IFGS Intentie
Op deze pagina staan alle Privacyprincipes en Beveiligingsprincipes in de invalshoek. Alle ISOR-objecten binnen deze context zijn ook te herkennen aan het symbool
Alle objecten binnen deze invalshoek[bewerken]
| ID | Titel | link |
|---|---|---|
| APO_B.01 | Beleid voor (beveiligd) ontwikkelen | Beleid voor (beveiligd) ontwikkelen |
| APO_B.02 | Systeem ontwikkelmethode | Systeem ontwikkelmethode |
| APO_B.03 | Classificatie van Informatie | Classificatie van Informatie |
| APO_B.04 | Engineeringprincipes beveiligde systemen | Engineeringprincipes beveiligde systemen |
| APO_B.04.03 | Beveiliging is integraal onderdeel van systeemontwikkeling | Beveiliging is integraal onderdeel van systeemontwikkeling |
| APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
| APO_B.05 | Business Impact Analyse | Business Impact Analyse |
| APO_B.06 | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) |
| APO_C.01 | Richtlijnen evaluatie ontwikkelactiviteiten | Richtlijnen evaluatie ontwikkelactiviteiten |
| APO_U.01 | Procedures voor wijzigingsbeheer m.b.t. applicaties | Procedures voor wijzigingsbeheer m.b.t. applicaties |
| APO_U.02 | Beperkingen voor de installatie van software(richtlijnen) | Beperkingen voor de installatie van software(richtlijnen) |
| APO_U.03 | Richtlijnen voor programmacode (best practices) | Richtlijnen voor programmacode (best practices) |
| CLD_B.01 | Wet- en regelgeving clouddiensten | Wet- en regelgeving clouddiensten |
| CLD_B.01.01 | Informeren welke wet- en regelgeving van toepassing is op clouddiensten | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
| CLD_B.01.02 | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
| CLD_B.01.03 | Identificeren vereisten die van toepassing zijn | Identificeren vereisten die van toepassing zijn |
| CLD_B.01.04 | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
| CLD_B.01.05 | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
| CLD_B.01.06 | Vaststellen alle van toepassing zijnde wet- en regelgeving | Vaststellen alle van toepassing zijnde wet- en regelgeving |
| CLD_B.02 | Cloud beveiligingsstrategie | Cloud beveiligingsstrategie |
| CLD_B.02.01 | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
| CLD_B.02.02 | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
| CLD_B.02.03 | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
| CLD_B.03 | Exit strategie clouddiensten | Exit strategie clouddiensten |
| CLD_B.03.01 | Vastleggen bepalingen over exit-regeling | Vastleggen bepalingen over exit-regeling |
| CLD_B.03.02 | Overgaan tot exit buiten verstrijken contractperiode | Overgaan tot exit buiten verstrijken contractperiode |
| CLD_B.04 | Clouddiensten beleid | Clouddiensten beleid |
| CLD_B.04.01 | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
| CLD_B.05 | Transparantie | Transparantie |
| CLD_B.05.01 | Bevatten diverse aspecten in systeembeschrijving | Bevatten diverse aspecten in systeembeschrijving |
| CLD_B.05.02 | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
| CLD_B.05.03 | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
| CLD_B.05.04 | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
| CLD_B.06 | Risicomanagement | Risicomanagement |
| CLD_B.06.01 | Hebben CSP-verantwoordelijkheden | Hebben CSP-verantwoordelijkheden |
| CLD_B.06.02 | Goedkeuren organisatie van risicomanagementproces | Goedkeuren organisatie van risicomanagementproces |
| CLD_B.06.03 | Beschrijven risicomanagementproces | Beschrijven risicomanagementproces |
| CLD_C.01 | Service Management beleid en evaluatierichtlijnen | Service Management beleid en evaluatierichtlijnen |
| CLD_C.01.01 | Beschikken over richtlijnen voor inrichting van service-management-organisatie | Beschikken over richtlijnen voor inrichting van service-management-organisatie |
| CLD_C.01.02 | Beschrijven en inrichten relevante beheerprocessen | Beschrijven en inrichten relevante beheerprocessen |
| CLD_C.01.03 | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties |
| CLD_C.02 | Risk Control | Risk Control |
| CLD_C.02.01 | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria |
| CLD_C.02.02 | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen |
| CLD_C.02.03 | Richten op diverse zaken met betrekking tot monitoren van risico | Richten op diverse zaken met betrekking tot monitoren van risico |
| CLD_C.02.04 | Uitvoeren monitoringsactiviteiten en mitigeren risico’s | Uitvoeren monitoringsactiviteiten en mitigeren risico’s |
| CLD_C.02.05 | Adresseren diverse elementen bij monitoring en reviewen | Adresseren diverse elementen bij monitoring en reviewen |
| CLD_C.03 | Compliance en Assurance | Compliance en Assurance |
| CLD_C.03.01 | Inrichten compliance-proces voor governance van clouddienstverlening | Inrichten compliance-proces voor governance van clouddienstverlening |
| CLD_C.03.02 | Registreren reguliere rapportages in administratie | Registreren reguliere rapportages in administratie |
| ... meer resultaten | ||
Uitleg indeling[bewerken]
Inhoud
De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligings- of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methodiek ingedeeld naar Beleid, Uitvoering of Control en geordend naar een van de volgende invalshoeken: Intentie, Functie, Gedrag of Structuur.
Deze invalshoeken hebben onderling de volgende relatie:
- 'Intentie' ('Doel') wordt geëffectueerd door 'Functie'.
- 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag'.
- 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur'.
- 'Structuur' effectueert 'Gedrag'.
Uitleg[bewerken]
De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur (IFGS). Vanuit elke IFGS-invalshoek wordt een specifieke verzameling basiselementen (objecten) geïdentificeerd. De invalshoeken houden het volgende in:
Intentie[bewerken]
Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.
Functie[bewerken]
Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden: organisatorische en technische functies, processen, taken en taakvereisten.
Gedrag[bewerken]
Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven. Voorbeelden: actor, object, interactie, toestand, eigenschap en historie;.
Structuur[bewerken]
Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden: business-organisatiestructuur, business- architectuur, IT-architectuur en business-IT-alignment.
De relaties tussen de objecten vanuit de IFGS-invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.
Invalshoeken niet gebruikt bij opstellen van de Privacy Baseline[bewerken]
De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-analysemodel en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van de Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheid en consistentie. De opzet van de Baseline is de gebruiker een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken IFGS bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.
