Beveiligingsprincipe
AppO_U.08.01 (industrie) good practice Voor het bouwen van programmacode zijn gedocumenteerde standaarden en procedures beschikbaar Norm
AppO_U.08.02 (industrie) good practice Veilige methodes ter voorkoming van veranderingen in basis code of in software packages Norm
AppO_U.08.03 (industrie) good practice Voor het creëren van programma code wordt gebruik gemaakt van good practices Norm
AppO_U.08.04 (industrie) good practice Geen gebruik van onveilig programmatechnieken Norm
AppO_U.08.05 (industrie) good practice (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen Norm
AppO_U.08.06 (industrie) good practice Activiteiten van applicatiebouw worden gereviewd Norm
AppO_U.08.07 juiste skills/tools De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren Norm
AppO_U.09 bedrijfsfunctionaliteiten, beveiligingsfunctionaliteiten Testen van systeembeveiliging Beveiligingsprincipe
AppO_U.09.01 bedrijfsfunctionaliteiten Functionarissen testen functionele requirements Norm
AppO_U.09.02 beveiligingsfunctionaliteiten In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek Norm
AppO_U.10 acceptatietests Systeem acceptatietests Beveiligingsprincipe
AppO_U.10.01 acceptatietests Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt Norm
AppO_U.10.02 acceptatietests Van de resultaten van de testen wordt een verslag gemaakt Norm
AppO_U.10.03 acceptatietests Testresultaten worden formeel geëvalueerd en beoordeeld Norm
AppO_U.10.04 acceptatietests Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving Norm
AppO_U.10.05 acceptatietests Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand in productiename Norm
AppO_U.10.06 acceptatietests Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens Norm
AppO_U.10.07 acceptatietests Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken Norm
AppO_U.11 testgegevens Beschermen van testgegevens Beveiligingsprincipe
AppO_U.11.01 testgegevens Toepassen van richtlijnen om operationele voor testdoeleinden te gebruiken gegevens te beschermen Norm
AppO_U.12 beveiligde ontwikkelomgevingen Beveiligde ontwikkel- (en test) omgeving Beveiligingsprincipe
AppO_U.12.01 beveiligde ontwikkelomgevingen Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging Norm
AppO_U.12.02 beveiligde ontwikkelomgevingen Logisch en/of fysiek gescheiden Ontwikkel - Test - Acceptatie en Productie omgevingen Norm
AppO_U.12.03 beveiligde ontwikkelomgevingen De taken verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen Norm
AppO_U.12.04 beveiligde ontwikkelomgevingen Voor remote werkzaamheden is een werkwijze vastgelegd Norm
AppO_U.12.05 beveiligde ontwikkelomgevingen Ontwikkelaars hebben geen toegang tot productieomgeving Norm
AppO_U.12.06 beveiligde ontwikkelomgevingen Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen Norm
AppO_U.12.07 beveiligde ontwikkelomgevingen De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats Norm
AppO_U.12.08 beveiligde ontwikkelomgevingen De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats Norm
AppO_U.12.09 beveiligde ontwikkelomgevingen De overdracht naar de Productieomgeving vindt gecontroleerd plaats Norm
AppO_U.13 koppelingsrichtlijnen Applicatiekoppelingen Beveiligingsprincipe
AppO_U.13.01 koppelingsrichtlijnen Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen Norm
AppO_U.13.02 koppelingsrichtlijnen Van het type koppelingen is een overzicht aanwezig Norm
AppO_U.13.03 koppelingsrichtlijnen Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten Norm
AppO_U.13.04 koppelingsrichtlijnen De uitgevoerde koppelingen worden geregistreerd Norm
AppO_U.14 logging,monitoring Logging en monitoring Beveiligingsprincipe
AppO_U.14.01 logging Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden Norm
AppO_U.14.02 logging Informatie ten aanzien van autorisatie(s) wordt vastgelegd Norm
AppO_U.14.03 logging De loggegevens zijn beveiligd Norm
AppO_U.14.04 logging De locatie van de vastlegging van de loggegevens is vastgesteld Norm
AppO_U.14.05 monitoring De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden Norm
AppO_U.14.06 monitoring De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd Norm
AppO_U.15 applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., samenhang Applicatie architectuur Beveiligingsprincipe
AppO_U.15.01 applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld Norm
AppO_U.15.02 applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. Het architectuur document wordt actief onderhouden Norm
AppO_U.15.03 applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. De voorschriften, methoden en technieken ten aanzien van applicatie architectuur worden toegepast Norm
AppO_U.15.04 samenhang Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten Norm
AppO_U.15.05 samenhang Onderliggende infrastructuurcomponenten zijn beveiligd o.b.v. security baselines Norm
AppO_U.15.06 samenhang De relatie tussen de persoonsgegevens is inzichtelijk Norm
AppO_U.16 faciliteiten Tooling ontwikkelmethode Beveiligingsprincipe
AppO_U.16.01 faciliteiten Het tool ondersteunt alle fasen van het ontwikkelproces Norm
AppO_U.16.02 faciliteiten Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden Norm
AppO_U.16.03 faciliteiten Het tool beschikt over faciliteiten voor versie- en releasebeheer Norm
AppO_U.16.04 faciliteiten Faciliteiten van het tool Norm
AppO_U.16.05 faciliteiten Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen Norm
CommVZ_B.01 beleidsregels,

