Communicatievoorzieningen Control
Versie 2.0 van 9 februari 2021 van de BIO Thema-uitwerking Communicatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Communicatievoorzieningen.
| ID: | CVZ_C |
|---|---|
| Normenkader-aspect | |
| Versie: | 2.3 |
| Status: | Actueel |
| Indeling | |
| Beveiligingsaspect: |
 |
| Invalshoek: | |
Meer lezenbewerken
- → BIO Thema-uitwerking Communicatievoorzieningen
- → Alle normenkaders
- → Beveiligingsaspecten
- → Invalshoeken
- → ISOR
Doelstellingbewerken
Het doel van het control-domein (beheersing) voor deze BIO Thema-uitwerking is vast te stellen in hoeverre:
- de controls voldoende zijn ingericht en functioneren om de beschikbaarheid, integriteit en betrouwbaarheid van netwerkdiensten te kunnen garanderen;
- het beoogde beveiligingsniveau van technische netwerkdiensten en netwerkcomponenten kan worden gegarandeerd.
Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin de beheerprocessen zijn vormgegeven.
Risico'sbewerken
Als de noodzakelijke control-maatregelen binnen de organisatie ontbreken, is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de naleving van deze voorwaarden toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.
Objecten, controls en maatregelen
Tabel 3 is het resultaat van de SIVA-analyse op relevante objecten voor netwerk-control. De blauwgekleurde objecten zijn afgeleid van de BIO2. De witte objecten zijn afgeleid van overige best practices.
De objecten van het control-domein van communicatievoorzieningen zijn in onderstaande paragrafen uitgewerkt naar controls en maatregelen.
Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspectbewerken
| ID | Principe | Criterium |
|---|---|---|
| CVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | De effectiviteit van de richtlijnen voor de netwerkbeveiliging behoort periodiek getoetst en geëvalueerd te worden. |
| CVZ_C.02 | Compliance-toets netwerkbeveiliging | De naleving van een, volgens het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen). |
| CVZ_C.03 | Evalueren robuustheid netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. |
| CVZ_C.04 | Evalueren netwerkgebeurtenissen (monitoring) | Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek van gebeurtenissen mogelijk te maken, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging. |
| CVZ_C.05 | Beheersorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. |
Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspectbewerken
| ID | Stelling | Norm |
|---|---|---|
| CVZ_C.01.01 | De naleving van de richtlijnen voor netwerkbeveiliging wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
| CVZ_C.02.01 | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Periodieke audit en evaluatie van netwerkbeveiligingsbeleid |
| CVZ_C.02.02 | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Controlelijst voor veilige inrichting van netwerkdiensten en -verbindingen |
| CVZ_C.02.03 | Informatiesystemen worden periodiek gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Periodieke toetsing van technische beveiligingsnormen en kwetsbaarheden |
| CVZ_C.03.01 | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
| CVZ_C.04.01 | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Zeer belangrijke onderdelen van netwerkbeveiliging |
| CVZ_C.04.02 | Continue bewaking via monitoring legt de volgende informatie vast:
| Continue bewaking via monitoring |
| CVZ_C.05.01 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
| CVZ_C.05.02 | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en het toezien op het beoogde gebruik daarvan vergt extra aandacht. De volgende onderwerpen zijn daarbij van belang:
| Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
Ga naar de gebruikerspagina van Gebruiker:GvdB
Contact: +31611307897 (Signal)
Gewijzigd:
2 juni 2026 07:32:47
Verplichting: Informatief
Beheerregime:
Fase: Beheerfase
8 mei 2019 08:40:15
2 juni 2026 07:32:47
13
Informatief
2 maart 2026
