Grondslagen/lijst

Uit NORA Online
Ga naar: navigatie, zoeken

Gerefereerde grondslagen met verwijzing naar een specifiek onderdeel

GrondslagOnderdeeluitgewerkt in
BIO (Baseline Informatiebeveiliging Overheid)10.1.1Het cryptografiebeleid stelt eisen
BIO (Baseline Informatiebeveiliging Overheid)11.1.1Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
BIO (Baseline Informatiebeveiliging Overheid)11.1.2Fysieke toegangbeveiliging
BIO (Baseline Informatiebeveiliging Overheid)11.1.4Interne en Externe bedreigingen
BIO (Baseline Informatiebeveiliging Overheid)11.1.4De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
BIO (Baseline Informatiebeveiliging Overheid)11.1.4De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
BIO (Baseline Informatiebeveiliging Overheid)11.1.4Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
BIO (Baseline Informatiebeveiliging Overheid)11.1.4Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
BIO (Baseline Informatiebeveiliging Overheid)11.1.5Richtlijnen gebieden en ruimten
BIO (Baseline Informatiebeveiliging Overheid)12.1.1Gedocumenteerde procedures voor bedieningsactiviteiten
BIO (Baseline Informatiebeveiliging Overheid)12.2.1Servers zijn voorzien van up-to-date anti-malware
BIO (Baseline Informatiebeveiliging Overheid)12.2.1De malware scan wordt op alle omgevingen uitgevoerd
BIO (Baseline Informatiebeveiliging Overheid)12.2.1Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
BIO (Baseline Informatiebeveiliging Overheid)12.2.1De anti-malware software wordt regelmatig geüpdate
BIO (Baseline Informatiebeveiliging Overheid)12.2.1, 12.2.2, 12.2.4Applicatie functionaliteiten
BIO (Baseline Informatiebeveiliging Overheid)12.6.1Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
BIO (Baseline Informatiebeveiliging Overheid)12.6.2Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan
BIO (Baseline Informatiebeveiliging Overheid)14.1.1De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
BIO (Baseline Informatiebeveiliging Overheid)14.1.1Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1ISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
BIO (Baseline Informatiebeveiliging Overheid)14.2.6.1Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
BIO (Baseline Informatiebeveiliging Overheid)14.2.9.1Van de resultaten van de testen wordt een verslag gemaakt
BIO (Baseline Informatiebeveiliging Overheid)18.1.1De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
BIO (Baseline Informatiebeveiliging Overheid)6.1.2.1Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen
BIO (Baseline Informatiebeveiliging Overheid)6.2.1Functiescheiding
BIO (Baseline Informatiebeveiliging Overheid)8.1.1Bedrijfsmiddelen inventaris
BIO (Baseline Informatiebeveiliging Overheid)9.1.1Eisen aan het Toegangvoorzieningsbeleid
BIO (Baseline Informatiebeveiliging Overheid)9.2.1Registratieprocedure
BIO (Baseline Informatiebeveiliging Overheid)9.2.2Toegangsverlening procedure
BIO (Baseline Informatiebeveiliging Overheid)9.2.3Speciale toegangsrechten beheer
BIO (Baseline Informatiebeveiliging Overheid)9.2.4Authenticatie-informatie
BIO (Baseline Informatiebeveiliging Overheid)9.2.5Beoordeling van toegangsrechten
BIO (Baseline Informatiebeveiliging Overheid)9.2.5Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
BIO (Baseline Informatiebeveiliging Overheid)9.2.5Beoordeling toegangsrechten
BIO (Baseline Informatiebeveiliging Overheid)9.2.6Autorisatieproces
BIO (Baseline Informatiebeveiliging Overheid)9.4.1Autorisatie
BIO (Baseline Informatiebeveiliging Overheid)9.4.2Inlogprocedures
BIO (Baseline Informatiebeveiliging Overheid)9.4.3Wachtwoorden beheer
BIO (Baseline Informatiebeveiliging Overheid)9.4.5Training en Awareness
BIR (Baseline Informatiebeveiliging Rijksdienst)10.1.1Cryptografie bij authenticatie
BIR (Baseline Informatiebeveiliging Rijksdienst)11.1.3Sleutelbeheer is ingericht op basis van een sleutelplan