procedures,

beheersmaatregelen
Beleid en procedures informatietransport Beveiligingsprincipe
CommVZ_B.01.1 beleidsregels Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten Norm
CommVZ_B.01.2 beleidsregels Beleid of richtlijnen omschrijven het toepassen van cryptografie Norm
CommVZ_B.01.3 beleidsregels Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden Norm
CommVZ_B.01.4 procedures Procedures beschrijven het beveiligen van informatie Norm
CommVZ_B.01.5 procedures Procedures beschrijven het opsporen van en beschermen tegen malware Norm
CommVZ_B.01.6 procedures Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie Norm
CommVZ_B.01.7 beheersmaatregelen E-mail berichten worden conform vastgelegde procedures en richtlijnen doorgestuurd Norm
CommVZ_B.02 overeenkomsten Overeenkomsten over informatietransport Beveiligingsprincipe
CommVZ_B.02.1 overeenkomsten Elementen in overeenkomsten over informatietransport Norm
CommVZ_B.02.2 overeenkomsten In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn Norm
CommVZ_B.03 cryptografiebeleid Cryptografiebeleid voor communicatie Beveiligingsprincipe
CommVZ_B.03.1 cryptografiebeleid In het cryptografiebeleid uitgewerkte onderwerpen Norm
CommVZ_B.03.2 cryptografiebeleid Aanvullende onderdelen in het cryptografiebeleid Norm
CommVZ_B.04 organisatiestructuur Organisatiestructuur van netwerkbeheer Beveiligingsprincipe
CommVZ_B.04.1 organisatiestructuur In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd Norm
CommVZ_B.04.2 organisatiestructuur De beheer(sing)processen hebben een formele positie binnen de gehele organisatie Norm
CommVZ_B.04.3 organisatiestructuur Taken en verantwoordelijkheden van verantwoordelijke functionarissen zijn duidelijk gedefinieerd Norm
CommVZ_C.01 naleving Naleving richtlijnen netwerkbeheer en evaluaties Beveiligingsprincipe
CommVZ_C.01.1 naleving De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd Norm
CommVZ_C.02 periodiek,

inrichting,

verantwoordelijk
Netwerk security compliancy checking Beveiligingsprincipe
CommVZ_C.02.1 periodiek Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s Norm
CommVZ_C.02.2 inrichting Checklist voor veilige inrichting van netwerk(diensten) Norm
CommVZ_C.02.3 verantwoordelijk Resultaten worden gerapporteerd aan het verantwoordelijke management Norm
CommVZ_C.03 robuustheid Evalueren netwerkbeveiliging Beveiligingsprincipe
CommVZ_C.03.1 robuustheid De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd Norm
CommVZ_C.04 onderzoek van gebeurtenissen Evalueren netwerk monitoring Beveiligingsprincipe
CommVZ_C.04.1 onderzoek van gebeurtenissen Zeer belangrijke onderdelen van netwerkbeveiliging Norm
CommVZ_C.04.2 onderzoek van gebeurtenissen Continue bewaking via monitoring Norm
CommVZ_C.05 Verantwoordelijkheden Beheerorganisatie netwerkbeveiliging Beveiligingsprincipe
CommVZ_C.05.1 Verantwoordelijkheden De communicatievoorzieningen worden geïdentificeerd en gedefinieerd Norm
CommVZ_C.05.2 Verantwoordelijkheden Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie Norm
CommVZ_U.01 ontwerp,

