Serverplatform Beleid

Uit NORA Online
ISOR:BIO Thema Serverplatform Beleid
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van [[{{{Heeft bron}}}]].

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Serverplatform beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Serverplatform De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

Binnen de kolom functies behoren objecten te worden opgenomen die ten aanzien van het Serverplatform gerelateerd zijn aan beveiligingsfuncties en beheerprocessen. Deze objecten hebben in dit geval echter meer een operationele karakter, daarom zijn functiegerelateerde objecten in het Uitvoeringsdomein opgenomen. De noodzakelijke beveiligingseisen t.a.v. functies op dit niveau zijn vermeld in het beleid voor ‘Serverplatform’ (B.01). Binnen de gedrag kolom zouden we een beleid ten aanzien van configuratie, parametrisering en toegangsbeleid tot serverplatform kunnen opnemen; dit soort beleidselementen komen echter in dit geval ook voor in het beleid voor ‘Serverplatform’ (B.01) en vandaar dat ook in deze kolom geen objecten zijn vermeld.

”Onderwerpen die binnen het Beleiddomein een rol spelen”
Onderwerpen die binnen het Beleid-domein een rol spelen


 Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
 B.01   Beleid voor beveiligde inrichting en onderhoud   BIO: 14.2.1   I 
 B.02   Principes voor inrichten van beveiligde servers   BIO: 14.2.5   I 
 B.03   Serverplatform architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.   SoGP/SD2.2 (afgeleid uit)   S 
Serverplatform, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten

Risico

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van de systemen die op dit serverplatform draaien. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een grote kans op datalekken.

Doelstelling

De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.

Principes uit de {{{Heeft bron}}} binnen dit aspect

IDprincipeCriterium
AppO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03Classificatie van InformatieInformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07Kwaliteitsmanagement systeemDe doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
AppO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
Huisv_B.01Huisvesting informatievoorziening BeleidDe directie behoort ten behoeve van Huisvesting Informatievoorziening beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03EigenaarschapHuisvesting Informatievoorziening bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.
Huisv_B.04CertificeringDe Huisvesting Informatievoorziening van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06Service LevelmanagementHet management van Huisvesting Informatievoorziening behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreements of SLA).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming behoort te worden ontworpen en toegepast tegen natuurrampen, ongelukken en kwaadwillige aanvallen.
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.
Huisv_B.09OrganisatiestructuurDe Huisvestingsorganisatie behoort voor de te realiseren Huisvesting Informatievoorziening een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, bevoegdheden en verantwoordelijkheden (TBV) vast te stellen.
Huisv_B.10HuisvestingsstructuurDe inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.
LTV_B.01Toegangbeveiliging(voorzienings)beleidEen toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02Eigenaarschap van bedrijfsmiddelenHet eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03Beveiligingsfunctie toegangbeveiligingEen gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04Cryptografie bij authenticatieTer bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05BeveiligingsorganisatieDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06Toegangbeveiliging(voorzienings)architectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.
PRIV_B.01Privacy Beleid geeft duidelijkheid en sturingDe organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.
PRIV_B.02Organieke inbeddingDe verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03Risicomanagement, Privacy by Design en de GEBDe verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
PRxxxxPrixxxDe organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen AVG art. 5 lid 1.
SERV_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SERV_B.02Principes voor inrichten van beveiligde serversDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03Serverplatform architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.

Normen uit de {{{Heeft bron}}} binnen dit aspect

IDStellingNorm
AppO_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Overwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.Technieken voor beveiligd programmeren
AppO_B.02.01Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord.Adoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
Software wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
    AppO_B.02.06Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • Het softwareontwikkeling wordt projectmatig aangepakt
    AppO_B.03.01De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.Dataclassificatie' als uitgangspunt voor softwareontwikkeling
    AppO_B.03.02In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
    AppO_B.03.03Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
    AppO_B.03.04In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
    AppO_B.04.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.Security by Design als uitgangspunt voor softwareontwikkeling
    AppO_B.04.02Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • Principes voor het beveiligen van informatiesystemen
    AppO_B.04.03Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld.Beveiliging is integraal onderdeel van systeemontwikkeling
    AppO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen.Ontwikkelaars zijn getraind om veilige software te ontwikkelen
    AppO_B.05.01Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • Perspectieven bij de Business Impact Analyse
    AppO_B.05.02De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • Scenario's voor de Business Impact Analyse
    AppO_B.05.03Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
    AppO_B.06.01Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
    AppO_B.06.02Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
    AppO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
    AppO_B.06.04Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
    AppO_B.06.05De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Risicomanagement aanpak aantoonbaar toegepast
    AppO_B.06.06Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
    AppO_B.07.01De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
    AppO_B.07.02De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.De doelorganisatie beschikt over QA- en KMS-methodiek
    AppO_B.07.03De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
    AppO_B.07.04Er zijn informatie- en communicatieprocessen ingericht.Voor informatie- en communicatie zijn processen ingericht
    AppO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    AppO_B.07.06Aan het management worden evaluatie rapportages verstrekt.Aan het management worden evaluatierapportages verstrekt
    AppO_B.07.07De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
    AppO_B.08.01Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
    AppO_B.08.02Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
    AppO_B.09.01De beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen
    Taken van de beveiligingsfunctionaris
    AppO_B.09.02De beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • Inzicht gegeven door de beveiligingsfunctionaris
    CommVZ_B.01.1Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
    CommVZ_B.01.2Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid of richtlijnen omschrijven het toepassen van cryptografie
    CommVZ_B.01.3Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
    CommVZ_B.01.4Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.Procedures beschrijven het beveiligen van informatie
    CommVZ_B.01.5Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).Procedures beschrijven het opsporen van en beschermen tegen malware
    CommVZ_B.01.6Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
    CommVZ_B.01.7E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
    CommVZ_B.02.1Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
    1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
    2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
    3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
    4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
    5. acceptabele niveaus van toegangsbeveiliging.
    Elementen in overeenkomsten over informatietransport
    CommVZ_B.02.2In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
    CommVZ_B.03.1In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptografie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau wordt vastgesteld;
  • het onderling vaststellen van het beleid bij inter-organisatie communicatie.
  • In het cryptografiebeleid uitgewerkte onderwerpen
    CommVZ_B.03.2Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  • welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld;
  • welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend;
  • aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  • in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
  • Aanvullende onderdelen in het cryptografiebeleid
    CommVZ_B.04.1In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CommVZ_B.04.2De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CommVZ_B.04.3De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd
    Huisv_B.01.01De organisatie heeft een Huisvestingsbeleid opgesteld en:
    • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
    • bevat specifieke verantwoordelijkheden en rollen;
    • bevat processen voor het behandelen van afwijkingen en afzonderingen;
    • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
    Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
    Huisv_B.01.02Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
    Huisv_B.01.03Beleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting Informatievoorziening, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
    Huisv_B.02.01De verantwoordelijke voor de Huisvesting Informatievoorziening organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting Informatievoorziening.De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    Huisv_B.02.02Het Huisvesting Informatievoorziening beleid waarover de Huisvesting Informatievoorziening organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    Huisv_B.03.01Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    Huisv_B.03.02Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    Huisv_B.03.03De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    Huisv_B.03.04De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    Huisv_B.04.01De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.ISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    Huisv_B.04.02De Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    Huisv_B.05.01De eisen en specificaties voor de Huisvesting Informatievoorziening voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.ISOR:het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    Huisv_B.05.02Het verwerven van Huisvesting Informatievoorziening voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    Huisv_B.05.03De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd.Bij SLA en DAP betrokken rollen voor Contractmanagement Service Level Management zijn vastgelegd
    Huisv_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    Huisv_B.05.05De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    Huisv_B.06.01De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    Huisv_B.06.02De dienstenniveaus zijn in lijn met het Huisvesting Informatievoorziening beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    Huisv_B.06.03De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    Huisv_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    Huisv_B.07.02Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    Huisv_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    Huisv_B.07.04De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheidDe brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    Huisv_B.08.01Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    Huisv_B.08.02Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    Huisv_B.09.01Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting Informatievoorziening een formele positie.ISOR:De verantwoordelijken voor de Huisvesting Informatievoorziening hebben een formele positie
    Huisv_B.09.02Voor Huisvesting Informatievoorziening is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    Huisv_B.09.03Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    Huisv_B.09.04De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
    LTV_B.01.01Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
  • Eisen aan het Toegangvoorzieningsbeleid
    LTV_B.01.02Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
    LTV_B.01.03Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast.Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
    LTV_B.01.04Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes.Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
    LTV_B.01.05Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).Het autorisatiebeheer is procesmatig ingericht
    LTV_B.02.01Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
    LTV_B.02.02De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem.De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit
    LTV_B.02.03De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
  • Verantwoordelijkheidvoor de beveiliging van de logische componenten
    LTV_B.02.04De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Verantwoordelijkheid voor de beveiliging van de fysieke componenten
    LTV_B.03.01De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA).Eisen aan de rollen binnen de beveiligingsfunctie
    LTV_B.03.02De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.Periodieke evluatie van het toegangbeveiligingssysteem
    LTV_B.04.01Authenticatie-informatie wordt beschermd zijn door middel van versleuteling.Authenticatie-informatie is versleuteld
    LTV_B.04.02In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

    a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

    f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
    Uitwerking van het cryptografiebeleid voor authenticatie
    LTV_B.04.03Crypografische toepassingen voldoen aan passende standaarden.Eisen aan Crypografische toepassingen voldoen aan passende standaarden
    LTV_B.05.01De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.Positie van Beveiligingsorganisatie
    LTV_B.05.02De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Organisatieschema met de belangrijkste functionarissen
    LTV_B.05.03De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
    LTV_B.05.04De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
    LTV_B.05.05De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
    LTV_B.05.06De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.De frequentie en de eisen voor de inhoudelijke rapportages
    LTV_B.06.01Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
    • de uniformiteit en flexibiliteit van authenticatiemechanismen;
    • de rechten voor beheeraccounts;
    • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
    • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
    Vormgeving van de technische inrichting van de toegangbeveiliging
    LTV_B.06.02De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
    LTV_B.06.03De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven.Het beschrijven van de IAA beveiligingsmaatregelen
    LTV_B.06.04De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven.Beschrijving van de onderlinge samenhang tussen technische componenten
    PRIV_B.01.01.01Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG art. 5 lid 2..Privacybeleid; duidelijkheid inzake verantwoordingsplicht
    PRIV_B.01.01.02Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.Privacybeleid als cyclisch proces
    PRIV_B.01.01.03Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens.Privacybeleid; vastgesteld en gecommuniceerd
    PRIV_B.01.01.04De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.Privacybeleid i.r.t. wet- en regelgeving
    PRIV_B.01.01.05In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.Privacybeleid i.r.t. sectorspecifieke wetgeving.
    PRIV_B.01.01.06In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)AVG art. 25 en art. 64 lid 2.Privacybeleid i.r.t. gedragscode
    PRIV_B.01.02.01Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen.Invulling geven aan de wettelijke beginselen, beschrijving van privacy by design
    PRIV_B.01.02.02Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt.Invulling geven aan de wettelijke beginselen, beschrijving van de doeleinden voor het verzamelen
    PRIV_B.01.02.03Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt.Invulling geven aan de wettelijke beginselen, beschrijven van minimalisatie van verwerken
    PRIV_B.01.02.04Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd.Invulling geven aan de wettelijke beginselen, beschrijven van juistheid en actualiteit van de gegevens
    PRIV_B.01.02.05Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Invulling geven aan de wettelijke beginselen, beschrijven van passende technische en organisatorische maatregelen
    PRIV_B.01.02.06Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.Invulling geven aan de wettelijke beginselen, beschrijven van transparante verwerking
    PRIV_B.01.02.07Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren.Invulling geven aan de wettelijke beginselen, beschrijven van maximale bewaartermijnen
    PRIV_B.01.02.08Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.Invulling geven aan de wettelijke beginselen, beschrijven van garanties bij doorgifte
    PRIV_B.01.02.09Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond.Invulling geven aan de wettelijke beginselen, beschrijven van behoorlijke verwerking
    PRIV_B.01.02.10Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen.Invulling geven aan de wettelijke beginselen, beschrijven van informeren bij inbreuk
    PRIV_B.02.01.01De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is ten alle tijde duidelijk wie deze verantwoordelijke is.Verdeling taken en verantwoordelijkheden
    PRIV_B.02.01.02De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van het volgende situaties aan de orde is:
  • het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • er is stelselmatige observatie op grote schaal vereist: een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd betreffen bijzondere categorieën, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, conform U.01/04 of Avg art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of Avg art. 10.
  • In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkings-verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een Functionaris voor de Gegevensbescherming hebben aangewezen.
    Functionaris Gegevensbescherming
    PRIV_B.02.01.03Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
    PRIV_B.02.01.04De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
    PRIV_B.02.02.01Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.Benodigde middelen
    PRIV_B.02.03.01De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de Functionaris voor de Gegevensbescherming zijn vastgesteld en vastgelegd.Rapporteringsmiddelen
    PRIV_B.03.01.01Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1..Het beoordelen van de privacyrisico's, hoog risico
    PRIV_B.03.01.02Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in.Het beoordelen van de privacyrisico's, advies van FG
    PRIV_B.03.01.03Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerdAVG Avg art. 35 lid 11..Het beoordelen van de privacyrisico's, bij wijigingen
    PRIV_B.03.01.04Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de APAVG art. 36..Het beoordelen van de privacyrisico's, i.r.t. de GEB
    PRIV_B.03.02.01De maatregelen bestaan uit technische en organisatorische maatregelen.Passende maatregelen, technisch en organisatorisch
    PRIV_B.03.02.02Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25..Passende maatregelen, passend
    PRIV_B.03.02.03De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's).Passende maatregelen, continuíteit
    PRIV_B.03.02.04De resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Passende maatregelen, i.r.t. de GEB
    PRIV_B.03.03.01Van alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden.Aantonen onderkende risico's en maatregelen
    PRIV_B.03.03.02Een procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten.Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
    PRIV_B.03.03.03De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's.Aantonen aanpak risicomanagement
    PRIV_B.03.03.04Een tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen.Aantonen toepassen GEB toetsmodel
    PRIV_B.03.03.05Privacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Aantonen privacy by design
    SERV_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
    SERV_B.01.02In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
    1. het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen;
    2. het gebruik van hardeningsrichtlijnen;
    3. het toepassen van standaard images;
    4. het beperken van toegang tot krachtige faciliteiten en host parameter settings;
    5. het beschermen tegen ongeautoriseerde toegang.
    Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
    SERV_B.02.01De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
    SERV_B.02.02Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defense in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimale toegangsniveau);
    • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingconventie;
    • minimalisatie van Single points of failure.
    Beveiligingsprincipes voor het beveiligd inrichten van servers
    SERV_B.03.01Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
  • wordt actief onderhouden.
  • Eisen aan het architectuurdocument van het in te richten van het serverplatform
    SERV_B.03.02In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen