Grondslagen/lijst

Uit NORA Online
Naar navigatie springen Naar zoeken springen

Deze pagina bevat twee tabellen met een overzicht van alle grondslagen die gebruikt zijn in de Information Security Object Repository (ISOR). De eerste tabel heeft een specifieke verwijzing naar het artikelnummer van de grondslag. In de tweede tabel is dit achterwegen gelaten.

Grondslagtabel inclusief vermelding artikelnummer (kolom Onderdeel)[bewerken]

Onderstaande tabel bevat de kolom Grondslag. Deze kolom geeft voor elk principe en elke norm aan welk beleidskader, welke bron of standaard is toegepast. De kolom Onderdeel geeft het artikelnummer van de grondslag aan. De kolom Beschreven in bevat een verwijzing naar het principe of de norm, waar deze grondslag met artikelnummer is toegepast.

GrondslagOnderdeelBeschreven in
AVGArt. 11; 12; 15; 86Toegang gegevensverwerking voor betrokkenen
AVGArt. 13; 14; 15Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
AVGArt. 24; 25; 35; 36; 42Risicomanagement, Privacy by Design en de DPIA
AVGArt. 26; 27; 28; 29; 44; 45; 46; 47; 48; 49; 96Doorgifte persoonsgegevens
AVGArt. 30Register van verwerkingsactiviteiten
AVGArt. 32Beveiligen van de verwerking van persoonsgegevens
AVGArt. 33; 34Meldplicht Datalekken
AVGArt. 5Intern toezicht
AVGArt. 5 lid 1eBewaren van persoonsgegevens
AVGArt. 5; 24; 40Privacy Beleid geeft duidelijkheid en sturing
AVGArt. 5; 37; 38; 39Organieke inbedding
AVGArt. 5; 6; 9; 10; 22; 23Doelbinding gegevensverwerking
AVGArt. 7 lid 3; Art. 11 lid 2; Art.12; 16; 17; 18; 19; 20; 21; 22; 23Kwaliteitsmanagement
BIO (Baseline Informatiebeveiliging Overheid)10.1.1Cryptografiebeleid voor communicatie
BIO (Baseline Informatiebeveiliging Overheid)10.1.1Cryptografie toegangsbeveiliging
BIO (Baseline Informatiebeveiliging Overheid)10.1.1Cryptografie Softwarepakketten
BIO (Baseline Informatiebeveiliging Overheid)10.1.1.1Uitwerken cryptografiebeleid
BIO (Baseline Informatiebeveiliging Overheid)10.1.1.1Het cryptografiebeleid stelt eisen
BIO (Baseline Informatiebeveiliging Overheid)10.1.1.1Uitwerken cryptografiebeleid
BIO (Baseline Informatiebeveiliging Overheid)10.1.1.1In het cryptografiebeleid uitgewerkte onderwerpen
BIO (Baseline Informatiebeveiliging Overheid)10.1.1.2Voldoen aan passende standaarden
BIO (Baseline Informatiebeveiliging Overheid)10.1.1.2Versleuteld opslaan van gegevens met cryptografiestandaarden
BIO (Baseline Informatiebeveiliging Overheid)10.1.2.1Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
BIO (Baseline Informatiebeveiliging Overheid)11.1.1Fysieke zonering
BIO (Baseline Informatiebeveiliging Overheid)11.1.1.1Voorschriften voor het inrichten van beveiligde zones
BIO (Baseline Informatiebeveiliging Overheid)11.1.2Fysieke toegangsbeveiliging
BIO (Baseline Informatiebeveiliging Overheid)11.1.3Beveiligingsfaciliteiten
BIO (Baseline Informatiebeveiliging Overheid)11.1.3.1Sleutelbeheer is ingericht op basis van een sleutelplan
BIO (Baseline Informatiebeveiliging Overheid)11.1.4In- en externe bedreigingen
BIO (Baseline Informatiebeveiliging Overheid)11.1.4.1Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
BIO (Baseline Informatiebeveiliging Overheid)11.1.4.1De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
BIO (Baseline Informatiebeveiliging Overheid)11.1.4.2Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
BIO (Baseline Informatiebeveiliging Overheid)11.1.5Richtlijn gebieden en ruimten
BIO (Baseline Informatiebeveiliging Overheid)11.1.6Laad- en loslocatie
BIO (Baseline Informatiebeveiliging Overheid)11.2.1Apparatuur-positionering
BIO (Baseline Informatiebeveiliging Overheid)11.2.2Nutsvoorzieningen
BIO (Baseline Informatiebeveiliging Overheid)11.2.3Bekabeling
BIO (Baseline Informatiebeveiliging Overheid)11.2.4Apparatuur-onderhoud
BIO (Baseline Informatiebeveiliging Overheid)11.2.4Server-onderhoud
BIO (Baseline Informatiebeveiliging Overheid)11.2.5Bedrijfsmiddelenverwijdering
BIO (Baseline Informatiebeveiliging Overheid)11.2.7Verwijderen of hergebruiken serverapparatuur
BIO (Baseline Informatiebeveiliging Overheid)11.2.7Apparatuur-verwijdering
BIO (Baseline Informatiebeveiliging Overheid)12.1.1Bedieningsprocedure
BIO (Baseline Informatiebeveiliging Overheid)12.2.1Malwareprotectie serverplatform
BIO (Baseline Informatiebeveiliging Overheid)12.2.1Malwareprotectie clouddiensten
BIO (Baseline Informatiebeveiliging Overheid)12.2.1.1Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
BIO (Baseline Informatiebeveiliging Overheid)12.2.1.2Servers zijn voorzien van up-to-date anti-malware
BIO (Baseline Informatiebeveiliging Overheid)12.2.1.3De anti-malware software wordt regelmatig geüpdate
BIO (Baseline Informatiebeveiliging Overheid)12.2.1.4Servers en hiervoor gebruikte media worden routinematig gescand op malware
BIO (Baseline Informatiebeveiliging Overheid)12.2.1.5De malware scan wordt op alle omgevingen uitgevoerd
BIO (Baseline Informatiebeveiliging Overheid)12.2.1.5Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie
BIO (Baseline Informatiebeveiliging Overheid)12.3.1.1, 12.3.1.2, 12.3.1.4, 12.3.1.5Beleid middlewarecomponenten
BIO (Baseline Informatiebeveiliging Overheid)12.4.1Logging en monitoring communicatievoorzieningen
BIO (Baseline Informatiebeveiliging Overheid)12.4.1Logging en monitoring toegangsbeveiliging
BIO (Baseline Informatiebeveiliging Overheid)12.4.1Logging en monitoring clouddiensten
BIO (Baseline Informatiebeveiliging Overheid)12.4.1Logging
BIO (Baseline Informatiebeveiliging Overheid)12.4.1.1Een log-regel bevat de vereiste gegevens
BIO (Baseline Informatiebeveiliging Overheid)12.4.1.2Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
BIO (Baseline Informatiebeveiliging Overheid)12.4.1.5Hebben SIEM- en/of SOC-regels over te rapporteren incident
BIO (Baseline Informatiebeveiliging Overheid)12.4.3Logbestanden beheerders
BIO (Baseline Informatiebeveiliging Overheid)12.4.4Kloksynchronisatie
BIO (Baseline Informatiebeveiliging Overheid)12.6.1Installeren patches en treffen mitigerende maatregelen
BIO (Baseline Informatiebeveiliging Overheid)12.6.1Technische kwetsbaarhedenbeheer serverplatform
BIO (Baseline Informatiebeveiliging Overheid)12.6.1Technische kwetsbaarhedenbeheer clouddiensten
BIO (Baseline Informatiebeveiliging Overheid)12.6.1.1Installeren patches voor kwetsbaarheden
BIO (Baseline Informatiebeveiliging Overheid)12.6.1.1Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen
BIO (Baseline Informatiebeveiliging Overheid)12.6.2Beperking software-installatie applicatieontwikkeling
BIO (Baseline Informatiebeveiliging Overheid)12.6.2Beperking software-installatie serverplatform
BIO (Baseline Informatiebeveiliging Overheid)12.6.2.1Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan
BIO (Baseline Informatiebeveiliging Overheid)13.1.1Netwerkbeveiligingsbeheer
BIO (Baseline Informatiebeveiliging Overheid)13.1.1Netwerkbeheeractiviteiten
BIO (Baseline Informatiebeveiliging Overheid)13.1.2Beveiliging netwerkdiensten
BIO (Baseline Informatiebeveiliging Overheid)13.1.2.1De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
BIO (Baseline Informatiebeveiliging Overheid)13.1.2.1Bewaken en analyseren dataverkeer op kwaadaardige elementen
BIO (Baseline Informatiebeveiliging Overheid)13.1.2.2Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
BIO (Baseline Informatiebeveiliging Overheid)13.1.2.2Delen nieuwe dreigingen binnen overheid
BIO (Baseline Informatiebeveiliging Overheid)13.1.2.3Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
BIO (Baseline Informatiebeveiliging Overheid)13.1.2.4Treffen maatregelen in koppelpunten met externe of onvertrouwde zones
BIO (Baseline Informatiebeveiliging Overheid)13.1.3Zonering en filtering
BIO (Baseline Informatiebeveiliging Overheid)13.1.3.1Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
BIO (Baseline Informatiebeveiliging Overheid)13.2.1Beleid en procedures voor informatietransport
BIO (Baseline Informatiebeveiliging Overheid)13.2.2Overeenkomst voor informatietransport
BIO (Baseline Informatiebeveiliging Overheid)13.2.3Elektronische berichten
BIO (Baseline Informatiebeveiliging Overheid)13.2.3.1Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren
BIO (Baseline Informatiebeveiliging Overheid)13.2.3.2Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
BIO (Baseline Informatiebeveiliging Overheid)13.2.3.3Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
BIO (Baseline Informatiebeveiliging Overheid)13.2.3.4Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
BIO (Baseline Informatiebeveiliging Overheid)13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomst
BIO (Baseline Informatiebeveiliging Overheid)14.1.1Analyse en specificatie informatiebeveiligingseisen
BIO (Baseline Informatiebeveiliging Overheid)14.1.1.1Uitvoeren expliciete risicoafweging bij nieuwe software
BIO (Baseline Informatiebeveiliging Overheid)14.1.1.1Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
BIO (Baseline Informatiebeveiliging Overheid)14.1.1.1De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
BIO (Baseline Informatiebeveiliging Overheid)14.1.2Toepassingen via openbare netwerken
BIO (Baseline Informatiebeveiliging Overheid)14.2.1Beleid voor beveiligde inrichting en onderhoud
BIO (Baseline Informatiebeveiliging Overheid)14.2.1Verwervingsbeleid softwarepakketten
BIO (Baseline Informatiebeveiliging Overheid)14.2.1Beleid voor (beveiligd) ontwikkelen
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
BIO (Baseline Informatiebeveiliging Overheid)14.2.1.1Security by Design als uitgangspunt voor softwareontwikkeling
BIO (Baseline Informatiebeveiliging Overheid)14.2.2Wijzigingsbeheerprocedure voor applicaties en systemen
BIO (Baseline Informatiebeveiliging Overheid)14.2.2Versiebeheer softwarepakketten
BIO (Baseline Informatiebeveiliging Overheid)14.2.2.1Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
BIO (Baseline Informatiebeveiliging Overheid)14.2.3Technische beoordeling informatiesystemen
BIO (Baseline Informatiebeveiliging Overheid)14.2.5Inrichtingsprincipes voor serverplatform
BIO (Baseline Informatiebeveiliging Overheid)14.2.5Engineeringsprincipe voor beveiligde systemen
BIO (Baseline Informatiebeveiliging Overheid)14.2.6Beveiligde ontwikkelomgeving
BIO (Baseline Informatiebeveiliging Overheid)14.2.6.1Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
BIO (Baseline Informatiebeveiliging Overheid)14.2.8Testen systeembeveiliging
BIO (Baseline Informatiebeveiliging Overheid)14.2.9Systeemacceptatietest
BIO (Baseline Informatiebeveiliging Overheid)14.2.9.1Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt
BIO (Baseline Informatiebeveiliging Overheid)14.2.9.2Van de resultaten van de testen wordt een verslag gemaakt
BIO (Baseline Informatiebeveiliging Overheid)14.3.1Beschermen testgegevens
BIO (Baseline Informatiebeveiliging Overheid)15.1.1Informatiebeveiligingsbeleid voor leveranciersrelaties
BIO (Baseline Informatiebeveiliging Overheid)15.2.1Evaluatie leveranciersdienstverlening
BIO (Baseline Informatiebeveiliging Overheid)17.1.2Bedrijfscontinuïteit
BIO (Baseline Informatiebeveiliging Overheid)17.2.1Bedrijfscontinuïteitsservices
BIO (Baseline Informatiebeveiliging Overheid)18.1.1Wet- en regelgeving Huisvesting IV
BIO (Baseline Informatiebeveiliging Overheid)18.1.1Wet- en regelgeving Clouddiensten
BIO (Baseline Informatiebeveiliging Overheid)18.1.5.1Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
BIO (Baseline Informatiebeveiliging Overheid)18.2.3Beoordeling technische serveromgeving
BIO (Baseline Informatiebeveiliging Overheid)5.1.1Huisvesting informatievoorzieningenbeleid
BIO (Baseline Informatiebeveiliging Overheid)6.1.1Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
BIO (Baseline Informatiebeveiliging Overheid)6.1.1Beheersorganisatie netwerkbeveiliging
BIO (Baseline Informatiebeveiliging Overheid)6.1.2Functiescheiding
BIO (Baseline Informatiebeveiliging Overheid)6.1.2.1Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen
BIO (Baseline Informatiebeveiliging Overheid)6.2.2Beheer op afstand
BIO (Baseline Informatiebeveiliging Overheid)7.2.2Training en bewustwording
BIO (Baseline Informatiebeveiliging Overheid)8.1.1Bedrijfsmiddelen-inventaris
BIO (Baseline Informatiebeveiliging Overheid)8.1.2Eigenaarschap Huisvesting IV
BIO (Baseline Informatiebeveiliging Overheid)8.2.1Classificatie van informatie
BIO (Baseline Informatiebeveiliging Overheid)8.2.1Dataclassificatie als uitgangspunt voor softwareontwikkeling
BIO (Baseline Informatiebeveiliging Overheid)8.2.1.1Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
BIO (Baseline Informatiebeveiliging Overheid)9.1.1Toegangsbeveiligingsbeleid
BIO (Baseline Informatiebeveiliging Overheid)9.1.2Toegang IT-diensten en data
BIO (Baseline Informatiebeveiliging Overheid)9.1.2.1Krijgen toegang tot IT-diensten en data
BIO (Baseline Informatiebeveiliging Overheid)9.2.1Registratieprocedure
BIO (Baseline Informatiebeveiliging Overheid)9.2.1.1Een sluitende formele registratie- en afmeldprocedure
BIO (Baseline Informatiebeveiliging Overheid)9.2.1.2Groepsaccounts niet toegestaan tenzij
BIO (Baseline Informatiebeveiliging Overheid)9.2.2Toegangsverleningsprocedure
BIO (Baseline Informatiebeveiliging Overheid)9.2.2.1Uitsluitend toegang na autorisatie
BIO (Baseline Informatiebeveiliging Overheid)9.2.2.2Risicoafweging voor functiescheiding en toegangsrechten
BIO (Baseline Informatiebeveiliging Overheid)9.2.2.3Mandaatregister voor toekennen van toegangsrechten en functieprofielen
BIO (Baseline Informatiebeveiliging Overheid)9.2.3Speciale toegangsrechtenbeheer
BIO (Baseline Informatiebeveiliging Overheid)9.2.3.1Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
BIO (Baseline Informatiebeveiliging Overheid)9.2.4Geheime authenticatie-informatie
BIO (Baseline Informatiebeveiliging Overheid)9.2.5Beoordeling toegangsrechten
BIO (Baseline Informatiebeveiliging Overheid)9.2.5.2De opvolging van bevindingen is gedocumenteerd.
BIO (Baseline Informatiebeveiliging Overheid)9.2.5.3Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
BIO (Baseline Informatiebeveiliging Overheid)9.4.1Autorisatie
BIO (Baseline Informatiebeveiliging Overheid)9.4.1.2Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken
BIO (Baseline Informatiebeveiliging Overheid)9.4.1.2Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken
BIO (Baseline Informatiebeveiliging Overheid)9.4.1.2Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak
BIO (Baseline Informatiebeveiliging Overheid)9.4.2Beveiligde inlogprocedure
BIO (Baseline Informatiebeveiliging Overheid)9.4.2Inlogprocedure
BIO (Baseline Informatiebeveiliging Overheid)9.4.2.1Minimaal 2-factor authenticatie
BIO (Baseline Informatiebeveiliging Overheid)9.4.2.1Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
BIO (Baseline Informatiebeveiliging Overheid)9.4.2.2Risicoafweging bij toegang tot netwerk
BIO (Baseline Informatiebeveiliging Overheid)9.4.2.2Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt
BIO (Baseline Informatiebeveiliging Overheid)9.4.2.2Een risicoafweging bepaalt de voorwaarden voor toegang
BIO (Baseline Informatiebeveiliging Overheid)9.4.3Wachtwoordenbeheer
BIO (Baseline Informatiebeveiliging Overheid)9.4.3.1Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie
BIO (Baseline Informatiebeveiliging Overheid)9.4.3.2Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd
BIO (Baseline Informatiebeveiliging Overheid)9.4.5Toegangsbeveiliging op programmacode
BIO 201910.1.1, 10.1.2Vertrouwelijkheid en integriteit data
BIO 201912.1.1Richtlijnen en procedures middlewarefunctionaliteit
BIO 201912.1.3Capaciteitsbeheer
BIO 201912.3.1Dataherstel
BIO 201913.2.3, 14.1.3Beveiliging berichtenverkeer
BIO 201917.2.1Betrouwbare dataopslag
BIO 20196.1.1Rollen en verantwoordelijkheden middlewarefunctionaliteit
BIO 20198.3.1, 8.3.2Schonen data en media
BIO 20199.2.3, 9.4.4Toegang tot middlewarefunctionaliteit
BSI-Standard 200-2 - IT-Grundschutz-Methodology4.2Organisatiestructuur netwerkbeheer
Cloud Computing Compliance Criteria Catalogue - C5:20203.4.4.1Bevatten diverse aspecten in systeembeschrijving
Cloud Computing Compliance Criteria Catalogue - C5:2020AM-06Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
Cloud Computing Compliance Criteria Catalogue - C5:2020BC-01SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
Cloud Computing Compliance Criteria Catalogue - C5:2020BC-01, BC-05 en BC-06Transparantie
Cloud Computing Compliance Criteria Catalogue - C5:2020BC-06SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-01Zeker stellen adequate resources voor uitvoeren van BCM-proces
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-01Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-01Committeren aan vastgestelde BCM-vereisten
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-02Vaststellen en communiceren BCM- en BIA-beleid
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-02Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-03Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-04Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-04Testen functioneren van herstelfuncties en resultaten daarvan delen
Cloud Computing Compliance Criteria Catalogue - C5:2020BCM-04Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
Cloud Computing Compliance Criteria Catalogue - C5:2020COS-01Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM
Cloud Computing Compliance Criteria Catalogue - C5:2020COS-02Interoperabiliteit en portabiliteit
Cloud Computing Compliance Criteria Catalogue - C5:2020COS-06Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen
Cloud Computing Compliance Criteria Catalogue - C5:2020IDM-03Toekennen bevoegdheden voor gebruikers via formele procedures
Cloud Computing Compliance Criteria Catalogue - C5:2020KRY-03Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure
Cloud Computing Compliance Criteria Catalogue - C5:2020PI-01Gebruiken beveiligde netwerkprotocollen voor import en export van data
Cloud Computing Compliance Criteria Catalogue - C5:2020PI-01Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen
Cloud Computing Compliance Criteria Catalogue - C5:2020PI-02Vastleggen bepalingen over exit-regeling
Cloud Computing Compliance Criteria Catalogue - C5:2020PI-02Vastleggen exit-bepalingen in overeenkomst
Cloud Controls Matrix (CCM)DSI-01Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
Cloud Controls Matrix (CCM)DSI-03Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
Cybersecurity Framework Version 1.1PR.DS-1, PR.DS-2Treffen maatregelen voor opslag, verwerking en transport van data
De Privacy Baseline02.02Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
De Privacy Baseline03.01 toelichtingGEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
De Privacy Baseline03.02Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten
De Privacy Baseline03.03Risicomanagement aanpak aantoonbaar toegepast
De Privacy Baseline03.04Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
De Privacy Baseline03.05Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security8.5Privacy en bescherming persoonsgegevens clouddiensten
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security8.5Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security8.8Bewaken en beheersen IT-infrastructuur
Focus Group on Cloud Computing Technical Report Part 5 - Cloud securityS12Versleutelen CSC-data op transport en in rust
Focus Group on Cloud Computing Technical Report Part 5 - Cloud securityS12Gescheiden inrichten virtuele machine-platforms voor CSC’s
Focus Group on Cloud Computing Technical Report Part 5 - Cloud securityS12Hardenen virtuele machine-platforms
Focus Group on Cloud Computing Technical Report Part 5 - Cloud security 2012II.2.3Zorgen voor benodigde informatie voor orkestratie van cloudservices
Grip op Secure Software DevelopmentSSD-12 en SSD-14Sessiebeheer
Grip op Secure Software DevelopmentSSD-12/02.01Automatisch ongeldig maken sessies
Grip op Secure Software DevelopmentSSD-14/01.02Genereren nieuwe sessie met gebruikersauthenticatie
Grip op Secure Software DevelopmentSSD-14/01.02Niet hergebruiken token-sessies
Grip op Secure Software DevelopmentSSD-19 en SSD-20Input-/output-validatie
Grip op Secure Software DevelopmentSSD-19/01.01Zorgen voor gestandaardiseerde vorm
Grip op Secure Software DevelopmentSSD-2Gegevensopslag
Grip op Secure Software DevelopmentSSD-2/01.01Specificeren gegevensclassificatie
Grip op Secure Software DevelopmentSSD-2/01.02Per default velig opslaan gegeven
Grip op Secure Software DevelopmentSSD-2/03.01Voorkomen opslag wachtwoorden in leesbare vorm
Grip op Secure Software DevelopmentSSD-2/03.02Versleuteld opslaan van gegevens met cryptografiestandaarden
Grip op Secure Software DevelopmentSSD-2/04.01Opslag gegevens als nodig voor doel en korste tijd
Grip op Secure Software DevelopmentSSD-20/01.01Uitvoer naar veilig formaat converteren
Grip op Secure Software DevelopmentSSD-30Logging
Grip op Secure Software DevelopmentSSD-30/01.01Centraal opslaan te registreren acties
Grip op Secure Software DevelopmentSSD-30/01.03Actief zijn van detectiemechanismen
Grip op Secure Software DevelopmentSSD-30/03.01Bepalen acties bij uitval loggingsmechanismen
Grip op Secure Software DevelopmentSSD-30/03.02Vaststellen bewaartermijn voor logging
Grip op Secure Software DevelopmentSSD-31/01.02Weigeren foute, ongeldige of verboden invoer
Grip op Secure Software DevelopmentSSD-4Communicatie
Grip op Secure Software DevelopmentSSD-4/01.02Versleutelen communicatie tussen applicatie- en webserver
Grip op Secure Software DevelopmentSSD-4/02.01Specificeren classificatie van uit te wisselen gegevens
Grip op Secure Software DevelopmentSSD-4/03.01, SSD-4/03.02 en SSD-4/03.03Zorgen voor certificaatverificatie
Grip op Secure Software DevelopmentSSD-4/03.04Configureren versleutelde communicatie softwarepakket
Grip op Secure Software DevelopmentSSD-5Authenticatie
Grip op Secure Software DevelopmentSSD-5/02.02Waarborgen dat geauthentiseerde persoon de geïdentificeerde persoon is
Grip op Secure Software DevelopmentSSD-5/02.04Robuust zijn tegen wachtwoorden raden
Grip op Secure Software DevelopmentSSD-7Autorisatiebeheer
Grip op Secure Software DevelopmentSSD-7/01.01Ordenen rechten voor toegang tot gegevens en functies
Grip op Secure Software DevelopmentSSD-7/03.01Identificeren verenigbare taken en autorisaties
Grip op Secure Software DevelopmentSSD-7/03.04Proces voor definiëren en onderhouden van autorisaties
Grip op Secure Software DevelopmentSSD-8Toegangsautorisatie
Grip op Secure Software DevelopmentSSD-8/01.03Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak
ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen07.11Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenB.05Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenB.05 en C.10Contractmanagement
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenB.06.05Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenB.06.07Vastleggen samenhang van processen in processtructuur
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenB.06.07De samenhang van processen is in een processtructuur vastgelegd.
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.01.08De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.03.04Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.07Monitoring
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.07.03Eisen aan de periodieke beoordeling van de logbestanden
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.07.05De verzamelde loginformatie wordt in samenhang geanalyseerd
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.07.08Eisen aan de periodieke rapportage over de analyse van de logbestanden
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.07.09Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.07.09Eisen aan de inhoud en verspreiding van de loganalyse
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09Patchmanagement softwarepakketten
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09Patchmanagement applicatieontwikkeling
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09Patchmanagement serverplatform
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.01Beschrijven, vaststellen en bekendmaken patchmanagementproces en -procedures
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.01Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.01Patchmanagement is beschreven, goedgekeurd en toegekend
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.03De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.04Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.04Registratie van de aspecten van een patch
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.09.05Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.10Continuïteitsbeheer
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC.10.01Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenC10.02De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenU/WA.09De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenU/WA.09.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenU/WA.09.01Applicatie-architectuur
ICT-Beveiligingsrichtlijnen voor Webapplicaties-RichtlijnenU/WA.09.01Het architectuur document wordt actief onderhouden
ISO 27001 20175.3Beveiligingsorganisatie toegangsbeveiliging
ISO 27001 20175.3De rollen binnen de beveiligingsfunctie zijn benoemd
ISO 27002 201710.10.2Richtlijn evaluatie ontwikkelactiviteiten
ISO 27002 201711.1.1aLocatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen
ISO 27002 201711.1.1gInformatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
ISO 27002 201711.1.2Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten
ISO 27002 201711.1.2cElke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd
ISO 27002 201711.1.2dHet dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
ISO 27002 201711.1.3Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
ISO 27002 201711.1.3cVertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
ISO 27002 201711.1.3dAdresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
ISO 27002 201711.1.5aPersoneel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
ISO 27002 201711.1.5bIn beveiligde gebieden wordt slechts onder toezicht gewerkt
ISO 27002 201711.1.5cLeegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
ISO 27002 201711.1.5dFoto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
ISO 27002 201711.1.6aToegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
ISO 27002 201711.1.6bEisen aan de laad- en loslocatie
ISO 27002 201711.1.6cDe buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
ISO 27002 201711.1.6eInkomende materialen worden bij binnenkomst op de locatie geregistreerd
ISO 27002 201711.1.6fInkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
ISO 27002 201711.1.6gInkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
ISO 27002 201711.2.1Apparatuur wordt beschermd tegen externe bedreigingen
ISO 27002 201711.2.1Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
ISO 27002 201711.2.2Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
ISO 27002 201711.2.2Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
ISO 27002 201711.2.2Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
ISO 27002 201711.2.2a t/m eDe nutsvoorzieningen
ISO 27002 201711.2.3Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
ISO 27002 201711.2.3aKabels worden bij voorkeur ondergronds aangelegd
ISO 27002 201711.2.4aApparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
ISO 27002 201711.2.4a t/m d en fHet onderhoud van servers wordt uitgevoerd op basis van richtlijnen
ISO 27002 201711.2.4bReparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel
ISO 27002 201711.2.4cAlle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
ISO 27002 201711.2.4dReparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
ISO 27002 201711.2.4eEr wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
ISO 27002 201711.2.4fVoorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
ISO 27002 201711.2.5aIdentificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
ISO 27002 201711.2.5bTijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
ISO 27002 201711.2.5cMeenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
ISO 27002 201711.2.5dDocumentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
ISO 27002 201711.2.7Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
ISO 27002 201711.2.7Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
ISO 27002 201711.2.7Niet meer benodigde opslagmedia en informatie van servers worden vernietigd
ISO 27002 201712.1.1Gedocumenteerde procedures voor bedieningsactiviteiten
ISO 27002 201712.1.1Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
ISO 27002 201712.1.1a t/m f, i en jIn de bedieningsprocedures opgenomen bedieningsvoorschriften
ISO 27002 201712.1.4Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
ISO 27002 201712.2.1aIn beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
ISO 27002 201712.2.1gHet downloaden van bestanden is beheerst en beperkt
ISO 27002 201712.2.1hGebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
ISO 27002 201712.4.1a t/m e, g, h, l, m en nEisen aan de inhoud van de logbestanden van gebeurtenissen
ISO 27002 201712.4.3Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
ISO 27002 201712.4.3Eisen aan het beschermen van de logbestanden
ISO 27002 201712.4.4De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
ISO 27002 201712.4.4De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
ISO 27002 201712.6.1Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
ISO 27002 201712.6.1aVerantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren
ISO 27002 201712.6.1dDe risico’s verbonden aan het installeren van de patch worden beoordeeld
ISO 27002 201712.6.1gEisen aan het Patchmanagement
ISO 27002 201712.6.1gWanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen
ISO 27002 201712.6.1iHet kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
ISO 27002 201712.6.1kDe activiteiten zijn afgestemd op het incident
ISO 27002 201712.6.2De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
ISO 27002 201712.6.2Het principe van least-privilege wordt toegepast
ISO 27002 201712.6.2Beleid ten aanzien van het type software dat mag worden geïnstalleerd
ISO 27002 201712.6.2De rechten van beheerders worden verleend op basis van rollen
ISO 27002 201712.6.2Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
ISO 27002 201712.6.2De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars
ISO 27002 201713.1.1aVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
ISO 27002 201713.1.1bDe functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
ISO 27002 201713.1.1dNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
ISO 27002 201713.1.1eBeheeractiviteiten worden nauwgezet gecoördineerd
ISO 27002 201713.1.1fSystemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
ISO 27002 201713.1.2Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
ISO 27002 201713.1.3Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
ISO 27002 201713.1.3Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
ISO 27002 201713.2.1aProcedures beschrijven het beveiligen van informatie
ISO 27002 201713.2.1bProcedures beschrijven het opsporen van en beschermen tegen malware
ISO 27002 201713.2.1cProcedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
ISO 27002 201713.2.1dBeleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
ISO 27002 201713.2.1fBeleid of richtlijnen omschrijven het toepassen van cryptografie
ISO 27002 201713.2.1hE-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
ISO 27002 201713.2.2a, b, i, j en kElementen in overeenkomsten over informatietransport
ISO 27002 201713.2.3a t/m fVoor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
ISO 27002 201713.2.4b, c, h, e, f, i en jElementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
ISO 27002 201714.1.1Informatiebeveiligingseisen
ISO 27002 201714.1.1a, b, d, e en fOverwogen informatiebeveiligingseisen
ISO 27002 201714.2.1Technieken voor beveiligd programmeren
ISO 27002 201714.2.1a t/m gOverwegingen bij het beleid voor beveiligd ontwikkelen van software
ISO 27002 201714.2.2Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
ISO 27002 201714.2.2Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
ISO 27002 201714.2.2bElementen van de procedures voor wijzigingsbeheer
ISO 27002 201714.2.3a en dTesten bij verandering van besturingssystemen
ISO 27002 201714.2.4Testen en valideren van wijzigingen
ISO 27002 201714.2.4Beperking wijziging softwarepakket
ISO 27002 201714.2.9Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang
ISO 27002 201714.2.9Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving
ISO 27002 201714.3.1Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens
ISO 27002 201714.3.1a t/m dRichtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen
ISO 27002 201715.2.1aVerifiëren mate van naleving leveranciersovereenkomsten
ISO 27002 201715.2.1bBeoordelen rapporten over dienstverlening
ISO 27002 201715.2.1cUitvoeren leveranciersaudits
ISO 27002 201715.2.1dGeven inzicht in verslaglegging leveranciersaudits
ISO 27002 201715.2.1fOplossen en beheren problemen
ISO 27002 201718.1.1Vaststellen alle van toepassing zijnde wet- en regelgeving
ISO 27002 201718.1.1Vaststellen toepasselijkheid wetgeving
ISO 27002 201718.1.1Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
ISO 27002 201718.1.4Privacy en bescherming persoonsgegevens applicatieontwikkeling
ISO 27002 201718.2.1Resultaten worden gerapporteerd aan het verantwoordelijke management
ISO 27002 201718.2.3Eisen aan het vervaardigen en interpreteren van technische naleving
ISO 27002 201718.2.3Checklist voor veilige inrichting van netwerk(diensten)
ISO 27002 201718.2.3Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
ISO 27002 201718.2.3Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
ISO 27002 201718.2.3Eisen aan het beoordelen van technische naleving
ISO 27002 20175.1.1Er is een huisvesting informatievoorzieningenbeleid
ISO 27002 20175.1.1Beleidsregels huisvesting informatievoorzieningen
ISO 27002 20175.1.1Beleidsregels verwijzen naar specifieke huisvesting onderwerpen
ISO 27002 20176.1.1Verantwoordelijkheden zijn toegewezen en vastgelegd
ISO 27002 20176.1.1b, d en eBeheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
ISO 27002 20178.1.1Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
ISO 27002 20178.1.1Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
ISO 27002 20178.1.1Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
ISO 27002 20178.1.1Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
ISO 27002 20178.1.1 en 8.1.2Eigenaarschap toegangsbeveiliging
ISO 27002 20178.1.2Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
ISO 27002 20178.1.2De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
ISO 27002 20178.1.2Het eigenaarschap is specifiek toegekend
ISO 27002 20178.1.2Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen
ISO 27002 20178.1.2Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen
ISO 27002 20178.1.2Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
ISO 27002 20178.1.2a t/m dInventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen
ISO 27002 20178.2.1Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
ISO 27002 20178.2.3Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
ISO 27002 20178.3.1b, 8.3.2a en e en 9.4.4Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
ISO 27002 20179.1.1Toepassen van need-to-know en need-to-use principes
ISO 27002 20179.1.1Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken
ISO 27002 20179.1.1Het autorisatiebeheer is procesmatig ingericht
ISO 27002 20179.1.1Eisen aan het Toegangvoorzieningsbeleid
ISO 27002 20179.1.1Aandacht voor wetgeving en verplichtingen
ISO 27002 20179.1.1Standaard gebruikersprofielen
ISO 27002 20179.2.3Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures
ISO 27002 20179.2.5Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
ISO 27002 20179.2.5Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld
ISO 27002 20179.2.6Toegangsrechten intrekken bij beëindigen van dienstverband
ISO 27002 20179.2.6Toegangsrechten corresponderen met wijzigingen in het dienstverband
ISO 27002 20179.2.6Toegangsrechten intrekken voordat dienstverband eindigt of wijzigt, afhankelijk van risicofactoren
ISO 27002 20179.4.5Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
ISO 27002 20179.4.5a t/m gOm de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
ISO 27033-2 20126.1Stappen ter voorbereiding van veilige netwerkontwerpen
ISO 27033-2 20127.2.4Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
ISO 27033-2 20128.4Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie
ISO 27033-2 20128.7De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
ISO 27033-4 20146Gateways en firewalls
ISO 27033-5 20136.1Virtual Private Network (VPN)
ISO 27033-5 20137De end-to-end
ISO 27040 20166.4.5Hardening middlewarecomponenten
ISO 27040 20166.8.2, 7.5Vertrouwelijkheid en integriteit data
ISO 27040 20167.7.4 of 7.7.5Middlewarearchitectuur en certificering
ITU-T Part 5 20128.5Data en privacy
NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)12.2.1g.1 en 2Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie
NEN-EN-ISO/IEC 27040:2016 (Storage security)6.3.2.1Dataprotectie
NEN-EN-ISO/IEC 27040:2016 (Storage security)6.7.1Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn
NEN-EN-ISO/IEC 27040:2016 (Storage security)6.7.1Archiveren gegevens met behulp van WORM-technologie
NEN-EN-ISO/IEC 27040:2016 (Storage security)6.7.1Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia
NEN-EN-ISO/IEC 27040:2016 (Storage security)6.7.1Wissen CSC-data bij beëindigen van contractrelatie
NEN-EN-ISO/IEC 27040:2016 (Storage security)6.7.1Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet
NEN-EN-ISO/IEC 27040:2016 (Storage security)7.7.4Datascheiding
NEN-ISO 31000:2018 (Risicomanagement - Richtlijnen)6.1Beschrijven risicomanagementproces
NEN-ISO/IEC 17789:2014 (Cloud computing - Reference architecture)9.2.3.4Service-orkestratie
NEN-ISO/IEC 19086-1:2016 (Service level agreement (SLA) framework - Part 1Overview and concepts)Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
NEN-ISO/IEC 19941:2017 (Information technology - Cloud computing - Interoperability and portability)7.1.7Interoperabiliteit en portabiliteit
NEN-ISO/IEC 2700212.4Security-monitoringsrapportage
NEN-ISO/IEC 2700212.6.1aDefiniëren en vaststellen rollen en verantwoordelijkheden
NEN-ISO/IEC 2700212.6.1cDefiniëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
NEN-ISO/IEC 2700217.2.1Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties
NEN-ISO/IEC 2700217.2.1Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen
NEN-ISO/IEC 2700218.2.1 en 18.2.2Compliance en assurance
NEN-ISO/IEC 27005:2018 (Information security risk management)12.1Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
NEN-ISO/IEC 27005:2018 (Information security risk management)12.1Richten op diverse zaken met betrekking tot monitoren van risico
NEN-ISO/IEC 27005:2018 (Information security risk management)12.1Uitvoeren monitoringsactiviteiten en mitigeren risico’s
NEN-ISO/IEC 27005:2018 (Information security risk management)12.1 en 12.2Risico-control
NEN-ISO/IEC 27005:2018 (Information security risk management)12.2Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
NEN-ISO/IEC 27005:2018 (Information security risk management)12.2Adresseren diverse elementen bij monitoring en reviewen
NEN-ISO/IEC 27005:2018 (Information security risk management)7.4Hebben CSP-verantwoordelijkheden
NEN-ISO/IEC 27005:2018 (Information security risk management)7.4Goedkeuren organisatie van risicomanagementproces
NEN-ISO/IEC 27005:2018 (Information security risk management)7.4Risicomanagement
NEN-ISO/IEC 27005:2018 (Information security risk management)8.1Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope
NEN-ISO/IEC 27005:2018 (Information security risk management)8.1Risico-assessment
NEN-ISO/IEC 27005:2018 (Information security risk management)8.4Evalueren risico’s op basis van risico-acceptatiecriteria
NEN-ISO/IEC 27007:2017 (Guidelines for information security management systems auditing)14.2.4Ongewijzigd gebruiken gewijzigde softwarepakketten
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)12.6.1Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)15.1.2Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)18.1.1Informeren welke wet- en regelgeving van toepassing is op clouddiensten
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)18.1.1Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)18.1.1Identificeren vereisten die van toepassing zijn
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)18.1.1Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)2.1Treffen beveiligingsmaatregelen op basis van internationale standaarden
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)5.1.1Clouddienstenbeleid
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)5.1.1Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
NEN-ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)A.12.1Specificeren en documenteren opslag op welke locatie data
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts)7.2.2.2Cryptografische services
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts)8.5Evalueren netwerkgebeurtenissen (monitoring)
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts)8.8Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts)8.8Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
NEN-ISO/IEC 7498-4:1991 (Informatietechnologie - Onderlinge verbinding van open systemen (OSI) - Basisreferentiemodel - Deel 4 - Beheerskader)4.5.1In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
NIST SP 800-160 2016 (Systems Security Engineering)2.1Beveiliging is integraal onderdeel van systeemontwikkeling
NIST SP 800-27 Rev. A 2004 (Engineering Principles for Information Technology Security (A Baseline for Achieving Security)3.3.1Ontwikkelaars zijn getraind om veilige software te ontwikkelen
NIST SP 800-53 Rev. 5 2020 (Security and Privacy Controls for Information Systems and Organizations)PL-8Serverplatform-architectuur
OWASP Application Security Verification Standard 4.0.2V12Ingebouwde mechnismen om aanvallen te detecteren
OWASP Application Security Verification Standard 4.0.2V12Gegevensimport
OWASP Application Security Verification Standard 4.0.2V12Valideren verstrekte invoer aan softwarepakket
OWASP Application Security Verification Standard 4.0.2V12.1Bieden flexibel quotummechanisme
OWASP Application Security Verification Standard 4.0.2V12.1Geen grote bestanden accepteren
OWASP Application Security Verification Standard 4.0.2V12.3Beveiligingsmechanismen inbouwen voor detectie ingesloten aanvallen
OWASP Application Security Verification Standard 4.0.2V13Application Programming Interface (API)
OWASP Application Security Verification Standard 4.0.2V13.1.3Niet weergegeven van gevoelige informatie
SIG Evaluation Criteria Security - Guidance for producers3.2.3Bereiken authenticiteit
SIG Evaluation Criteria Security - Guidance for producers3.2.3Authenticatie
SIG Evaluation Criteria Security - Guidance for producers3.3.6Gebruik maken van veilige API's die gebruikersdata scheiden
SIG Evaluation Criteria Security - Guidance for producers3.3.6Veilige API's gebruiken
SIG Evaluation Criteria Security - Guidance for producers3.3.6Gebruik maken van veilige API's tijdens verwerking
SSD 2020SSD-30Logging en monitoring middleware
SoGP 2018SY1.1.1Ontwerpdocumentatie
SoGP 2018SY2Configuratie middlewarecomponenten
The Standard of Good Practice for Information Security 2018BC1.3IT-functionaliteit
The Standard of Good Practice for Information Security 2018BC1.3.1Inrichten infrastructuur met betrouwbare hardware- en software-componenten
The Standard of Good Practice for Information Security 2018BC1.3.9Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen
The Standard of Good Practice for Information Security 2018IR2.2Business Impact Analyse (BIA)
The Standard of Good Practice for Information Security 2018IR2.2.1 en IR2.2.3ePerspectieven bij de Business Impact Analyse
The Standard of Good Practice for Information Security 2018IR2.2.4Scenario's voor de Business Impact Analyse
The Standard of Good Practice for Information Security 2018IR2.2.5Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
The Standard of Good Practice for Information Security 2018LC 2.1.8Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
The Standard of Good Practice for Information Security 2018NC1.3.5Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
The Standard of Good Practice for Information Security 2018NC1.4.1aVoor de beheersing van netwerken worden minimumeisen
The Standard of Good Practice for Information Security 2018NC1.5.11Voor elke gateway of firewall bestaat een actueel configuratiedocument
The Standard of Good Practice for Information Security 2018NC1.5.5De filterfunctie van gateways en firewalls is instelbaar
The Standard of Good Practice for Information Security 2018NC1.6.1Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
The Standard of Good Practice for Information Security 2018NC1.6.4Het op afstand onderhouden van servers wordt strikt beheerd
The Standard of Good Practice for Information Security 2018PM1.2Eigenaarschap toegangsbeveiliging
The Standard of Good Practice for Information Security 2018PM1.2.1Het eigenaarschap is specifiek toegekend
The Standard of Good Practice for Information Security 2018PM1.2.2De eigenaar beschikt over kennis, middelen, mensen en autoriteit
The Standard of Good Practice for Information Security 2018PM1.2.3Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen
The Standard of Good Practice for Information Security 2018PM1.2.3Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen
The Standard of Good Practice for Information Security 2018PM1.3.1Voor remote werkzaamheden is een werkwijze vastgelegd
The Standard of Good Practice for Information Security 2018PM2.1.1 en PM2.3Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
The Standard of Good Practice for Information Security 2018PM2.2 en PM2.3Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
The Standard of Good Practice for Information Security 2018S12.1Security-monitoringsrapportage
The Standard of Good Practice for Information Security 2018S12.1.1Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
The Standard of Good Practice for Information Security 2018S12.1.2Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
The Standard of Good Practice for Information Security 2018S12.1.5Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
The Standard of Good Practice for Information Security 2018S12.6Analyseren informatiebeveiligingsrapportages in samenhang
The Standard of Good Practice for Information Security 2018SA1.1.10Het toegangbeveiligingssysteem wordt periodiek geevalueerd
The Standard of Good Practice for Information Security 2018SA1.2.1Toegangsrechten intrekken bij beëindigen van dienstverband
The Standard of Good Practice for Information Security 2018SA1.2.1Autorisatieproces
The Standard of Good Practice for Information Security 2018SC1.1.1b, j en kOvereenkomsten en documentatie omvatten afspraken
The Standard of Good Practice for Information Security 2018SD 1.1Systeem-ontwikkelmethode
The Standard of Good Practice for Information Security 2018SD 1.1.1Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
The Standard of Good Practice for Information Security 2018SD 1.1.2Software wordt ontwikkelen conform standaarden en procedures
The Standard of Good Practice for Information Security 2018SD 1.1.3De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
The Standard of Good Practice for Information Security 2018SD 1.1.6Het softwareontwikkeling wordt projectmatig aangepakt
The Standard of Good Practice for Information Security 2018SD 1.1.7Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
The Standard of Good Practice for Information Security 2018SD 1.1.9Adoptie van ontwikkelmethodologie wordt gemonitord
The Standard of Good Practice for Information Security 2018SD2.1Applicatie-ontwerp
The Standard of Good Practice for Information Security 2018SD2.1.6 en SD2.2.7Principes voor het beveiligen van informatiesystemen
The Standard of Good Practice for Information Security 2018SD2.2.1Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
The Standard of Good Practice for Information Security 2018SD2.2.2Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
The Standard of Good Practice for Information Security 2018SD2.2.3Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur
The Standard of Good Practice for Information Security 2018SD2.4.1Activiteiten van applicatiebouw worden gereviewd
The Standard of Good Practice for Information Security 2018SD2.4.1Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld
The Standard of Good Practice for Information Security 2018SD2.4.2Veilige methodes ter voorkoming van veranderingen in basis code of in software packages
The Standard of Good Practice for Information Security 2018SD2.4.3(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
The Standard of Good Practice for Information Security 2018SD2.4.3Geen gebruik van onveilig programmatechnieken
The Standard of Good Practice for Information Security 2018SD2.4.3Voor het creëren van programma code wordt gebruik gemaakt van good practices
The Standard of Good Practice for Information Security 2018SD2.4.3De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
The Standard of Good Practice for Information Security 2018SD2.4a en dApplicatiebouw
The Standard of Good Practice for Information Security 2018SG 2.1.3 en SG 2.1.6Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
The Standard of Good Practice for Information Security 2018SG1.2.2aTaken van de beveiligingsfunctionaris
The Standard of Good Practice for Information Security 2018SG2.1Cloudbeveiligingsstrategie
The Standard of Good Practice for Information Security 2018SG2.1.1Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
The Standard of Good Practice for Information Security 2018SG2.1.2Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
The Standard of Good Practice for Information Security 2018SI2.3.1 en SI2.3.2Compliance-management
The Standard of Good Practice for Information Security 2018SM2.1Beveiligingsfunctie
The Standard of Good Practice for Information Security 2018SM2.1De rollen binnen de beveiligingsfunctie zijn benoemd
The Standard of Good Practice for Information Security 2018SM2.1.2Bewerkstelligen en promoten cloudbeveiligingsbeleid
The Standard of Good Practice for Information Security 2018SM2.1.4Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
The Standard of Good Practice for Information Security 2018SY1.1.1Ontwerpdocument
The Standard of Good Practice for Information Security 2018SY1.1.1Het ontwerp van elk serverplatform en elke server is gedocumenteerd
The Standard of Good Practice for Information Security 2018SY1.1.2cHet serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd
The Standard of Good Practice for Information Security 2018SY1.1.3Beveiligingsprincipes voor het beveiligd inrichten van servers
The Standard of Good Practice for Information Security 2018SY1.2Standaarden voor serverconfiguratie
The Standard of Good Practice for Information Security 2018SY1.2Serverconfiguratie
The Standard of Good Practice for Information Security 2018SY1.2.1Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
The Standard of Good Practice for Information Security 2018SY1.2.1Eisen aan de "gedocumenteerde standaarden"
The Standard of Good Practice for Information Security 2018SY1.2.1De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
The Standard of Good Practice for Information Security 2018SY1.2.3De servers zijn geconfigureerd conform een gestandaardiseerde serverimage
The Standard of Good Practice for Information Security 2018SY1.2.5Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
The Standard of Good Practice for Information Security 2018SY1.2.5Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
The Standard of Good Practice for Information Security 2018SY1.2.5 en SY1.2.8Hardenen server
The Standard of Good Practice for Information Security 2018SY1.2.7Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt
The Standard of Good Practice for Information Security 2018SY1.2.8Servers worden beschermd tegen ongeoorloofde toegang
The Standard of Good Practice for Information Security 2018SY1.3Virtualisatie serverplatform
The Standard of Good Practice for Information Security 2018SY1.3.1 en SY1.3.2Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures
The Standard of Good Practice for Information Security 2018SY1.3.4Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
The Standard of Good Practice for Information Security 2018SY1.3.5Hypervisors worden geconfigureerd
The Standard of Good Practice for Information Security 2018SY1.3.6 en SY1.3.7Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
The Standard of Good Practice for Information Security 2018TM1.1.10Eisen aan het Patchmanagement
The Standard of Good Practice for Information Security 2018TM1.1.6Het kwetsbaarheden beheerproces
The Standard of Good Practice for Information Security 2018TM1.1.7Uitvoeren penetratietests op ICT-componenten
The Standard of Good Practice for Information Security 2018TM1.1.9Procesmatig herstel van technische kwetsbaarheden
The Standard of Good Practice for Information Security 2018TM1.1.9Verhelpen technische zwakheden door patchmanagement
The Standard of Good Practice for Information Security 2018TM1.2.3De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
The Standard of Good Practice for Information Security 2018TM1.5.1Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
The Standard of Good Practice for Information Security 2018TS1.1.5In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
The Standard of Good Practice for Information Security 2018TS1.1.6Voorschrijven beveiligingsprincipes
The Standard of Good Practice for Information Security 2018TS1.1.7Ondersteunen proces voor beveilgingsmechnismen
The Standard of Good Practice for Information Security 2018TS1.1.9a, c en dEisen aan het architectuurdocument van het in te richten van het serverplatform
The Standard of Good Practice for Information Security 2018TS2.2Authenticatie-informatie wordt beschermd door middel van versleuteling
The Standard of Good Practice for Information Security 2018TS2.2Het cryptografiebeleid stelt eisen
UAVG (Uitvoeringswet AVG)Art. 22; 23; 24; 25; 26; 27; 28; 29; 30; 31; 32; 33; 40; 46Doelbinding gegevensverwerking
UAVG (Uitvoeringswet AVG)Art. 2; 4Privacy Beleid geeft duidelijkheid en sturing
UAVG (Uitvoeringswet AVG)Art. 39Organieke inbedding
UAVG (Uitvoeringswet AVG)Art. 41; 42Meldplicht Datalekken
UAVG (Uitvoeringswet AVG)Art. 43Bewaren van persoonsgegevens
UAVG (Uitvoeringswet AVG)Art. 5; 22; 24; 27; 28; 32; 41Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
UAVG (Uitvoeringswet AVG)MvT § 5.2.4Beveiligen van de verwerking van persoonsgegevens

Grondslagtabel zonder vermelding artikelnummer van de grondslag[bewerken]

De onderstaande tabel is identiek aan de bovenstaande tabel, op de kolom Onderdeel na. Deze is achterwegen gelaten.

GrondslagBeschreven in
BIO 2019 13.2.1Beleid informatietransport
CIP-netwerk(Software)configuratiebeheer
CIP-netwerkAan het architectuurdocument gestelde eisen
CIP-netwerkAan het management worden evaluatierapportages verstrekt
CIP-netwerkAankomst- en vertrektijden van bezoekers worden geregistreerd
CIP-netwerkAansluiten compliance-proces op ISMS
CIP-netwerkAansluiten uitkomsten uit diverse rapportages e.d.
CIP-netwerkAanvullende onderdelen in het cryptografiebeleid
CIP-netwerkAcceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
CIP-netwerkActiviteiten van de beveiligingsfunctionaris
CIP-netwerkAdequate risicobeheersing
CIP-netwerkAfdekken organisatie-eisen voor softwarepakketten
CIP-netwerkAfspraken contractueel vastgeleggen in SLA’s en DAP’s
CIP-netwerkAfspreken procedure voor tijdig actualiseren verouderde software
CIP-netwerkAlle autorisatie-activiteiten worden vastgelegd en gearchiveerd
CIP-netwerkAlle externe toegang tot servers vindt versleuteld plaats
CIP-netwerkAlle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen
CIP-netwerkAlle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
CIP-netwerkAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
CIP-netwerkAlle vereisten worden gevalideerd door peer review of prototyping
CIP-netwerkAlleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
CIP-netwerkAlleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen
CIP-netwerkAnalyse en specificatie informatiesysteem
CIP-netwerkApplicatiefunctionaliteit
CIP-netwerkApplicatiekoppeling
CIP-netwerkApplicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS
CIP-netwerkAuthenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens
CIP-netwerkAuthenticiteit van aangesloten netwerkdevices wordt gecontroleerd
CIP-netwerkAutorisaties worden gecontroleerd
CIP-netwerkAutorisatievoorziening
CIP-netwerkBedrijfs- en beveiligingsfuncties
CIP-netwerkBedrijfscontinuïteitsmanagement
CIP-netwerkBeheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen
CIP-netwerkBeheersorganisatie applicatieontwikkeling
CIP-netwerkBeheersorganisatie clouddiensten
CIP-netwerkBeheersorganisatie huisvesting IV
CIP-netwerkBeheersorganisatie servers en serverplatforms
CIP-netwerkBeheersorganisatie toegangsbeveiliging
CIP-netwerkBeleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CIP-netwerkBenoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties
CIP-netwerkBeoordelingsprocedure
CIP-netwerkBeperken toegang tot IT-diensten en data door technische maatregelen en implementeren
CIP-netwerkBeperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers
CIP-netwerkBereikcontroles worden toegepast en gegevens worden gevalideerd
CIP-netwerkBeschermen beheer(ders)functies
CIP-netwerkBeschikken over richtlijnen voor inrichting van service-management-organisatie
CIP-netwerkBeschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
CIP-netwerkBeschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
CIP-netwerkBeschrijven componenten voor beveiligingsfuncties
CIP-netwerkBeschrijven en inrichten relevante beheerprocessen
CIP-netwerkBeschrijven functionele samenhang van service-componenten
CIP-netwerkBeschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
CIP-netwerkBeschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
CIP-netwerkBesluiten over te gaan tot exit
CIP-netwerkBetrekken cloud-omgeving en administratie bij assessment
CIP-netwerkBetrekken stakeholders bij afleiden bedrijfsfuncties
CIP-netwerkBevatten diverse aspecten voor raamwerk
CIP-netwerkBeveiligingsarchitectuur
CIP-netwerkBeveiligingsorganisatie clouddiensten
CIP-netwerkBieden toegang tot bevoegde services, IT-diensten en data
CIP-netwerkBieden veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties
CIP-netwerkBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken
CIP-netwerkBij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
CIP-netwerkBij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden.
CIP-netwerkBij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld
CIP-netwerkCertificering
CIP-netwerkCertificeringseisen van de ingezette Huisvesting Informatievoorziening
CIP-netwerkClouddienstenarchitectuur
CIP-netwerkClouddienstenarchitectuur
CIP-netwerkCommuniceren technologische innovaties van softwarepakketten
CIP-netwerkCompliance-toets netwerkbeveiliging
CIP-netwerkContinue bewaking via monitoring
CIP-netwerkControle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens
CIP-netwerkControle richtlijnen die binnen de relevante beheerprocessen worden toegepast
CIP-netwerkControle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
CIP-netwerkControle-richtlijnen huisvesting IV
CIP-netwerkControleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
CIP-netwerkControleren wijzigingen in logging en monitoring
CIP-netwerkCryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
CIP-netwerkCryptoservices
CIP-netwerkDat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar
CIP-netwerkDataretentie en gegevensvernietiging
CIP-netwerkDe Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
CIP-netwerkDe Patchmanagement procedure is actueel en beschikbaar
CIP-netwerkDe Quality Assurance methodiek wordt conform de richtlijnen nageleefd
CIP-netwerkDe Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
CIP-netwerkDe SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd
CIP-netwerkDe Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
CIP-netwerkDe applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
CIP-netwerkDe architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
CIP-netwerkDe aspecten waarop de Service Levels o.a. zijn gericht
CIP-netwerkDe beheer(sing)processen hebben een formele positie binnen de gehele organisatie
CIP-netwerkDe belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
CIP-netwerkDe belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
CIP-netwerkDe beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd
CIP-netwerkDe beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken
CIP-netwerkDe beveiligingsarchitectuur is gelaagd
CIP-netwerkDe beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem
CIP-netwerkDe beveiligingsorganisatie heeft een formele positie
CIP-netwerkDe brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
CIP-netwerkDe communicatievoorzieningen worden geïdentificeerd en gedefinieerd
CIP-netwerkDe configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
CIP-netwerkDe doelorganisatie beschikt over QA- en KMS-methodiek
CIP-netwerkDe doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
CIP-netwerkDe eindrapportage bevat verbeteringsvoorstellen op basis van analyses
CIP-netwerkDe frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
CIP-netwerkDe huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
CIP-netwerkDe implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
CIP-netwerkDe informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC
CIP-netwerkDe inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
CIP-netwerkDe locatie van de vastlegging van de loggegevens is vastgesteld
CIP-netwerkDe logbestanden worden gedurende een overeengekomen periode bewaard
CIP-netwerkDe loggegevens zijn beveiligd
CIP-netwerkDe netwerk topologie is in kaart gebracht en wordt continu actueel gehouden
CIP-netwerkDe noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
CIP-netwerkDe ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
CIP-netwerkDe organisatie beschikt over een beschrijving van de relevante controleprocessen
CIP-netwerkDe organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
CIP-netwerkDe organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties
CIP-netwerkDe overdracht naar de Productieomgeving vindt gecontroleerd plaats
CIP-netwerkDe overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
CIP-netwerkDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
CIP-netwerkDe procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus
CIP-netwerkDe programmacode voor functionele specificaties is reproduceerbaar
CIP-netwerkDe relatie tussen de persoonsgegevens is inzichtelijk
CIP-netwerkDe resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management
CIP-netwerkDe samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
CIP-netwerkDe samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd
CIP-netwerkDe taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd
CIP-netwerkDe taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
CIP-netwerkDe taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
CIP-netwerkDe taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven
CIP-netwerkDe taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
CIP-netwerkDe technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen
CIP-netwerkDe teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CIP-netwerkDe uitgevoerde koppelingen worden geregistreerd
CIP-netwerkDe verantwoordelijken voor de Huisvesting-IV hebben een formele positie
CIP-netwerkDe verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
CIP-netwerkDraadloze toegang
CIP-netwerkEen hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting
CIP-netwerkEen procedure beschrijft het omgaan met verdachte brieven en pakketten
CIP-netwerkEen scheiding is aangebracht tussen beheertaken en gebruikstaken
CIP-netwerkEen technisch mechanisme zorgt voor (semi-)automatische updates
CIP-netwerkEisen op basis waarvan het dienstverleningsniveau wordt afgestemd
CIP-netwerkElke gebruiker wordt geïdentificeerd op basis van een identificatiecode
CIP-netwerkEr is een Huisvestingsorganisatieschema beschikbaar
CIP-netwerkEr is een toegangbeveiligingsarchitectuur
CIP-netwerkEr zijn functionarissen voor de beheersorganisatie benoemd
CIP-netwerkEr zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie
CIP-netwerkEvaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
CIP-netwerkEvalueren levering van voorzieningen
CIP-netwerkEvalueren robuustheid netwerkbeveiliging
CIP-netwerkExit-strategie clouddiensten
CIP-netwerkExit-strategie softwarepakketten
CIP-netwerkFaciliteiten van het tool
CIP-netwerkFormeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet
CIP-netwerkFormeel proces voor verwerken van autorisaties
CIP-netwerkFormele autorisatieopdracht
CIP-netwerkFramework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
CIP-netwerkFrequentie en eisen voor rapportages
CIP-netwerkFunctiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast
CIP-netwerkFunctionarissen testen functionele requirements
CIP-netwerkFunctionarissen zijn benoemd
CIP-netwerkFunctionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd
CIP-netwerkFunctioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie
CIP-netwerkGaranderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data
CIP-netwerkGebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
CIP-netwerkGebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
CIP-netwerkGebruik van programmacode uit externe programmabibliotheken
CIP-netwerkGebruikers hebben autorisaties voor applicaties op basis van juiste functierollen
CIP-netwerkGedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
CIP-netwerkGegevens worden conform vastgestelde beveiligingsklasse gevalideerd
CIP-netwerkGeprogrammeerde controles worden ondersteund
CIP-netwerkGeven positie van informatiebeveiligingsorganisatie binnen organisatie
CIP-netwerkHandmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
CIP-netwerkHanteren en beoordelen lijst van alle kritische activa
CIP-netwerkHerstelfunctie voor data en clouddiensten
CIP-netwerkHerstellen data softwarepakket en bedrijfsmatige bewerking gegevens
CIP-netwerkHet Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden
CIP-netwerkHet applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
CIP-netwerkHet beheer van technische kwetsbaarheden in code uit externe bibliotheken
CIP-netwerkHet beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen
CIP-netwerkHet beoordelen vind plaats op basis van een formeel proces
CIP-netwerkHet compliance management proces is gedocumenteerd en vastgesteld
CIP-netwerkHet continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
CIP-netwerkHet kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
CIP-netwerkHet organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
CIP-netwerkHet toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
CIP-netwerkHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen
CIP-netwerkHet tool beschikt over faciliteiten voor versie- en releasebeheer
CIP-netwerkHet tool ondersteunt alle fasen van het ontwikkelproces
CIP-netwerkHet uitvoeren van onopzettelijke mutaties wordt tegengegaan
CIP-netwerkHuisvesting IV-architectuur
CIP-netwerkIn de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek
CIP-netwerkIn de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CIP-netwerkInformatie ten aanzien van autorisatie(s) wordt vastgelegd
CIP-netwerkInformatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
CIP-netwerkInhoud van het beveiligingsbeleid
CIP-netwerkInrichten compliance-proces voor governance van clouddienstverlening
CIP-netwerkInstalleren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
CIP-netwerkInzicht gegeven door de beveiligingsfunctionaris
CIP-netwerkKlant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
CIP-netwerkKoppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
CIP-netwerkKoppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
CIP-netwerkKoppelvlakken
CIP-netwerkKwaliteitsmanagementsysteem
CIP-netwerkLevenscyclusmanagement softwarepakketten
CIP-netwerkLeveranciers zijn gecertificeerd
CIP-netwerkLogging en monitoring applicatieontwikkeling
CIP-netwerkMaken transparante dienstverlening
CIP-netwerkMedewerkers en contractanten en externen dragen zichtbare identificatie
CIP-netwerkMet communicerende partijen worden afspraken gemaakt
CIP-netwerkMonitoren proces van herstelbaar beveiligen van data
CIP-netwerkMulti-tenantarchitectuur
CIP-netwerkNaleving richtlijnen netwerkbeheer en evaluaties
CIP-netwerkNetwerkauthenticatie
CIP-netwerkNetwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken
CIP-netwerkNetwerkbeveiliging is gebaseerd op ITU-T X.80x
CIP-netwerkNetwerkbeveiligingsarchitectuur
CIP-netwerkNetwerkconnectie
CIP-netwerkNetwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd
CIP-netwerkNetwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
CIP-netwerkNetwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
CIP-netwerkNieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld
CIP-netwerkOnder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties
CIP-netwerkOnderhouden registratie gebruikte softwarestack
CIP-netwerkOnderhoudsplan
CIP-netwerkOndersteunen versiebeheer met procedures en werkinstructies
CIP-netwerkOndersteuning vanuit het toegepaste versiebeheertool
CIP-netwerkOntwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren
CIP-netwerkOntwikkelaars hebben geen toegang tot productieomgeving
CIP-netwerkOntwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten
CIP-netwerkOntwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
CIP-netwerkOp basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd
CIP-netwerkOp basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
CIP-netwerkOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
CIP-netwerkOpgeleverde en over te dragen gegevens worden gevalideerd
CIP-netwerkOpvolgen verbeteringsvoorstellen uit analyse-rapportages
CIP-netwerkOrganisatiestructuur huisvesting IV
CIP-netwerkOver het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt
CIP-netwerkOverdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
CIP-netwerkOvergaan tot exit buiten verstrijken contractperiode
CIP-netwerkOvertredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
CIP-netwerkPassende gegevensclassificatie bij informatiecommunicatie en -opslag
CIP-netwerkPermanente isolatie van gegevens binnen een multi-tenant architectuur
CIP-netwerkProgrammacode is effectief, veranderbaar en testbaar
CIP-netwerkProgrammacode wordt aantoonbaar veilig gecreëerd
CIP-netwerkProjectorganisatie
CIP-netwerkQuality assurance
CIP-netwerkRapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
CIP-netwerkRealisatie van afdoende uitwijkfaciliteiten
CIP-netwerkRealiseren diverse scheidingen van clouddienstverlening
CIP-netwerkRegelen adequaat versiebeheer
CIP-netwerkRegels voor beleid bij verwerving softwarepakketten
CIP-netwerkRegistreren en rapporteren evaluaties van technische kwetsbaarheden
CIP-netwerkRegistreren reguliere rapportages in administratie
CIP-netwerkRichtlijn evaluatie-ontwikkelactiviteiten
CIP-netwerkRichtlijn programmacode
CIP-netwerkRichtlijn voor netwerkbeveiliging
CIP-netwerkRichtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
CIP-netwerkRichtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
CIP-netwerkRichtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
CIP-netwerkRollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen
CIP-netwerkSLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
CIP-netwerkSamenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten
CIP-netwerkScheiden CSP-beheeractiviteiten en CSC-data
CIP-netwerkScheiding dienstverlening
CIP-netwerkService Level Management
CIP-netwerkServicemanagementbeleid en evaluatierichtlijn
CIP-netwerkSoftware configuratiescomponenten worden conform procedures vastgelegd
CIP-netwerkSpecificeren minimale zaken voor architectuur
CIP-netwerkStandaarden voor clouddiensten
CIP-netwerkStellen eisen aan logboeken en bewaking
CIP-netwerkSysteemprivileges op basis van een bevoegdhedenmatrix
CIP-netwerkTaken, verantwoordelijkheden en bevoegdheden zijn vastgelegd
CIP-netwerkTechnisch kwetsbaarheden beheer omvat minimaal risicoanalyse
CIP-netwerkTer bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
CIP-netwerkTesten werking herstelprocedures voor disaster recovery
CIP-netwerkTestresultaten worden formeel geëvalueerd en beoordeeld
CIP-netwerkToegang tot beveiligingszones of gebouwen voor geautoriseerde personen
CIP-netwerkToegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden
CIP-netwerkToegang tot netwerken is beperkt tot geautoriseerde gebruikers
CIP-netwerkToegangbeveiliging beheers(ings)organisatie
CIP-netwerkToegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie
CIP-netwerkToegangsbeveiligingsarchitectuur
CIP-netwerkToepassen methoden voor gegevensimpactanalyse
CIP-netwerkToetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
CIP-netwerkToewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
CIP-netwerkTooling ontwikkelmethode
CIP-netwerkTreffen maatregelen voor beveiliging IT-functionaliteiten
CIP-netwerkTreffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
CIP-netwerkUit laten voeren onderzoek op inrichting en beheersing van clouddiensten
CIP-netwerkUitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter
CIP-netwerkUitsluitend toegestaan netwerkverkeer wordt doorgelaten
CIP-netwerkUpdates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
CIP-netwerkVan het type koppelingen is een overzicht aanwezig
CIP-netwerkVastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
CIP-netwerkVastleggen beleidsregel-overtreding
CIP-netwerkVastleggen betrokken rollen Contractmanagement en Service Level Management
CIP-netwerkVastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
CIP-netwerkVastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
CIP-netwerkVaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
CIP-netwerkVeiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
CIP-netwerkVerantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
CIP-netwerkVerantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol
CIP-netwerkVerantwoordelijkheden zijn beschreven en toegewezen
CIP-netwerkVerantwoordelijkheden zijn beschreven en vastgelegd
CIP-netwerkVerantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
CIP-netwerkVerantwoordings- en rapportagelijnen zijn vastgesteld
CIP-netwerkVerlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik
CIP-netwerkVerlenen toegang aan beheerders
CIP-netwerkVerplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden
CIP-netwerkVersiebeheer applicatieontwikkkeling
CIP-netwerkVersiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
CIP-netwerkVersiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
CIP-netwerkVersiemanagement wordt ondersteund met procedures en werkinstructies
CIP-netwerkVerwerven huisvesting IV-voorzieningen met afspraak of overeenkomst
CIP-netwerkVerwerven softwarepakket met business case
CIP-netwerkVerwerven softwarepakket met functioneel ontwerp
CIP-netwerkVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire
CIP-netwerkVoor informatie- en communicatie zijn processen ingericht
CIP-netwerkVoor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
CIP-netwerkVoorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd
CIP-netwerkVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar
CIP-netwerkVoorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar
CIP-netwerkWijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
CIP-netwerkZeer belangrijke onderdelen van netwerkbeveiliging
CIP-netwerk‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer
CIP-netwerk‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie
NIST Special Publication 800-63B (Authentication and Lifecycle Management)Eisen aan het Toegangvoorzieningsbeleid
Trust services documentVaststellen type, frequentie en eisen voor inhoudelijke rapportages
Trust services documentVaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen

NORA is gebaseerd op bestaand overheidsbeleid (Nationaal en Europees) en op de instrumenten die in het kader van dat beleid zijn ontwikkeld, zoals wetten, regelgeving, Kamerstukken en bestuursakkoorden.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Grondslagen/lijst&oldid=53389"