BIR (Baseline Informatiebeveiliging Rijksdienst)11.1.6.1Een procedure beschrijft het omgaan met verdachte brieven en pakketten
BIR (Baseline Informatiebeveiliging Rijksdienst)11.2.4Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
IT-Grundschutz (Basis für Informationssicherheit)S 4.2Organisatiestructuur van netwerkbeheer
NCSC ICT-Webrichtlijnen voor webapplicatiesC.09 P-MgtPatchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
NCSC ICT-Webrichtlijnen voor webapplicatiesC.09 P-MgtHet al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
NCSC ICT-Webrichtlijnen voor webapplicatiesC.09 P-MgtOntwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
NCSC ICT-Webrichtlijnen voor webapplicatiesC.10De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
NEN-ISO/IEC 22313H8 en H9Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
NEN-ISO/IEC 22323H10Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
NEN-ISO/IEC 22323H9 en H10Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
NEN-ISO/IEC 2700210Cryptografische Services
NEN-ISO/IEC 2700210Cryptografiebeleid voor communicatie
NEN-ISO/IEC 2700210.1.1Cryptografie
NEN-ISO/IEC 2700210.1.1Cryptografie bij authenticatie
NEN-ISO/IEC 2700210.1.1.1In het cryptografiebeleid uitgewerkte onderwerpen
NEN-ISO/IEC 2700210.10.1De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
NEN-ISO/IEC 2700210.10.1Eisen aan de periodieke rapportage over de analyse van de logbestanden
NEN-ISO/IEC 2700210.10.1Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
NEN-ISO/IEC 2700210.10.1Eisen aan de periodieke beoordeling van de logbestanden
NEN-ISO/IEC 2700210.10.1De verzamelde loginformatie wordt in samenhang geanalyseerd
NEN-ISO/IEC 2700210.10.2Evaluatie richtlijnen servers en besturingssystemen
NEN-ISO/IEC 2700210.10.2Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
NEN-ISO/IEC 2700210.10.2Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
NEN-ISO/IEC 2700210.10.2De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
NEN-ISO/IEC 2700210.10.2Controle richtlijn
NEN-ISO/IEC 2700210.10.2De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
NEN-ISO/IEC 2700211.1.1Fysieke zonering
NEN-ISO/IEC 2700211.1.1.aBeveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
NEN-ISO/IEC 2700211.1.1.gInformatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
NEN-ISO/IEC 2700211.1.2Fysieke toegangbeveiliging
NEN-ISO/IEC 2700211.1.3Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
NEN-ISO/IEC 2700211.1.3Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
NEN-ISO/IEC 2700211.1.3Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
NEN-ISO/IEC 2700211.1.3Beveiligingsfaciliteiten ruimten
NEN-ISO/IEC 2700211.1.4Interne en Externe bedreigingen
NEN-ISO/IEC 2700211.1.5Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
NEN-ISO/IEC 2700211.1.5Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
NEN-ISO/IEC 2700211.1.5Richtlijnen gebieden en ruimten
NEN-ISO/IEC 2700211.1.5Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
NEN-ISO/IEC 2700211.1.6Laad en los locatie
NEN-ISO/IEC 2700211.15In beveiligde gebieden wordt slechts onder toezicht gewerkt
NEN-ISO/IEC 2700211.2Apparatuur verwijdering
NEN-ISO/IEC 2700211.2.1Apparatuur positionering
NEN-ISO/IEC 2700211.2.1Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
NEN-ISO/IEC 2700211.2.1Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
NEN-ISO/IEC 2700211.2.2De nutsvoorzieningen
NEN-ISO/IEC 2700211.2.2Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
NEN-ISO/IEC 2700211.2.2Nutsvoorzieningen
NEN-ISO/IEC 2700211.2.3Bekabeling
NEN-ISO/IEC 2700211.2.4Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen
NEN-ISO/IEC 2700211.2.4Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
NEN-ISO/IEC 2700211.2.4Onderhoud Apparatuur
NEN-ISO/IEC 2700211.2.4Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
NEN-ISO/IEC 2700211.2.4Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
NEN-ISO/IEC 2700211.2.4Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
NEN-ISO/IEC 2700211.2.4Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
NEN-ISO/IEC 2700211.2.4Onderhoud van servers
NEN-ISO/IEC 2700211.2.5Bedrijfsmiddelen verwijdering
NEN-ISO/IEC 2700211.2.7Veilig verwijderen of hergebruiken van serverapparatuur
NEN-ISO/IEC 2700211.2.7Niet meer benodigde opslagmedia en informatie van servers worden vernietigd
NEN-ISO/IEC 2700211.2.7Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
NEN-ISO/IEC 2700211.3.1Huisvestingsstructuur
NEN-ISO/IEC 2700212.1.1Bedieningsprocedures
NEN-ISO/IEC 2700212.1.1In de bedieningsprocedures opgenomen bedieningsvoorschriften
NEN-ISO/IEC 2700212.1.1Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
NEN-ISO/IEC 2700212.2.1Malwareprotectie
NEN-ISO/IEC 2700212.2.1In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
NEN-ISO/IEC 2700212.2.1Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
NEN-ISO/IEC 2700212.2.1Het downloaden van bestanden is beheerst en beperkt
NEN-ISO/IEC 2700212.4Vastleggen en monitoring van netwerkgebeurtenissen (events)
NEN-ISO/IEC 2700212.4.1Eisen aan de inhoud van de logbestanden van gebeurtenissen
NEN-ISO/IEC 2700212.4.1Registratie gebeurtenissen
NEN-ISO/IEC 2700212.4.3Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
NEN-ISO/IEC 2700212.4.3Eisen aan het beschermen van de logbestanden
NEN-ISO/IEC 2700212.4.3Beheerderactiviteiten vastgelegd in logbestanden
NEN-ISO/IEC 2700212.4.4De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
NEN-ISO/IEC 2700212.4.4De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
NEN-ISO/IEC 2700212.4.4Kloksynchronisatie
NEN-ISO/IEC 2700212.6.1Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
NEN-ISO/IEC 2700212.6.1Eisen aan het Patchmanagement
NEN-ISO/IEC 2700212.6.1Patchmanagement
NEN-ISO/IEC 2700212.6.1Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren
NEN-ISO/IEC 2700212.6.1Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
NEN-ISO/IEC 2700212.6.1De activiteiten zijn afgestemd op het incident
NEN-ISO/IEC 2700212.6.1Beheer van serverkwetsbaarheden
NEN-ISO/IEC 2700212.6.1Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
NEN-ISO/IEC 2700212.6.1Richtlijnen evaluatie ontwikkelactiviteiten
NEN-ISO/IEC 2700212.6.2Beperkingen voor de installatie van software(richtlijnen)
NEN-ISO/IEC 2700212.6.2De rechten van beheerders worden verleend op basis van rollen
NEN-ISO/IEC 2700212.6.2De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
NEN-ISO/IEC 2700212.6.2Beperking van software-installatie
NEN-ISO/IEC 2700212.6.2Het principe van least-privilege wordt toegepast
NEN-ISO/IEC 2700213Beveiliging netwerkdiensten
NEN-ISO/IEC 2700213Beleid en procedures informatietransport
NEN-ISO/IEC 2700213Overeenkomsten over informatietransport
NEN-ISO/IEC 2700213Vertrouwelijkheids- of geheimhoudingsovereenkomst
NEN-ISO/IEC 2700213Netwerk beveiligingsbeheer
NEN-ISO/IEC 2700213.1.1Netwerk beheeractiviteiten
NEN-ISO/IEC 2700213.1.1aVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
NEN-ISO/IEC 2700213.1.1bDe functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
NEN-ISO/IEC 2700213.1.1cNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
NEN-ISO/IEC 2700213.1.1eBeheeractiviteiten worden nauwgezet gecoördineerd
NEN-ISO/IEC 2700213.1.1fSystemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
NEN-ISO/IEC 2700213.1.2.1Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
NEN-ISO/IEC 2700213.1.2.2Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
NEN-ISO/IEC 2700213.1.2.3Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
NEN-ISO/IEC 2700213.1.2.3Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
NEN-ISO/IEC 2700213.1.2.3De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
NEN-ISO/IEC 2700213.1.3Zonering en filtering
NEN-ISO/IEC 2700213.1.3Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
NEN-ISO/IEC 2700213.1.3Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
NEN-ISO/IEC 2700213.1.3Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
NEN-ISO/IEC 2700213.1.3.1Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
NEN-ISO/IEC 2700213.2.1aProcedures beschrijven het beveiligen van informatie
NEN-ISO/IEC 2700213.2.1bProcedures beschrijven het opsporen van en beschermen tegen malware
NEN-ISO/IEC 2700213.2.1cProcedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
NEN-ISO/IEC 2700213.2.1dBeleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
NEN-ISO/IEC 2700213.2.1fBeleid of richtlijnen omschrijven het toepassen van cryptografie
NEN-ISO/IEC 2700213.2.1jE-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
NEN-ISO/IEC 2700213.2.2Elementen in overeenkomsten over informatietransport
NEN-ISO/IEC 2700213.2.3Elektronische berichten
NEN-ISO/IEC 2700213.2.3Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
NEN-ISO/IEC 2700213.2.3.1Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren
NEN-ISO/IEC 2700213.2.3.2Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
NEN-ISO/IEC 2700213.2.3.3Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
NEN-ISO/IEC 2700213.2.3.4Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
NEN-ISO/IEC 2700213.2.4Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
NEN-ISO/IEC 2700214.1.1Analyse en specificatie van informatiebeveiligingseisen
NEN-ISO/IEC 2700214.1.2Toepassingen via openbare netwerken
NEN-ISO/IEC 2700214.2.1Beleid voor (beveiligd) ontwikkelen
NEN-ISO/IEC 2700214.2.1Beleid voor beveiligde inrichting en onderhoud
NEN-ISO/IEC 2700214.2.1.1Security by Design als uitgangspunt voor softwareontwikkeling
NEN-ISO/IEC 2700214.2.2Procedures voor wijzigingsbeheer m.b.t. applicaties
NEN-ISO/IEC 2700214.2.3Technische beoordeling van informatiesystemen na wijziging besturingsplatform
NEN-ISO/IEC 2700214.2.5Engineeringprincipes beveiligde systemen
NEN-ISO/IEC 2700214.2.5Principes voor inrichten van beveiligde servers
NEN-ISO/IEC 2700214.2.6De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
NEN-ISO/IEC 2700214.2.6Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
NEN-ISO/IEC 2700214.2.6Beveiligde ontwikkel- (en test) omgeving
NEN-ISO/IEC 2700214.2.6Voor remote werkzaamheden is een werkwijze vastgelegd
NEN-ISO/IEC 2700214.2.8Testen van systeembeveiliging
NEN-ISO/IEC 2700214.2.9Systeem acceptatietests
NEN-ISO/IEC 2700214.3.1Huisvesting-IV architectuur
NEN-ISO/IEC 2700214.3.1Beschermen van testgegevens
NEN-ISO/IEC 2700218.1.1Wet en regelgeving
NEN-ISO/IEC 2700218.1.5.1Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
NEN-ISO/IEC 2700218.2De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
NEN-ISO/IEC 2700218.2Zeer belangrijke onderdelen van netwerkbeveiliging
NEN-ISO/IEC 2700218.2Netwerk security compliancy checking
NEN-ISO/IEC 2700218.2Evalueren netwerkbeveiliging
NEN-ISO/IEC 2700218.2Continue bewaking via monitoring
NEN-ISO/IEC 2700218.2Checklist voor veilige inrichting van netwerk(diensten)
NEN-ISO/IEC 2700218.2Evalueren netwerk monitoring
NEN-ISO/IEC 2700218.2Resultaten worden gerapporteerd aan het verantwoordelijke management
NEN-ISO/IEC 2700218.2.3Eisen aan het vervaardigen en interpreteren van technische naleving
NEN-ISO/IEC 2700218.2.3Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
NEN-ISO/IEC 2700218.2.3Beoordeling technische serveromgeving
NEN-ISO/IEC 2700218.2.3Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
NEN-ISO/IEC 2700218.2.3Eisen aan het beoordelen van technische naleving
NEN-ISO/IEC 2700218.2.3.1Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
NEN-ISO/IEC 2700218.2.4.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)
NEN-ISO/IEC 270025.1Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
NEN-ISO/IEC 270025.1.1Huisvesting informatievoorziening Beleid
NEN-ISO/IEC 270025.1.1Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
NEN-ISO/IEC 270025.1.1Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
NEN-ISO/IEC 270026.1Beheerorganisatie netwerkbeveiliging
NEN-ISO/IEC 270026.1.1Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
NEN-ISO/IEC 270026.1.2Functiescheiding
NEN-ISO/IEC 270026.2.2Beheer op afstand
NEN-ISO/IEC 270027.2Training en Awareness
NEN-ISO/IEC 270028.1.1Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
NEN-ISO/IEC 270028.1.1Bedrijfsmiddelen inventaris
NEN-ISO/IEC 270028.1.1Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
NEN-ISO/IEC 270028.1.2Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
NEN-ISO/IEC 270028.1.2De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
NEN-ISO/IEC 270028.1.2Eigenaarschap
NEN-ISO/IEC 270028.1.2Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
NEN-ISO/IEC 270028.2.1Classificatie van Informatie
NEN-ISO/IEC 270028.2.1.1Dataclassificatie' als uitgangspunt voor softwareontwikkeling
NEN-ISO/IEC 270028.2.1.1Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
NEN-ISO/IEC 270028.2.4Logging en monitoring
NEN-ISO/IEC 270029Toegangbeveiligingsbeleid
NEN-ISO/IEC 270029Beveiligde inlogprocedure
NEN-ISO/IEC 270029.1.1Het autorisatiebeheer is procesmatig ingericht
NEN-ISO/IEC 270029.1.1Eisen aan het Toegangvoorzieningsbeleid
NEN-ISO/IEC 270029.1.1Eisen aan het Toegangvoorzieningsbeleid
NEN-ISO/IEC 270029.1.1Voor veelvoorkomende rollen zijn standaard gebruikersprofielen met toegangsrechten aanwezig
NEN-ISO/IEC 270029.1.1Toepassen van need-to-know en need-to-use principes
NEN-ISO/IEC 270029.2.1Registratieprocedure
NEN-ISO/IEC 270029.2.2Toegangsverlening procedure
NEN-ISO/IEC 270029.2.3Speciale toegangsrechten beheer
NEN-ISO/IEC 270029.2.4Authenticatie-informatie
NEN-ISO/IEC 270029.2.5Toegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld
NEN-ISO/IEC 270029.2.5Beoordeling toegangsrechten
NEN-ISO/IEC 270029.2.5Beoordeling van toegangsrechten
NEN-ISO/IEC 270029.2.6Autorisatieproces
NEN-ISO/IEC 270029.4.1Autorisatie
NEN-ISO/IEC 270029.4.2Inlogprocedures
NEN-ISO/IEC 270029.4.2.1Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
NEN-ISO/IEC 270029.4.2.2Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt
NEN-ISO/IEC 270029.4.3Wachtwoorden beheer
NEN-ISO/IEC 270029.4.5Toegangsbeveiliging op programmacode
NEN-ISO/IEC 270038De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
NEN-ISO/IEC 27033-1 (Network security - Overview and concepts)8.8Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
NEN-ISO/IEC 27033-1 (Network security - Overview and concepts)8.8Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen
NEN-ISO/IEC 27033-1 (Network security - Overview and concepts)8.8Cryptografische Services
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)6Stappen ter voorbereiding van veilige netwerkontwerpen
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)6.3, 6.4Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)7.2.2Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)7.2.3Toegang tot netwerken is beperkt tot geautoriseerde gebruikers
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)8De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)8De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)8.4Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)8.4, 8.5Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)8.5Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd
NEN-ISO/IEC 27033-5 (Network security - Securing communications across networks using Virtual Private Networks)6De end-to-end
NEN-ISO/IEC 7498-41989 (Information processing systems - Open Systems Interconnection - Basic Reference Model - Management framework)In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
NIST (National Institute of Standards and Technology)H6Evalueren netwerk monitoring
NIST CA (Security Assessment and Autorization Policy and Procedures)CA-1Certificering
NIST SP800-53 AU (Audit and Accountability Control Family)AU 6Monitoren van serverplatforms
NIST SP800-53 CA (Security Asessment and Authorization Control Family)CA-3Applicatiekoppelingen
NIST SP800-53 PE (Physical And Environmental Protection Control Family)PE-3Fysieke zonering
SoGP (Standard of Good Practice for Information Security)TS2.2Cryptografie
SoGP (Standard of Good Practice)CF 2.2Training en Awareness
SoGP (Standard of Good Practice)NC 1.1.2Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
SoGP (Standard of Good Practice)NC 1.1.2Alle externe toegang tot servers vindt versleuteld plaats
SoGP (Standard of Good Practice)NC 1.1.2Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd
SoGP (Standard of Good Practice)NC 1.6.1Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
SoGP (Standard of Good Practice)NC 1.6.4Het op afstand onderhouden van servers wordt strikt beheerd
SoGP (Standard of Good Practice)NC1.3Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
SoGP (Standard of Good Practice)NC1.3Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd
SoGP (Standard of Good Practice)NC1.3Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen
SoGP (Standard of Good Practice)NC1.4Met communicerende partijen worden afspraken gemaakt
SoGP (Standard of Good Practice)NC1.4Voor de beheersing van netwerken worden minimumeisen
SoGP (Standard of Good Practice)NC1.5De filterfunctie van gateways en firewalls is instelbaar
SoGP (Standard of Good Practice)NC1.5Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
SoGP (Standard of Good Practice)NC1.5Uitsluitend toegestaan netwerkverkeer wordt doorgelaten
SoGP (Standard of Good Practice)NC1.5Voor elke gateway of firewall bestaat een actueel configuratiedocument
SoGP (Standard of Good Practice)SD 1.1Systeem ontwikkelmethode
SoGP (Standard of Good Practice)SD 2.2Serverplatform architectuur
SoGP (Standard of Good Practice)SD 2.2Eisen aan het architectuurdocument van het in te richten van het serverplatform
SoGP (Standard of Good Practice)SD 2.2In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
SoGP (Standard of Good Practice)SD2.2Applicatie ontwerp
SoGP (Standard of Good Practice)SD2.4Applicatiebouw
SoGP (Standard of Good Practice)SM 2.1Toegangbeveiligingsarchitectuur
SoGP (Standard of Good Practice)SY 1.1.1Ontwerpdocumentatie
SoGP (Standard of Good Practice)SY 1.1.1Het ontwerp van elk serverplatform en elke server is gedocumenteerd
SoGP (Standard of Good Practice)SY 1.2Serverconfiguratie
SoGP (Standard of Good Practice)SY 1.2Standaarden voor configuratie van servers
SoGP (Standard of Good Practice)SY 1.2.1Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
SoGP (Standard of Good Practice)SY 1.2.1Eisen aan de "gedocumenteerde standaarden"
SoGP (Standard of Good Practice)SY 1.2.1De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
SoGP (Standard of Good Practice)SY 1.2.3De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
SoGP (Standard of Good Practice)SY 1.2.7Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt
SoGP (Standard of Good Practice)SY 1.3Beveiliging Virtueel serverplatform
SoGP (Standard of Good Practice)SY 1.3.1 & SY 1.3.2Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures
SoGP (Standard of Good Practice)SY 1.3.4Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
SoGP (Standard of Good Practice)SY 1.3.5Hypervisors worden geconfigureerd
SoGP (Standard of Good Practice)SY 1.3.6 & SY 1.3.7Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
SoGP (Standard of Good Practice)TM 1.1.10Eisen aan het Patchmanagement
SoGP (Standard of Good Practice)TM 1.1.6Het kwetsbaarheden beheerproces
SoGP (Standard of Good Practice)TM 1.1.9Procesmatig herstel van technische kwetsbaarheden
SoGP (Standard of Good Practice)TM 1.2.3De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd

Zonder specifiek onderdeel gedefinieerd

Grondslaguitgewerkt in
AdditioneelAutorisatievoorzieningsfaciliteiten
AdditioneelBeveiligingsorganisatie
AdditioneelToegangbeveiliging beheers(ings)organisatie
AdditioneelToegangbeveiliging(voorzienings)architectuur
BIO (Baseline Informatiebeveiliging Overheid)Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
BIR (Baseline Informatiebeveiliging Rijksdienst)Authenticatie-informatie is versleuteld
BIR (Baseline Informatiebeveiliging Rijksdienst)Eisen aan Crypografische toepassingen voldoen aan passende standaarden
Beschouwingsmodel netwerkHet netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
COBIT (Control Objectives for Information and related Technology)Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
COBIT (Control Objectives for Information and related Technology)Alle vereisten worden gevalideerd door peer review of prototyping
COBIT (Control Objectives for Information and related Technology)Analyse en specificatie van informatiesystemen
COBIT (Control Objectives for Information and related Technology)Applicatie architectuur
COBIT (Control Objectives for Information and related Technology)Quality assurance
IEEE 802.x (Port-based Network Access Control )Netwerkauthenticatie
NCSC ICT-Webrichtlijnen voor webapplicatiesApplicatie architectuur
NCSC ICT-Webrichtlijnen voor webapplicatiesContractmanagement
NCSC ICT-Webrichtlijnen voor webapplicatiesDe Patchmanagement procedure is actueel en beschikbaar
NCSC ICT-Webrichtlijnen voor webapplicatiesDe rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
NCSC ICT-Webrichtlijnen voor webapplicatiesEen patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
NCSC ICT-Webrichtlijnen voor webapplicatiesEen technisch mechanisme zorgt voor (semi-)automatische updates
NCSC ICT-Webrichtlijnen voor webapplicatiesHet BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
NCSC ICT-Webrichtlijnen voor webapplicatiesISOR:het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
NCSC ICT-Webrichtlijnen voor webapplicatiesOp basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
NCSC ICT-Webrichtlijnen voor webapplicatiesPatchmanagement
NCSC ICT-Webrichtlijnen voor webapplicatiesRegistratie van de aspecten van een patch
NEN-ISO/IEC 22323 (Organizational Resilience Standard)Continuiteitsmanagement
NEN-ISO/IEC 27002Afhankelijk van risicofactoren worden toegangsrechten al voor het dienstverband eindigt of wijzigt ingetrokken
NEN-ISO/IEC 27002Applicatie functionaliteiten
NEN-ISO/IEC 27002Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
NEN-ISO/IEC 27002Bij beëindigen van dienstverband worden de toegangsrechten ingetrokken
NEN-ISO/IEC 27002De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
NEN-ISO/IEC 27002Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
NEN-ISO/IEC 27002Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
NEN-ISO/IEC 27002Eisen aan de laad- en loslocatie
NEN-ISO/IEC 27002Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
NEN-ISO/IEC 27002Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
NEN-ISO/IEC 27002Informatiebeveiligingseisen
NEN-ISO/IEC 27002Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
NEN-ISO/IEC 27002Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
NEN-ISO/IEC 27002Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
NEN-ISO/IEC 27002Kabels worden bij voorkeur ondergronds aangelegd
NEN-ISO/IEC 27002Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
NEN-ISO/IEC 27002Overwegingen bij het beleid voor beveiligd ontwikkelen van software
NEN-ISO/IEC 27002Overwogen informatiebeveiligingseisen
NEN-ISO/IEC 27002Service Levelmanagement
NEN-ISO/IEC 27002Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
NEN-ISO/IEC 27002Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
NEN-ISO/IEC 27002Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
NEN-ISO/IEC 27002Verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband
NEN-ISO/IEC 27002Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
NEN-ISO/IEC 27033-1 (Network security - Overview and concepts)Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
NEN-ISO/IEC 27033-1 (Network security - Overview and concepts)Logging en monitoring
NEN-ISO/IEC 27033-1 (Network security - Overview and concepts)Naleving richtlijnen netwerkbeheer en evaluaties
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)Netwerk beveiligingsarchitectuur
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)Netwerkconnecties
NEN-ISO/IEC 27033-2 (Network security - Guidelines for the design and implementation of network security)Richtlijnen netwerkbeveiliging
NEN-ISO/IEC 27033-4 (Network security - Securing communications between networks using security gateways)Gateway/Firewall
NEN-ISO/IEC 27033-5 (Network security - Securing communications across networks using Virtual Private Networks)Virtual Private Networks (VPN)
NEN-ISO/IEC 27033-6 (Securing wireless IP network acces)Wireless Access
NIST (National Institue of Standards and Technology)Contractmanagement
NIST SP800-27 Engineering Principles for Information Technology Security (A Baseline for Achieving Security)Beveiliging is integraal onderdeel van systeemontwikkeling
NIST SP800-27 Engineering Principles for Information Technology Security (A Baseline for Achieving Security)Ontwikkelaars zijn getraind om veilige software te ontwikkelen
NIST SP800-53 AT (Awareness And Training Control Family)Training en Awareness
NIST SP800-53 MA (Maintenance Control Family)Huisvesting Informatievoorziening Beheersingsorganisatie
NORANederlandse Overheid ReferentieArchitectuurDe beveiligingsarchitectuur is gelaagd
NORANederlandse Overheid ReferentieArchitectuurNetwerkauthenticatie
NORA-NetwerkAlle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
SoGP (Standard of Good Practice)(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
SoGP (Standard of Good Practice)Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
SoGP (Standard of Good Practice)Activiteiten van applicatiebouw worden gereviewd
SoGP (Standard of Good Practice)Applicatie architectuur
SoGP (Standard of Good Practice)Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
SoGP (Standard of Good Practice)Beveiligingsprincipes voor het beveiligd inrichten van servers
SoGP (Standard of Good Practice)Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
SoGP (Standard of Good Practice)Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
SoGP (Standard of Good Practice)Business Impact Analyse
SoGP (Standard of Good Practice)Compliance management
SoGP (Standard of Good Practice)Cryptografie bij authenticatie
SoGP (Standard of Good Practice)De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
SoGP (Standard of Good Practice)Geen gebruik van onveilig programmatechnieken
SoGP (Standard of Good Practice)Hardenen van servers
SoGP (Standard of Good Practice)Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur
SoGP (Standard of Good Practice)Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
SoGP (Standard of Good Practice)Quality assurance
SoGP (Standard of Good Practice)Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
SoGP (Standard of Good Practice)Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
SoGP (Standard of Good Practice)Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
SoGP (Standard of Good Practice)Software wordt ontwikkelen conform standaarden en procedures
SoGP (Standard of Good Practice)Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
SoGP (Standard of Good Practice)Voor het creëren van programma code wordt gebruik gemaakt van good practices
Themapatroon koppelvlakkenPerimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
Trust services documentDe frequentie en de eisen voor de inhoudelijke rapportages
Trust services documentDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
de Privacy BaselineOp basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
de Privacy BaselinePrivacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
de Privacy BaselineRisicomanagement aanpak aantoonbaar toegepast