Grondslag | Onderdeel | Beschreven in |
---|
AVG | Art. 11; 12; 15; 86 | Toegang gegevensverwerking voor betrokkenen |
AVG | Art. 13; 14; 15 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens |
AVG | Art. 24; 25; 35; 36; 42 | Risicomanagement, Privacy by Design en de DPIA |
AVG | Art. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 96 | Doorgifte persoonsgegevens |
AVG | Art. 30 | Register van verwerkingsactiviteiten |
AVG | Art. 32 | Beveiligen van de verwerking van persoonsgegevens |
AVG | Art. 33; 34 | Meldplicht Datalekken |
AVG | Art. 5 | Intern toezicht |
AVG | Art. 5 lid 1e | Bewaren van persoonsgegevens |
AVG | Art. 5; 24; 40 | Privacy Beleid geeft duidelijkheid en sturing |
AVG | Art. 5; 37; 38; 39 | Organieke inbedding |
AVG | Art. 5; 6; 9; 10; 22; 23 | Doelbinding gegevensverwerking |
AVG | Art. 7 lid 3; Art. 11 lid 2; Art.12; 16; 17; 18; 19; 20; 21; 22; 23 | Kwaliteitsmanagement |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1 | Cryptografiebeleid voor communicatie |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1 | Cryptografie toegangsbeveiliging |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1 | Cryptografie Softwarepakketten |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1.1 | Uitwerken cryptografiebeleid |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1.1 | Het cryptografiebeleid stelt eisen |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1.1 | Uitwerken cryptografiebeleid |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1.1 | In het cryptografiebeleid uitgewerkte onderwerpen |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1.2 | Voldoen aan passende standaarden |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.1.2 | Versleuteld opslaan van gegevens met cryptografiestandaarden |
BIO (Baseline Informatiebeveiliging Overheid) | 10.1.2.1 | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.1 | Fysieke zonering |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.1.1 | Voorschriften voor het inrichten van beveiligde zones |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.2 | Fysieke toegangsbeveiliging |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.3 | Beveiligingsfaciliteiten |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.3.1 | Sleutelbeheer is ingericht op basis van een sleutelplan |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.4 | In- en externe bedreigingen |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.4.1 | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.4.1 | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.4.2 | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.5 | Richtlijn gebieden en ruimten |
BIO (Baseline Informatiebeveiliging Overheid) | 11.1.6 | Laad- en loslocatie |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.1 | Apparatuur-positionering |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.2 | Nutsvoorzieningen |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.3 | Bekabeling |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.4 | Apparatuur-onderhoud |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.4 | Server-onderhoud |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.5 | Bedrijfsmiddelenverwijdering |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.7 | Verwijderen of hergebruiken serverapparatuur |
BIO (Baseline Informatiebeveiliging Overheid) | 11.2.7 | Apparatuur-verwijdering |
BIO (Baseline Informatiebeveiliging Overheid) | 12.1.1 | Bedieningsprocedure |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1 | Malwareprotectie serverplatform |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1 | Malwareprotectie clouddiensten |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1.1 | Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1.2 | Servers zijn voorzien van up-to-date anti-malware |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1.3 | De anti-malware software wordt regelmatig geüpdate |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1.4 | Servers en hiervoor gebruikte media worden routinematig gescand op malware |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1.5 | De malware scan wordt op alle omgevingen uitgevoerd |
BIO (Baseline Informatiebeveiliging Overheid) | 12.2.1.5 | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie |
BIO (Baseline Informatiebeveiliging Overheid) | 12.3.1.1, 12.3.1.2, 12.3.1.4, 12.3.1.5 | Beleid middlewarecomponenten |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1 | Logging en monitoring communicatievoorzieningen |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1 | Logging en monitoring toegangsbeveiliging |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1 | Logging en monitoring clouddiensten |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1 | Logging |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1.1 | Een log-regel bevat de vereiste gegevens |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1.2 | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.1.5 | Hebben SIEM- en/of SOC-regels over te rapporteren incident |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.3 | Logbestanden beheerders |
BIO (Baseline Informatiebeveiliging Overheid) | 12.4.4 | Kloksynchronisatie |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.1 | Installeren patches en treffen mitigerende maatregelen |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.1 | Technische kwetsbaarhedenbeheer serverplatform |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.1 | Technische kwetsbaarhedenbeheer clouddiensten |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.1.1 | Installeren patches voor kwetsbaarheden |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.1.1 | Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.2 | Beperking software-installatie applicatieontwikkeling |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.2 | Beperking software-installatie serverplatform |
BIO (Baseline Informatiebeveiliging Overheid) | 12.6.2.1 | Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.1 | Netwerkbeveiligingsbeheer |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.1 | Netwerkbeheeractiviteiten |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2 | Beveiliging netwerkdiensten |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2.1 | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2.1 | Bewaken en analyseren dataverkeer op kwaadaardige elementen |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2.2 | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2.2 | Delen nieuwe dreigingen binnen overheid |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2.3 | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.2.4 | Treffen maatregelen in koppelpunten met externe of onvertrouwde zones |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.3 | Zonering en filtering |
BIO (Baseline Informatiebeveiliging Overheid) | 13.1.3.1 | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.1 | Beleid en procedures voor informatietransport |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.2 | Overeenkomst voor informatietransport |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.3 | Elektronische berichten |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.3.1 | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.3.2 | Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.3.3 | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.3.4 | Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1 |
BIO (Baseline Informatiebeveiliging Overheid) | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomst |
BIO (Baseline Informatiebeveiliging Overheid) | 14.1.1 | Analyse en specificatie informatiebeveiligingseisen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.1.1.1 | Uitvoeren expliciete risicoafweging bij nieuwe software |
BIO (Baseline Informatiebeveiliging Overheid) | 14.1.1.1 | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.1.1.1 | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
BIO (Baseline Informatiebeveiliging Overheid) | 14.1.2 | Toepassingen via openbare netwerken |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1 | Beleid voor beveiligde inrichting en onderhoud |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1 | Verwervingsbeleid softwarepakketten |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1 | Beleid voor (beveiligd) ontwikkelen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1.1 | Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1.1 | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1.1 | Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1.1 | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1.1 | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.1.1 | Security by Design als uitgangspunt voor softwareontwikkeling |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.2 | Wijzigingsbeheerprocedure voor applicaties en systemen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.2 | Versiebeheer softwarepakketten |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.2.1 | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.3 | Technische beoordeling informatiesystemen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.5 | Inrichtingsprincipes voor serverplatform |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.5 | Engineeringsprincipe voor beveiligde systemen |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.6 | Beveiligde ontwikkelomgeving |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.6.1 | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.8 | Testen systeembeveiliging |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.9 | Systeemacceptatietest |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.9.1 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
BIO (Baseline Informatiebeveiliging Overheid) | 14.2.9.2 | Van de resultaten van de testen wordt een verslag gemaakt |
BIO (Baseline Informatiebeveiliging Overheid) | 14.3.1 | Beschermen testgegevens |
BIO (Baseline Informatiebeveiliging Overheid) | 15.1.1 | Informatiebeveiligingsbeleid voor leveranciersrelaties |
BIO (Baseline Informatiebeveiliging Overheid) | 15.2.1 | Evaluatie leveranciersdienstverlening |
BIO (Baseline Informatiebeveiliging Overheid) | 17.1.2 | Bedrijfscontinuïteit |
BIO (Baseline Informatiebeveiliging Overheid) | 17.2.1 | Bedrijfscontinuïteitsservices |
BIO (Baseline Informatiebeveiliging Overheid) | 18.1.1 | Wet- en regelgeving Huisvesting IV |
BIO (Baseline Informatiebeveiliging Overheid) | 18.1.1 | Wet- en regelgeving Clouddiensten |
BIO (Baseline Informatiebeveiliging Overheid) | 18.1.5.1 | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden |
BIO (Baseline Informatiebeveiliging Overheid) | 18.2.3 | Beoordeling technische serveromgeving |
BIO (Baseline Informatiebeveiliging Overheid) | 5.1.1 | Huisvesting informatievoorzieningenbeleid |
BIO (Baseline Informatiebeveiliging Overheid) | 6.1.1 | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
BIO (Baseline Informatiebeveiliging Overheid) | 6.1.1 | Beheersorganisatie netwerkbeveiliging |
BIO (Baseline Informatiebeveiliging Overheid) | 6.1.2 | Functiescheiding |
BIO (Baseline Informatiebeveiliging Overheid) | 6.1.2.1 | Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen |
BIO (Baseline Informatiebeveiliging Overheid) | 6.2.2 | Beheer op afstand |
BIO (Baseline Informatiebeveiliging Overheid) | 7.2.2 | Training en bewustwording |
BIO (Baseline Informatiebeveiliging Overheid) | 8.1.1 | Bedrijfsmiddelen-inventaris |
BIO (Baseline Informatiebeveiliging Overheid) | 8.1.2 | Eigenaarschap Huisvesting IV |
BIO (Baseline Informatiebeveiliging Overheid) | 8.2.1 | Classificatie van informatie |
BIO (Baseline Informatiebeveiliging Overheid) | 8.2.1 | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
BIO (Baseline Informatiebeveiliging Overheid) | 8.2.1.1 | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
BIO (Baseline Informatiebeveiliging Overheid) | 9.1.1 | Toegangsbeveiligingsbeleid |
BIO (Baseline Informatiebeveiliging Overheid) | 9.1.2 | Toegang IT-diensten en data |
BIO (Baseline Informatiebeveiliging Overheid) | 9.1.2.1 | Krijgen toegang tot IT-diensten en data |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.1 | Registratieprocedure |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.1.1 | Een sluitende formele registratie- en afmeldprocedure |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.1.2 | Groepsaccounts niet toegestaan tenzij |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.2 | Toegangsverleningsprocedure |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.2.1 | Uitsluitend toegang na autorisatie |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.2.2 | Risicoafweging voor functiescheiding en toegangsrechten |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.2.3 | Mandaatregister voor toekennen van toegangsrechten en functieprofielen |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.3 | Speciale toegangsrechtenbeheer |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.3.1 | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.4 | Geheime authenticatie-informatie |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.5 | Beoordeling toegangsrechten |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.5.2 | De opvolging van bevindingen is gedocumenteerd. |
BIO (Baseline Informatiebeveiliging Overheid) | 9.2.5.3 | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.1 | Autorisatie |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.1.2 | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.1.2 | Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.1.2 | Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2 | Beveiligde inlogprocedure |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2 | Inlogprocedure |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2.1 | Minimaal 2-factor authenticatie |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2.1 | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2.2 | Risicoafweging bij toegang tot netwerk |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2.2 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.2.2 | Een risicoafweging bepaalt de voorwaarden voor toegang |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.3 | Wachtwoordenbeheer |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.3.1 | Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.3.2 | Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd |
BIO (Baseline Informatiebeveiliging Overheid) | 9.4.5 | Toegangsbeveiliging op programmacode |
BIO 2019 | 10.1.1, 10.1.2 | Vertrouwelijkheid en integriteit data |
BIO 2019 | 12.1.1 | Richtlijnen en procedures middlewarefunctionaliteit |
BIO 2019 | 12.1.3 | Capaciteitsbeheer |
BIO 2019 | 12.3.1 | Dataherstel |
BIO 2019 | 13.2.3, 14.1.3 | Beveiliging berichtenverkeer |
BIO 2019 | 17.2.1 | Betrouwbare dataopslag |
BIO 2019 | 6.1.1 | Rollen en verantwoordelijkheden middlewarefunctionaliteit |
BIO 2019 | 8.3.1, 8.3.2 | Schonen data en media |
BIO 2019 | 9.2.3, 9.4.4 | Toegang tot middlewarefunctionaliteit |
BSI-Standard 200-2 - IT-Grundschutz-Methodology | 4.2 | Organisatiestructuur netwerkbeheer |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | 3.4.4.1 | Bevatten diverse aspecten in systeembeschrijving |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | AM-06 | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BC-01 | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BC-01, BC-05 en BC-06 | Transparantie |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BC-06 | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-01 | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-01 | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-01 | Committeren aan vastgestelde BCM-vereisten |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-02 | Vaststellen en communiceren BCM- en BIA-beleid |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-02 | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-03 | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-04 | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-04 | Testen functioneren van herstelfuncties en resultaten daarvan delen |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | BCM-04 | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | COS-01 | Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | COS-02 | Interoperabiliteit en portabiliteit |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | COS-06 | Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | IDM-03 | Toekennen bevoegdheden voor gebruikers via formele procedures |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | KRY-03 | Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | PI-01 | Gebruiken beveiligde netwerkprotocollen voor import en export van data |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | PI-01 | Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | PI-02 | Vastleggen bepalingen over exit-regeling |
Cloud Computing Compliance Criteria Catalogue - C5:2020 | PI-02 | Vastleggen exit-bepalingen in overeenkomst |
Cloud Controls Matrix (CCM) | DSI-01 | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
Cloud Controls Matrix (CCM) | DSI-03 | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
Cybersecurity Framework Version 1.1 | PR.DS-1, PR.DS-2 | Treffen maatregelen voor opslag, verwerking en transport van data |
De Privacy Baseline | 02.02 | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
De Privacy Baseline | 03.01 toelichting | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
De Privacy Baseline | 03.02 | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
De Privacy Baseline | 03.03 | Risicomanagement aanpak aantoonbaar toegepast |
De Privacy Baseline | 03.04 | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
De Privacy Baseline | 03.05 | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security | 8.5 | Privacy en bescherming persoonsgegevens clouddiensten |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security | 8.5 | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security | 8.8 | Bewaken en beheersen IT-infrastructuur |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security | S12 | Versleutelen CSC-data op transport en in rust |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security | S12 | Gescheiden inrichten virtuele machine-platforms voor CSC’s |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security | S12 | Hardenen virtuele machine-platforms |
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security 2012 | II.2.3 | Zorgen voor benodigde informatie voor orkestratie van cloudservices |
Grip op Secure Software Development | SSD-12 en SSD-14 | Sessiebeheer |
Grip op Secure Software Development | SSD-12/02.01 | Automatisch ongeldig maken sessies |
Grip op Secure Software Development | SSD-14/01.02 | Genereren nieuwe sessie met gebruikersauthenticatie |
Grip op Secure Software Development | SSD-14/01.02 | Niet hergebruiken token-sessies |
Grip op Secure Software Development | SSD-19 en SSD-20 | Input-/output-validatie |
Grip op Secure Software Development | SSD-19/01.01 | Zorgen voor gestandaardiseerde vorm |
Grip op Secure Software Development | SSD-2 | Gegevensopslag |
Grip op Secure Software Development | SSD-2/01.01 | Specificeren gegevensclassificatie |
Grip op Secure Software Development | SSD-2/01.02 | Per default velig opslaan gegeven |
Grip op Secure Software Development | SSD-2/03.01 | Voorkomen opslag wachtwoorden in leesbare vorm |
Grip op Secure Software Development | SSD-2/03.02 | Versleuteld opslaan van gegevens met cryptografiestandaarden |
Grip op Secure Software Development | SSD-2/04.01 | Opslag gegevens als nodig voor doel en korste tijd |
Grip op Secure Software Development | SSD-20/01.01 | Uitvoer naar veilig formaat converteren |
Grip op Secure Software Development | SSD-30 | Logging |
Grip op Secure Software Development | SSD-30/01.01 | Centraal opslaan te registreren acties |
Grip op Secure Software Development | SSD-30/01.03 | Actief zijn van detectiemechanismen |
Grip op Secure Software Development | SSD-30/03.01 | Bepalen acties bij uitval loggingsmechanismen |
Grip op Secure Software Development | SSD-30/03.02 | Vaststellen bewaartermijn voor logging |
Grip op Secure Software Development | SSD-31/01.02 | Weigeren foute, ongeldige of verboden invoer |
Grip op Secure Software Development | SSD-4 | Communicatie |
Grip op Secure Software Development | SSD-4/01.02 | Versleutelen communicatie tussen applicatie- en webserver |
Grip op Secure Software Development | SSD-4/02.01 | Specificeren classificatie van uit te wisselen gegevens |
Grip op Secure Software Development | SSD-4/03.01, SSD-4/03.02 en SSD-4/03.03 | Zorgen voor certificaatverificatie |
Grip op Secure Software Development | SSD-4/03.04 | Configureren versleutelde communicatie softwarepakket |
Grip op Secure Software Development | SSD-5 | Authenticatie |
Grip op Secure Software Development | SSD-5/02.02 | Waarborgen dat geauthentiseerde persoon de geïdentificeerde persoon is |
Grip op Secure Software Development | SSD-5/02.04 | Robuust zijn tegen wachtwoorden raden |
Grip op Secure Software Development | SSD-7 | Autorisatiebeheer |
Grip op Secure Software Development | SSD-7/01.01 | Ordenen rechten voor toegang tot gegevens en functies |
Grip op Secure Software Development | SSD-7/03.01 | Identificeren verenigbare taken en autorisaties |
Grip op Secure Software Development | SSD-7/03.04 | Proces voor definiëren en onderhouden van autorisaties |
Grip op Secure Software Development | SSD-8 | Toegangsautorisatie |
Grip op Secure Software Development | SSD-8/01.03 | Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | 07.11 | Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | B.05 | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | B.05 en C.10 | Contractmanagement |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | B.06.05 | Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | B.06.07 | Vastleggen samenhang van processen in processtructuur |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | B.06.07 | De samenhang van processen is in een processtructuur vastgelegd. |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.01.08 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.03.04 | Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.07 | Monitoring |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.07.03 | Eisen aan de periodieke beoordeling van de logbestanden |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.07.05 | De verzamelde loginformatie wordt in samenhang geanalyseerd |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.07.08 | Eisen aan de periodieke rapportage over de analyse van de logbestanden |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.07.09 | Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.07.09 | Eisen aan de inhoud en verspreiding van de loganalyse |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09 | Patchmanagement softwarepakketten |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09 | Patchmanagement applicatieontwikkeling |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09 | Patchmanagement serverplatform |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.01 | Beschrijven, vaststellen en bekendmaken patchmanagementproces en -procedures |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.01 | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.01 | Patchmanagement is beschreven, goedgekeurd en toegekend |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.03 | De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.04 | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.04 | Registratie van de aspecten van een patch |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.09.05 | Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd. |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.10 | Continuïteitsbeheer |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C.10.01 | Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | C10.02 | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | U/WA.09 | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | U/WA.09.01 | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | U/WA.09.01 | Applicatie-architectuur |
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen | U/WA.09.01 | Het architectuur document wordt actief onderhouden |
ISO 27001 2017 | 5.3 | Beveiligingsorganisatie toegangsbeveiliging |
ISO 27001 2017 | 5.3 | De rollen binnen de beveiligingsfunctie zijn benoemd |
ISO 27002 2017 | 10.10.2 | Richtlijn evaluatie ontwikkelactiviteiten |
ISO 27002 2017 | 11.1.1a | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen |
ISO 27002 2017 | 11.1.1g | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
ISO 27002 2017 | 11.1.2 | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten |
ISO 27002 2017 | 11.1.2c | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd |
ISO 27002 2017 | 11.1.2d | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
ISO 27002 2017 | 11.1.3 | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
ISO 27002 2017 | 11.1.3c | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
ISO 27002 2017 | 11.1.3d | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
ISO 27002 2017 | 11.1.5a | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
ISO 27002 2017 | 11.1.5b | In beveiligde gebieden wordt slechts onder toezicht gewerkt |
ISO 27002 2017 | 11.1.5c | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd |
ISO 27002 2017 | 11.1.5d | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
ISO 27002 2017 | 11.1.6a | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
ISO 27002 2017 | 11.1.6b | Eisen aan de laad- en loslocatie |
ISO 27002 2017 | 11.1.6c | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
ISO 27002 2017 | 11.1.6e | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
ISO 27002 2017 | 11.1.6f | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
ISO 27002 2017 | 11.1.6g | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
ISO 27002 2017 | 11.2.1 | Apparatuur wordt beschermd tegen externe bedreigingen |
ISO 27002 2017 | 11.2.1 | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
ISO 27002 2017 | 11.2.2 | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
ISO 27002 2017 | 11.2.2 | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
ISO 27002 2017 | 11.2.2 | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
ISO 27002 2017 | 11.2.2a t/m e | De nutsvoorzieningen |
ISO 27002 2017 | 11.2.3 | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
ISO 27002 2017 | 11.2.3a | Kabels worden bij voorkeur ondergronds aangelegd |
ISO 27002 2017 | 11.2.4a | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
ISO 27002 2017 | 11.2.4a t/m d en f | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen |
ISO 27002 2017 | 11.2.4b | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel |
ISO 27002 2017 | 11.2.4c | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
ISO 27002 2017 | 11.2.4d | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
ISO 27002 2017 | 11.2.4e | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
ISO 27002 2017 | 11.2.4f | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
ISO 27002 2017 | 11.2.5a | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
ISO 27002 2017 | 11.2.5b | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
ISO 27002 2017 | 11.2.5c | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
ISO 27002 2017 | 11.2.5d | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
ISO 27002 2017 | 11.2.7 | Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat |
ISO 27002 2017 | 11.2.7 | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
ISO 27002 2017 | 11.2.7 | Niet meer benodigde opslagmedia en informatie van servers worden vernietigd |
ISO 27002 2017 | 12.1.1 | Gedocumenteerde procedures voor bedieningsactiviteiten |
ISO 27002 2017 | 12.1.1 | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten |
ISO 27002 2017 | 12.1.1a t/m f, i en j | In de bedieningsprocedures opgenomen bedieningsvoorschriften |
ISO 27002 2017 | 12.1.4 | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen |
ISO 27002 2017 | 12.2.1a | In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software |
ISO 27002 2017 | 12.2.1g | Het downloaden van bestanden is beheerst en beperkt |
ISO 27002 2017 | 12.2.1h | Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links |
ISO 27002 2017 | 12.4.1a t/m e, g, h, l, m en n | Eisen aan de inhoud van de logbestanden van gebeurtenissen |
ISO 27002 2017 | 12.4.3 | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten |
ISO 27002 2017 | 12.4.3 | Eisen aan het beschermen van de logbestanden |
ISO 27002 2017 | 12.4.4 | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd |
ISO 27002 2017 | 12.4.4 | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd. |
ISO 27002 2017 | 12.6.1 | Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse |
ISO 27002 2017 | 12.6.1a | Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren |
ISO 27002 2017 | 12.6.1d | De risico’s verbonden aan het installeren van de patch worden beoordeeld |
ISO 27002 2017 | 12.6.1g | Eisen aan het Patchmanagement |
ISO 27002 2017 | 12.6.1g | Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen |
ISO 27002 2017 | 12.6.1i | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd |
ISO 27002 2017 | 12.6.1k | De activiteiten zijn afgestemd op het incident |
ISO 27002 2017 | 12.6.2 | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. |
ISO 27002 2017 | 12.6.2 | Het principe van least-privilege wordt toegepast |
ISO 27002 2017 | 12.6.2 | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
ISO 27002 2017 | 12.6.2 | De rechten van beheerders worden verleend op basis van rollen |
ISO 27002 2017 | 12.6.2 | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
ISO 27002 2017 | 12.6.2 | De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars |
ISO 27002 2017 | 13.1.1a | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld |
ISO 27002 2017 | 13.1.1b | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden |
ISO 27002 2017 | 13.1.1d | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen |
ISO 27002 2017 | 13.1.1e | Beheeractiviteiten worden nauwgezet gecoördineerd |
ISO 27002 2017 | 13.1.1f | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd |
ISO 27002 2017 | 13.1.2 | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid |
ISO 27002 2017 | 13.1.3 | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst |
ISO 27002 2017 | 13.1.3 | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding |
ISO 27002 2017 | 13.2.1a | Procedures beschrijven het beveiligen van informatie |
ISO 27002 2017 | 13.2.1b | Procedures beschrijven het opsporen van en beschermen tegen malware |
ISO 27002 2017 | 13.2.1c | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
ISO 27002 2017 | 13.2.1d | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
ISO 27002 2017 | 13.2.1f | Beleid of richtlijnen omschrijven het toepassen van cryptografie |
ISO 27002 2017 | 13.2.1h | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd |
ISO 27002 2017 | 13.2.2a, b, i, j en k | Elementen in overeenkomsten over informatietransport |
ISO 27002 2017 | 13.2.3a t/m f | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen |
ISO 27002 2017 | 13.2.4b, c, h, e, f, i en j | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten |
ISO 27002 2017 | 14.1.1 | Informatiebeveiligingseisen |
ISO 27002 2017 | 14.1.1a, b, d, e en f | Overwogen informatiebeveiligingseisen |
ISO 27002 2017 | 14.2.1 | Technieken voor beveiligd programmeren |
ISO 27002 2017 | 14.2.1a t/m g | Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
ISO 27002 2017 | 14.2.2 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
ISO 27002 2017 | 14.2.2 | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
ISO 27002 2017 | 14.2.2b | Elementen van de procedures voor wijzigingsbeheer |
ISO 27002 2017 | 14.2.3a en d | Testen bij verandering van besturingssystemen |
ISO 27002 2017 | 14.2.4 | Testen en valideren van wijzigingen |
ISO 27002 2017 | 14.2.4 | Beperking wijziging softwarepakket |
ISO 27002 2017 | 14.2.9 | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang |
ISO 27002 2017 | 14.2.9 | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
ISO 27002 2017 | 14.3.1 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
ISO 27002 2017 | 14.3.1a t/m d | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
ISO 27002 2017 | 15.2.1a | Verifiëren mate van naleving leveranciersovereenkomsten |
ISO 27002 2017 | 15.2.1b | Beoordelen rapporten over dienstverlening |
ISO 27002 2017 | 15.2.1c | Uitvoeren leveranciersaudits |
ISO 27002 2017 | 15.2.1d | Geven inzicht in verslaglegging leveranciersaudits |
ISO 27002 2017 | 15.2.1f | Oplossen en beheren problemen |
ISO 27002 2017 | 18.1.1 | Vaststellen alle van toepassing zijnde wet- en regelgeving |
ISO 27002 2017 | 18.1.1 | Vaststellen toepasselijkheid wetgeving |
ISO 27002 2017 | 18.1.1 | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
ISO 27002 2017 | 18.1.4 | Privacy en bescherming persoonsgegevens applicatieontwikkeling |
ISO 27002 2017 | 18.2.1 | Resultaten worden gerapporteerd aan het verantwoordelijke management |
ISO 27002 2017 | 18.2.3 | Eisen aan het vervaardigen en interpreteren van technische naleving |
ISO 27002 2017 | 18.2.3 | Checklist voor veilige inrichting van netwerk(diensten) |
ISO 27002 2017 | 18.2.3 | Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen |
ISO 27002 2017 | 18.2.3 | Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar |
ISO 27002 2017 | 18.2.3 | Eisen aan het beoordelen van technische naleving |
ISO 27002 2017 | 5.1.1 | Er is een huisvesting informatievoorzieningenbeleid |
ISO 27002 2017 | 5.1.1 | Beleidsregels huisvesting informatievoorzieningen |
ISO 27002 2017 | 5.1.1 | Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
ISO 27002 2017 | 6.1.1 | Verantwoordelijkheden zijn toegewezen en vastgelegd |
ISO 27002 2017 | 6.1.1b, d en e | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
ISO 27002 2017 | 8.1.1 | Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV |
ISO 27002 2017 | 8.1.1 | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
ISO 27002 2017 | 8.1.1 | Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
ISO 27002 2017 | 8.1.1 | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
ISO 27002 2017 | 8.1.1 en 8.1.2 | Eigenaarschap toegangsbeveiliging |
ISO 27002 2017 | 8.1.2 | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
ISO 27002 2017 | 8.1.2 | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
ISO 27002 2017 | 8.1.2 | Het eigenaarschap is specifiek toegekend |
ISO 27002 2017 | 8.1.2 | Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen |
ISO 27002 2017 | 8.1.2 | Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen |
ISO 27002 2017 | 8.1.2 | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
ISO 27002 2017 | 8.1.2a t/m d | Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
ISO 27002 2017 | 8.2.1 | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
ISO 27002 2017 | 8.2.3 | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
ISO 27002 2017 | 8.3.1b, 8.3.2a en e en 9.4.4 | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
ISO 27002 2017 | 9.1.1 | Toepassen van need-to-know en need-to-use principes |
ISO 27002 2017 | 9.1.1 | Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken |
ISO 27002 2017 | 9.1.1 | Het autorisatiebeheer is procesmatig ingericht |
ISO 27002 2017 | 9.1.1 | Eisen aan het Toegangvoorzieningsbeleid |
ISO 27002 2017 | 9.1.1 | Aandacht voor wetgeving en verplichtingen |
ISO 27002 2017 | 9.1.1 | Standaard gebruikersprofielen |
ISO 27002 2017 | 9.2.3 | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures |
ISO 27002 2017 | 9.2.5 | Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld |
ISO 27002 2017 | 9.2.5 | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld |
ISO 27002 2017 | 9.2.6 | Toegangsrechten intrekken bij beëindigen van dienstverband |
ISO 27002 2017 | 9.2.6 | Toegangsrechten corresponderen met wijzigingen in het dienstverband |
ISO 27002 2017 | 9.2.6 | Toegangsrechten intrekken voordat dienstverband eindigt of wijzigt, afhankelijk van risicofactoren |
ISO 27002 2017 | 9.4.5 | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
ISO 27002 2017 | 9.4.5a t/m g | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
ISO 27033-2 2012 | 6.1 | Stappen ter voorbereiding van veilige netwerkontwerpen |
ISO 27033-2 2012 | 7.2.4 | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” |
ISO 27033-2 2012 | 8.4 | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie |
ISO 27033-2 2012 | 8.7 | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
ISO 27033-4 2014 | 6 | Gateways en firewalls |
ISO 27033-5 2013 | 6.1 | Virtual Private Network (VPN) |
ISO 27033-5 2013 | 7 | De end-to-end |
ISO 27040 2016 | 6.4.5 | Hardening middlewarecomponenten |
ISO 27040 2016 | 6.8.2, 7.5 | Vertrouwelijkheid en integriteit data |
ISO 27040 2016 | 7.7.4 of 7.7.5 | Middlewarearchitectuur en certificering |
ITU-T Part 5 2012 | 8.5 | Data en privacy |
NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging) | 12.2.1g.1 en 2 | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 6.3.2.1 | Dataprotectie |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 6.7.1 | Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 6.7.1 | Archiveren gegevens met behulp van WORM-technologie |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 6.7.1 | Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 6.7.1 | Wissen CSC-data bij beëindigen van contractrelatie |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 6.7.1 | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet |
NEN-EN-ISO/IEC 27040:2016 (Storage security) | 7.7.4 | Datascheiding |
NEN-ISO 31000:2018 (Risicomanagement - Richtlijnen) | 6.1 | Beschrijven risicomanagementproces |
NEN-ISO/IEC 17789:2014 (Cloud computing - Reference architecture) | 9.2.3.4 | Service-orkestratie |
NEN-ISO/IEC 19086-1:2016 (Service level agreement (SLA) framework - Part 1 | Overview and concepts) | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
NEN-ISO/IEC 19941:2017 (Information technology - Cloud computing - Interoperability and portability) | 7.1.7 | Interoperabiliteit en portabiliteit |
NEN-ISO/IEC 27002 | 12.4 | Security-monitoringsrapportage |
NEN-ISO/IEC 27002 | 12.6.1a | Definiëren en vaststellen rollen en verantwoordelijkheden |
NEN-ISO/IEC 27002 | 12.6.1c | Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid |
NEN-ISO/IEC 27002 | 17.2.1 | Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties |
NEN-ISO/IEC 27002 | 17.2.1 | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen |
NEN-ISO/IEC 27002 | 18.2.1 en 18.2.2 | Compliance en assurance |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 12.1 | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 12.1 | Richten op diverse zaken met betrekking tot monitoren van risico |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 12.1 | Uitvoeren monitoringsactiviteiten en mitigeren risico’s |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 12.1 en 12.2 | Risico-control |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 12.2 | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 12.2 | Adresseren diverse elementen bij monitoring en reviewen |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 7.4 | Hebben CSP-verantwoordelijkheden |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 7.4 | Goedkeuren organisatie van risicomanagementproces |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 7.4 | Risicomanagement |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 8.1 | Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 8.1 | Risico-assessment |
NEN-ISO/IEC 27005:2018 (Information security risk management) | 8.4 | Evalueren risico’s op basis van risico-acceptatiecriteria |
NEN-ISO/IEC 27007:2017 (Guidelines for information security management systems auditing) | 14.2.4 | Ongewijzigd gebruiken gewijzigde softwarepakketten |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 12.6.1 | Beschikbaar stellen informatie over beheer van technische kwetsbaarheden |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 15.1.2 | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 18.1.1 | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 18.1.1 | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 18.1.1 | Identificeren vereisten die van toepassing zijn |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 18.1.1 | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 2.1 | Treffen beveiligingsmaatregelen op basis van internationale standaarden |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 5.1.1 | Clouddienstenbeleid |
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) | 5.1.1 | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
NEN-ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors) | A.12.1 | Specificeren en documenteren opslag op welke locatie data |
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts) | 7.2.2.2 | Cryptografische services |
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts) | 8.5 | Evalueren netwerkgebeurtenissen (monitoring) |
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts) | 8.8 | Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen |
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts) | 8.8 | Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast |
NEN-ISO/IEC 7498-4:1991 (Informatietechnologie - Onderlinge verbinding van open systemen (OSI) - Basisreferentiemodel - Deel 4 - Beheerskader) | 4.5.1 | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
NIST SP 800-160 2016 (Systems Security Engineering) | 2.1 | Beveiliging is integraal onderdeel van systeemontwikkeling |
NIST SP 800-27 Rev. A 2004 (Engineering Principles for Information Technology Security (A Baseline for Achieving Security) | 3.3.1 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
NIST SP 800-53 Rev. 5 2020 (Security and Privacy Controls for Information Systems and Organizations) | PL-8 | Serverplatform-architectuur |
OWASP Application Security Verification Standard 4.0.2 | V12 | Ingebouwde mechnismen om aanvallen te detecteren |
OWASP Application Security Verification Standard 4.0.2 | V12 | Gegevensimport |
OWASP Application Security Verification Standard 4.0.2 | V12 | Valideren verstrekte invoer aan softwarepakket |
OWASP Application Security Verification Standard 4.0.2 | V12.1 | Bieden flexibel quotummechanisme |
OWASP Application Security Verification Standard 4.0.2 | V12.1 | Geen grote bestanden accepteren |
OWASP Application Security Verification Standard 4.0.2 | V12.3 | Beveiligingsmechanismen inbouwen voor detectie ingesloten aanvallen |
OWASP Application Security Verification Standard 4.0.2 | V13 | Application Programming Interface (API) |
OWASP Application Security Verification Standard 4.0.2 | V13.1.3 | Niet weergegeven van gevoelige informatie |
SIG Evaluation Criteria Security - Guidance for producers | 3.2.3 | Bereiken authenticiteit |
SIG Evaluation Criteria Security - Guidance for producers | 3.2.3 | Authenticatie |
SIG Evaluation Criteria Security - Guidance for producers | 3.3.6 | Gebruik maken van veilige API's die gebruikersdata scheiden |
SIG Evaluation Criteria Security - Guidance for producers | 3.3.6 | Veilige API's gebruiken |
SIG Evaluation Criteria Security - Guidance for producers | 3.3.6 | Gebruik maken van veilige API's tijdens verwerking |
SSD 2020 | SSD-30 | Logging en monitoring middleware |
SoGP 2018 | SY1.1.1 | Ontwerpdocumentatie |
SoGP 2018 | SY2 | Configuratie middlewarecomponenten |
The Standard of Good Practice for Information Security 2018 | BC1.3 | IT-functionaliteit |
The Standard of Good Practice for Information Security 2018 | BC1.3.1 | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
The Standard of Good Practice for Information Security 2018 | BC1.3.9 | Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen |
The Standard of Good Practice for Information Security 2018 | IR2.2 | Business Impact Analyse (BIA) |
The Standard of Good Practice for Information Security 2018 | IR2.2.1 en IR2.2.3e | Perspectieven bij de Business Impact Analyse |
The Standard of Good Practice for Information Security 2018 | IR2.2.4 | Scenario's voor de Business Impact Analyse |
The Standard of Good Practice for Information Security 2018 | IR2.2.5 | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
The Standard of Good Practice for Information Security 2018 | LC 2.1.8 | Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
The Standard of Good Practice for Information Security 2018 | NC1.3.5 | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken |
The Standard of Good Practice for Information Security 2018 | NC1.4.1a | Voor de beheersing van netwerken worden minimumeisen |
The Standard of Good Practice for Information Security 2018 | NC1.5.11 | Voor elke gateway of firewall bestaat een actueel configuratiedocument |
The Standard of Good Practice for Information Security 2018 | NC1.5.5 | De filterfunctie van gateways en firewalls is instelbaar |
The Standard of Good Practice for Information Security 2018 | NC1.6.1 | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd |
The Standard of Good Practice for Information Security 2018 | NC1.6.4 | Het op afstand onderhouden van servers wordt strikt beheerd |
The Standard of Good Practice for Information Security 2018 | PM1.2 | Eigenaarschap toegangsbeveiliging |
The Standard of Good Practice for Information Security 2018 | PM1.2.1 | Het eigenaarschap is specifiek toegekend |
The Standard of Good Practice for Information Security 2018 | PM1.2.2 | De eigenaar beschikt over kennis, middelen, mensen en autoriteit |
The Standard of Good Practice for Information Security 2018 | PM1.2.3 | Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen |
The Standard of Good Practice for Information Security 2018 | PM1.2.3 | Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen |
The Standard of Good Practice for Information Security 2018 | PM1.3.1 | Voor remote werkzaamheden is een werkwijze vastgelegd |
The Standard of Good Practice for Information Security 2018 | PM2.1.1 en PM2.3 | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
The Standard of Good Practice for Information Security 2018 | PM2.2 en PM2.3 | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
The Standard of Good Practice for Information Security 2018 | S12.1 | Security-monitoringsrapportage |
The Standard of Good Practice for Information Security 2018 | S12.1.1 | Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren |
The Standard of Good Practice for Information Security 2018 | S12.1.2 | Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten |
The Standard of Good Practice for Information Security 2018 | S12.1.5 | Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht |
The Standard of Good Practice for Information Security 2018 | S12.6 | Analyseren informatiebeveiligingsrapportages in samenhang |
The Standard of Good Practice for Information Security 2018 | SA1.1.10 | Het toegangbeveiligingssysteem wordt periodiek geevalueerd |
The Standard of Good Practice for Information Security 2018 | SA1.2.1 | Toegangsrechten intrekken bij beëindigen van dienstverband |
The Standard of Good Practice for Information Security 2018 | SA1.2.1 | Autorisatieproces |
The Standard of Good Practice for Information Security 2018 | SC1.1.1b, j en k | Overeenkomsten en documentatie omvatten afspraken |
The Standard of Good Practice for Information Security 2018 | SD 1.1 | Systeem-ontwikkelmethode |
The Standard of Good Practice for Information Security 2018 | SD 1.1.1 | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
The Standard of Good Practice for Information Security 2018 | SD 1.1.2 | Software wordt ontwikkelen conform standaarden en procedures |
The Standard of Good Practice for Information Security 2018 | SD 1.1.3 | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
The Standard of Good Practice for Information Security 2018 | SD 1.1.6 | Het softwareontwikkeling wordt projectmatig aangepakt |
The Standard of Good Practice for Information Security 2018 | SD 1.1.7 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
The Standard of Good Practice for Information Security 2018 | SD 1.1.9 | Adoptie van ontwikkelmethodologie wordt gemonitord |
The Standard of Good Practice for Information Security 2018 | SD2.1 | Applicatie-ontwerp |
The Standard of Good Practice for Information Security 2018 | SD2.1.6 en SD2.2.7 | Principes voor het beveiligen van informatiesystemen |
The Standard of Good Practice for Information Security 2018 | SD2.2.1 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
The Standard of Good Practice for Information Security 2018 | SD2.2.2 | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
The Standard of Good Practice for Information Security 2018 | SD2.2.3 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
The Standard of Good Practice for Information Security 2018 | SD2.4.1 | Activiteiten van applicatiebouw worden gereviewd |
The Standard of Good Practice for Information Security 2018 | SD2.4.1 | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
The Standard of Good Practice for Information Security 2018 | SD2.4.2 | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
The Standard of Good Practice for Information Security 2018 | SD2.4.3 | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
The Standard of Good Practice for Information Security 2018 | SD2.4.3 | Geen gebruik van onveilig programmatechnieken |
The Standard of Good Practice for Information Security 2018 | SD2.4.3 | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
The Standard of Good Practice for Information Security 2018 | SD2.4.3 | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
The Standard of Good Practice for Information Security 2018 | SD2.4a en d | Applicatiebouw |
The Standard of Good Practice for Information Security 2018 | SG 2.1.3 en SG 2.1.6 | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
The Standard of Good Practice for Information Security 2018 | SG1.2.2a | Taken van de beveiligingsfunctionaris |
The Standard of Good Practice for Information Security 2018 | SG2.1 | Cloudbeveiligingsstrategie |
The Standard of Good Practice for Information Security 2018 | SG2.1.1 | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
The Standard of Good Practice for Information Security 2018 | SG2.1.2 | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
The Standard of Good Practice for Information Security 2018 | SI2.3.1 en SI2.3.2 | Compliance-management |
The Standard of Good Practice for Information Security 2018 | SM2.1 | Beveiligingsfunctie |
The Standard of Good Practice for Information Security 2018 | SM2.1 | De rollen binnen de beveiligingsfunctie zijn benoemd |
The Standard of Good Practice for Information Security 2018 | SM2.1.2 | Bewerkstelligen en promoten cloudbeveiligingsbeleid |
The Standard of Good Practice for Information Security 2018 | SM2.1.4 | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
The Standard of Good Practice for Information Security 2018 | SY1.1.1 | Ontwerpdocument |
The Standard of Good Practice for Information Security 2018 | SY1.1.1 | Het ontwerp van elk serverplatform en elke server is gedocumenteerd |
The Standard of Good Practice for Information Security 2018 | SY1.1.2c | Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd |
The Standard of Good Practice for Information Security 2018 | SY1.1.3 | Beveiligingsprincipes voor het beveiligd inrichten van servers |
The Standard of Good Practice for Information Security 2018 | SY1.2 | Standaarden voor serverconfiguratie |
The Standard of Good Practice for Information Security 2018 | SY1.2 | Serverconfiguratie |
The Standard of Good Practice for Information Security 2018 | SY1.2.1 | Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud |
The Standard of Good Practice for Information Security 2018 | SY1.2.1 | Eisen aan de "gedocumenteerde standaarden" |
The Standard of Good Practice for Information Security 2018 | SY1.2.1 | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures |
The Standard of Good Practice for Information Security 2018 | SY1.2.3 | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage |
The Standard of Good Practice for Information Security 2018 | SY1.2.5 | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt |
The Standard of Good Practice for Information Security 2018 | SY1.2.5 | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld |
The Standard of Good Practice for Information Security 2018 | SY1.2.5 en SY1.2.8 | Hardenen server |
The Standard of Good Practice for Information Security 2018 | SY1.2.7 | Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt |
The Standard of Good Practice for Information Security 2018 | SY1.2.8 | Servers worden beschermd tegen ongeoorloofde toegang |
The Standard of Good Practice for Information Security 2018 | SY1.3 | Virtualisatie serverplatform |
The Standard of Good Practice for Information Security 2018 | SY1.3.1 en SY1.3.2 | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures |
The Standard of Good Practice for Information Security 2018 | SY1.3.4 | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd |
The Standard of Good Practice for Information Security 2018 | SY1.3.5 | Hypervisors worden geconfigureerd |
The Standard of Good Practice for Information Security 2018 | SY1.3.6 en SY1.3.7 | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors |
The Standard of Good Practice for Information Security 2018 | TM1.1.10 | Eisen aan het Patchmanagement |
The Standard of Good Practice for Information Security 2018 | TM1.1.6 | Het kwetsbaarheden beheerproces |
The Standard of Good Practice for Information Security 2018 | TM1.1.7 | Uitvoeren penetratietests op ICT-componenten |
The Standard of Good Practice for Information Security 2018 | TM1.1.9 | Procesmatig herstel van technische kwetsbaarheden |
The Standard of Good Practice for Information Security 2018 | TM1.1.9 | Verhelpen technische zwakheden door patchmanagement |
The Standard of Good Practice for Information Security 2018 | TM1.2.3 | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd |
The Standard of Good Practice for Information Security 2018 | TM1.5.1 | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
The Standard of Good Practice for Information Security 2018 | TS1.1.5 | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen |
The Standard of Good Practice for Information Security 2018 | TS1.1.6 | Voorschrijven beveiligingsprincipes |
The Standard of Good Practice for Information Security 2018 | TS1.1.7 | Ondersteunen proces voor beveilgingsmechnismen |
The Standard of Good Practice for Information Security 2018 | TS1.1.9a, c en d | Eisen aan het architectuurdocument van het in te richten van het serverplatform |
The Standard of Good Practice for Information Security 2018 | TS2.2 | Authenticatie-informatie wordt beschermd door middel van versleuteling |
The Standard of Good Practice for Information Security 2018 | TS2.2 | Het cryptografiebeleid stelt eisen |
UAVG (Uitvoeringswet AVG) | Art. 22; 23; 24; 25; 26; 27; 28; 29; 30; 31; 32; 33; 40; 46 | Doelbinding gegevensverwerking |
UAVG (Uitvoeringswet AVG) | Art. 2; 4 | Privacy Beleid geeft duidelijkheid en sturing |
UAVG (Uitvoeringswet AVG) | Art. 39 | Organieke inbedding |
UAVG (Uitvoeringswet AVG) | Art. 41; 42 | Meldplicht Datalekken |
UAVG (Uitvoeringswet AVG) | Art. 43 | Bewaren van persoonsgegevens |
UAVG (Uitvoeringswet AVG) | Art. 5; 22; 24; 27; 28; 32; 41 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens |
UAVG (Uitvoeringswet AVG) | MvT § 5.2.4 | Beveiligen van de verwerking van persoonsgegevens |