implementatie,

beheer
Richtlijnen netwerkbeveiliging Beveiligingsprincipe
CommVZ_U.01.1 ontwerp Stappen ter voorbereiding van veilige netwerkontwerpen Norm
CommVZ_U.01.2 ontwerp Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” Norm
CommVZ_U.01.3 ontwerp Netwerkbeveiliging is gebaseerd op ITU-T X.80x Norm
CommVZ_U.01.4 ontwerp Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten Norm
CommVZ_U.01.5 implementatie De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat Norm
CommVZ_U.01.6 beheer Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden Norm
CommVZ_U.02 inlogprocedure Beveiligde inlogprocedure Beveiligingsprincipe
CommVZ_U.02.1 inlogprocedure Risicoafweging voorafgaand aan het verlenen van toegang tot het netwerk aan externe leveranciers Norm
CommVZ_U.02.2 inlogprocedure Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone Norm
CommVZ_U.02.3 inlogprocedure Toegang tot netwerken is beperkt tot geautoriseerde gebruikers Norm
CommVZ_U.03 beheerd, beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. Netwerk beveiligingsbeheer Beveiligingsprincipe
CommVZ_U.03.1 beheerd Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld Norm
CommVZ_U.03.2 beheerd Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen Norm
CommVZ_U.03.3 beheerd Beheeractiviteiten worden nauwgezet gecoördineerd Norm
CommVZ_U.03.4 beheerd Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld Norm
CommVZ_U.03.5 beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden Norm
CommVZ_U.03.6 beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd Norm
CommVZ_U.04 vertrouwelijkheids- of geheimhoudingsovereenkomsten Vertrouwelijkheids- of geheimhoudingsovereenkomst Beveiligingsprincipe
CommVZ_U.04.1 vertrouwelijkheids- of geheimhoudingsovereenkomsten Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten Norm
CommVZ_U.05 beheereisen,

dienstverleningsniveaus,

beveiligingsmechanismen
Beveiliging netwerkdiensten Beveiligingsprincipe
CommVZ_U.05.1 beheereisen Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen Norm
CommVZ_U.05.2 dienstverleningsniveaus Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid Norm
CommVZ_U.05.3 beveiligingsmechanismen Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen Norm
CommVZ_U.05.4 dienstverleningsniveaus Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd Norm
CommVZ_U.05.5 beveiligingsmechanismen De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst Norm
CommVZ_U.05.6 beveiligingsmechanismen Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen Norm
CommVZ_U.06 gescheiden (in domeinen) Zonering en filtering Beveiligingsprincipe
CommVZ_U.06.01 gescheiden (in domeinen) Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau Norm
CommVZ_U.06.02 gescheiden (in domeinen) Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding Norm
CommVZ_U.06.03 gescheiden (in domeinen) Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst Norm
CommVZ_U.06.04 gescheiden (in domeinen) Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding Norm
CommVZ_U.07 passend Elektronische berichten Beveiligingsprincipe
CommVZ_U.07.1 passend Vastgestelde standaarden tegen phishing en afluisteren gelden voor de elektronische berichten Norm
CommVZ_U.07.2 passend Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling Norm
CommVZ_U.07.3 passend Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten Norm
CommVZ_U.07.4 passend Gebruik van AdES Baseline Profile standaard of ETSI TS 102 176-1 voor elektronische berichten Norm
CommVZ_U.07.5 passend Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen Norm
CommVZ_U.08 openbare netwerken Toepassingen via openbare netwerken Beveiligingsprincipe
CommVZ_U.08.1 openbare netwerken Met communicerende partijen worden afspraken gemaakt Norm
CommVZ_U.09 filterfunctie, toegestaan netwerkverkeer Gateway/Firewall Beveiligingsprincipe
CommVZ_U.09.1 filterfunctie Voor elke gateway of firewall bestaat een actueel configuratiedocument Norm
CommVZ_U.09.2 filterfunctie De filterfunctie van gateways en firewalls is instelbaar Norm
CommVZ_U.09.3 filterfunctie Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM Norm
CommVZ_U.09.4 toegestaan netwerkverkeer Uitsluitend toegestaan netwerkverkeer wordt doorgelaten Norm
CommVZ_U.10 gescheiden end-to-end connectie Virtual Private Networks (VPN) Beveiligingsprincipe
CommVZ_U.10.1 gescheiden end-to-end connectie De end-to-end connectie Norm
CommVZ_U.11 integriteit,

vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen,

cryptografische beheersmaatregelen
Cryptografische Services Beveiligingsprincipe
CommVZ_U.11.1 vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen Versleuteling wordt toegepast voor het waarborgen van de vertrouwelijkheid Norm
CommVZ_U.11.2 integriteit Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast Norm
CommVZ_U.11.3 integriteit Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden Norm
CommVZ_U.11.4 cryptografische beheersmaatregelen Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden Norm
CommVZ_U.12 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling Wireless Access Beveiligingsprincipe
CommVZ_U.12.1 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken Norm
CommVZ_U.13 verbindingen, bewaakt Netwerkconnecties Beveiligingsprincipe
CommVZ_U.13.1 verbindingen Voor de beheersing van netwerken worden minimumeisen Norm
CommVZ_U.13.2 bewaakt Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd Norm
CommVZ_U.14 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes Netwerkauthenticatie Beveiligingsprincipe
CommVZ_U.14.1 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd Norm
CommVZ_U.14.2 authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes Alleen specifiek toegestane netwerkdevices worden gekoppeld met aanwezige clients en informatiesystemen Norm
CommVZ_U.15 beheerd, beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. Netwerkbeheer activiteit Beveiligingsprincipe
CommVZ_U.15.1 beheerd Netwerkbeveiligingsbeheer omvat activiteiten methoden procedures en gereedschappen voor administratie Norm
CommVZ_U.15.2 beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken Norm
CommVZ_U.16 geregistreerd en bewaard, beoordeeld Vastleggen en monitoring van netwerkgebeurtenissen (events) Beveiligingsprincipe
CommVZ_U.16.1 geregistreerd en bewaard Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs Norm
CommVZ_U.16.2 beoordeeld Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen Norm
CommVZ_U.17 samenhang Netwerk beveiligingsarchitectuur Beveiligingsprincipe
CommVZ_U.17.1 samenhang De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem Norm
CommVZ_U.17.2 samenhang De beveiligingsarchitectuur is gelaagd Norm
CommVZ_U.17.3 samenhang De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden Norm
Huisv_B.01.01 huisvestingsbeleid Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen Norm
Huisv_B.01.02 beleidsregels Beleidsregels behandelen uit bedrijfsstrategie, wet- en regelgeving en bedreigingen voorkomende eisen Norm
Huisv_B.01.03 beleidsregels Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting-IV Norm
Huisv_B.02.01 wettelijke statutaire eisen De voor Huisvesting-IV-verantwoordelijke bepaalt welke wetgeving van toepassing Norm
Huisv_B.02.02 wettelijke statutaire eisen Overeengekomen Huisvestingsbeleid mede o.b.v. wet- en regelgeving en contractuele verplichtingen Norm
Huisv_B.03.01 eigenaar Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd Norm
Huisv_B.03.02 eigenaar Het bedrijfsmiddel-eigenaarschap wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel Norm
Huisv_B.03.03 eigenaar De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus Norm
Huisv_B.03.04 eigenaar Op passende wijze inventariseren, classificeren. verwijderd en vernietigen van bedrijfsmiddellen Norm
Huisv_B.04.01 gangbare standaarden Periodiek evalueren van Huisvesting-IV voorzieningen en services Norm
Huisv_B.04.02 gangbare standaarden De voor de organisatie ingezette Huisvesting-IV is min. gecertificeerd voor ISO 27001 en 50001 Norm
Huisv_B.05.01 kwalitatieve en kwantitatieve eisen Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties Norm
Huisv_B.05.02 overeenkomsten Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst Norm
Huisv_B.05.03 overeenkomsten Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd Norm
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen