Serverplatform Beleid

Deze informatie is onderdeel van [[{{{Heeft bron}}}]].

Onderdeel normenkader
ID:	SERV_B
Versie:	1.0
Status:	Actueel
Publicatiedatum:
Redactionele wijzigingsdatum:	2019/02/01
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:

Meer lezen

→ Bron niet opgegeven

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Serverplatform beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Serverplatform De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

Binnen de kolom functies behoren objecten te worden opgenomen die ten aanzien van het Serverplatform gerelateerd zijn aan beveiligingsfuncties en beheerprocessen. Deze objecten hebben in dit geval echter meer een operationele karakter, daarom zijn functiegerelateerde objecten in het Uitvoeringsdomein opgenomen. De noodzakelijke beveiligingseisen t.a.v. functies op dit niveau zijn vermeld in het beleid voor ‘Serverplatform’ (B.01). Binnen de gedrag kolom zouden we een beleid ten aanzien van configuratie, parametrisering en toegangsbeleid tot serverplatform kunnen opnemen; dit soort beleidselementen komen echter in dit geval ook voor in het beleid voor ‘Serverplatform’ (B.01) en vandaar dat ook in deze kolom geen objecten zijn vermeld.

Onderwerpen die binnen het Beleid-domein een rol spelen

Serverplatform, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten
Nr.	Relevante beveiligingsobjecten	Referentie naar standaarden	IFGS
B.01	Beleid voor beveiligde inrichting en onderhoud	BIO: 14.2.1	I
B.02	Principes voor inrichten van beveiligde servers	BIO: 14.2.5	I
B.03	Serverplatform architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.	SoGP/SD2.2 (afgeleid uit)	S

Risico

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van de systemen die op dit serverplatform draaien. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een grote kans op datalekken.

Doelstelling

De doelstelling van het beleidsdomein is de conditionele elementen te identificeren die randvoorwaardelijk zijn voor het inrichten, beveiligen en beheersen van de serverplatforms. De hiervoor van belang zijnde beveiligingsobjecten en de daaraan gerelateerde maatregel zijn opgenomen.

Principes uit de {{{Heeft bron}}} binnen dit aspect

ID	principe	Criterium
AppO_B.01	Beleid voor (beveiligd) ontwikkelen	Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
AppO_B.02	Systeem ontwikkelmethode	Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.
AppO_B.03	Classificatie van Informatie	InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.
AppO_B.04	Engineeringprincipes beveiligde systemen	Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05	Business Impact Analyse	De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.
AppO_B.06	Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)	Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
AppO_B.07	Kwaliteitsmanagement systeem	De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
AppO_B.08	Toegangsbeveiliging op programmacode	Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.
AppO_B.09	Projectorganisatie	Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.
CommVZ_B.01	Beleid en procedures informatietransport	Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02	Overeenkomsten over informatietransport	Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03	Cryptografiebeleid voor communicatie	Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04	Organisatiestructuur van netwerkbeheer	In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
Huisv_B.01	Huisvesting informatievoorziening Beleid	De directie behoort ten behoeve van Huisvesting Informatievoorziening beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.
Huisv_B.02	Wet en regelgeving	Voor elke Huisvestingsdienst behoren alle relevante wettelijke statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03	Eigenaarschap	Huisvesting Informatievoorziening bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.
Huisv_B.04	Certificering	De Huisvesting Informatievoorziening van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05	Contractmanagement	Huisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06	Service Levelmanagement	Het management van Huisvesting Informatievoorziening behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreements of SLA).
Huisv_B.07	Interne en Externe bedreigingen	Fysieke bescherming behoort te worden ontworpen en toegepast tegen natuurrampen, ongelukken en kwaadwillige aanvallen.
Huisv_B.08	Training en Awareness	Alle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.
Huisv_B.09	Organisatiestructuur	De Huisvestingsorganisatie behoort voor de te realiseren Huisvesting Informatievoorziening een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, bevoegdheden en verantwoordelijkheden (TBV) vast te stellen.
Huisv_B.10	Huisvestingsstructuur	De inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.
LTV_B.01	Toegangbeveiliging(voorzienings)beleid	Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.
LTV_B.02	Eigenaarschap van bedrijfsmiddelen	Het eigenaarschap en de verantwoordelijkheden van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
LTV_B.03	Beveiligingsfunctie toegangbeveiliging	Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangbeveiliging binnen de gehele organisatie.
LTV_B.04	Cryptografie bij authenticatie	Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
LTV_B.05	Beveiligingsorganisatie	De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie (ORG-P), de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen (RL) zijn vastgesteld.
LTV_B.06	Toegangbeveiliging(voorzienings)architectuur	De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.
PRIV_B.01	Privacy Beleid geeft duidelijkheid en sturing	De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen ^{AVG art. 5 lid 1.}
PRIV_B.02	Organieke inbedding	De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld.
PRIV_B.03	Risicomanagement, Privacy by Design en de GEB	De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen.
PRxxxx	Prixxx	De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de wettelijke beginselen ^{AVG art. 5 lid 1.}
SERV_B.01	Beleid voor beveiligde inrichting en onderhoud	Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.
SERV_B.02	Principes voor inrichten van beveiligde servers	De principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03	Serverplatform architectuur	De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.

Normen uit de {{{Heeft bron}}} binnen dit aspect

ID	Stelling	Norm
AppO_B.01.01	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.	De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02	De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.	Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03	In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen: beveiliging van de ontwikkelomgeving; richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling; beveiliging in de softwareontwikkelmethodologie; beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt; beveiligingseisen in de ontwikkelfase; beveiligingscontrolepunten binnen de mijlpalen van het project; beveiliging van de versiecontrole; vereiste kennis over toepassingsbeveiliging; het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.	Overwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04	Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.	Technieken voor beveiligd programmeren
AppO_B.02.01	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).	Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03	Adoptie van ontwikkelmethodologie wordt gemonitord.	Adoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van ontwikkelde applicatie naar de productie omgeving; de training van software ontwikkelaars.	Software wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05	De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan: de eisen uit wet en regelgeving incl. privacy; de contactuele eisen; het informatiebeveiligingsbeleid van de organisatie; de specifieke beveiligingseisen vanuit business; het classificatiemodel van de organisatie.	De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
AppO_B.02.06	Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van assessment voor BIVC; het creëren van een risico register; het creëren van projectmanagement office file; het registreren van belangrijke details in een business applicatie register.	Het softwareontwikkeling wordt projectmatig aangepakt
AppO_B.03.01	De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.	Dataclassificatie' als uitgangspunt voor softwareontwikkeling
AppO_B.03.02	In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.	Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
AppO_B.03.03	Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.	Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
AppO_B.03.04	In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.	Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
AppO_B.04.01	De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.	Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.04.02	Voor het beveiligen van informatiesystemen zijn de volgende principe van belang: defense in depth (beveiliging op verschillende lagen); secure by default; default deny; fail secure; wantrouwen van input van externe applicaties; secure in deployment; en bruikbaarheid en beheersbaarheid.	Principes voor het beveiligen van informatiesystemen
AppO_B.04.03	Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld.	Beveiliging is integraal onderdeel van systeemontwikkeling
AppO_B.04.04	Ontwikkelaars zijn getraind om veilige software te ontwikkelen.	Ontwikkelaars zijn getraind om veilige software te ontwikkelen
AppO_B.05.01	Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen: de relevante stakeholders (business owners en business- en IT specialisten); de scope van het risk assessment; het profiel van de ‘doelomgeving’; de aanvaardbaarheid van risico’s in de doelomgeving	Perspectieven bij de Business Impact Analyse
AppO_B.05.02	De business impact analyse richt zich op verschillende scenario’s met aandacht voor: de hoeveelheid mensen die nadelig beïnvloed worden; de hoeveelheid systemen die out-of-running kan raken; een realistische analyse en een analyse van worst-case situaties.	Scenario's voor de Business Impact Analyse
AppO_B.05.03	Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van: verlies van orders en contracten en klanten; verlies van tastbare assets; onvoorziene kosten; verlies van management control; concurrentie; late leveringen; verlies van productiviteit; compliance; en reputatie.	Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
AppO_B.06.01	Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.	GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
AppO_B.06.02	Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.	procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
AppO_B.06.03	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.	Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
AppO_B.06.04	Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.	Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
AppO_B.06.05	De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.	Risicomanagement aanpak aantoonbaar toegepast
AppO_B.06.06	Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.	Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
AppO_B.07.01	De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.	De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
AppO_B.07.02	De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.	De doelorganisatie beschikt over QA- en KMS-methodiek
AppO_B.07.03	De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.	De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
AppO_B.07.04	Er zijn informatie- en communicatieprocessen ingericht.	Voor informatie- en communicatie zijn processen ingericht
AppO_B.07.05	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd	Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
AppO_B.07.06	Aan het management worden evaluatie rapportages verstrekt.	Aan het management worden evaluatierapportages verstrekt
AppO_B.07.07	De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.	applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
AppO_B.08.01	Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen: de broncode bibliotheken worden niet in operationele systemen opgeslagen; de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures; ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken; het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs; programma-uitdraaien worden in een beveiligde omgeving bewaard; van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand; onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.	Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
AppO_B.08.02	Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).	Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
AppO_B.09.01	De beveiligingsfunctionaris zorgt o.a. voor: de actualisatie van beveiligingsbeleid; afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen; de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; de bespreking van beveiligingsissues met ketenpartijen	Taken van de beveiligingsfunctionaris
AppO_B.09.02	De beveiligingsfunctionaris geeft o.a. inzicht in: het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch); specifieke beveiligings- en architectuurvoorschriften; afhankelijkheden tussen informatiesystemen.	Inzicht gegeven door de beveiligingsfunctionaris
CommVZ_B.01.1	Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.	Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CommVZ_B.01.2	Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.	Beleid of richtlijnen omschrijven het toepassen van cryptografie
CommVZ_B.01.3	Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.	Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CommVZ_B.01.4	Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.	Procedures beschrijven het beveiligen van informatie
CommVZ_B.01.5	Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).	Procedures beschrijven het opsporen van en beschermen tegen malware
CommVZ_B.01.6	Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.	Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CommVZ_B.01.7	E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.	E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
CommVZ_B.02.1	Overeenkomsten over informatietransport bevatten o.a. de volgende elementen: directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst; procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.; speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie; het handhaven van een bewakingsketen voor informatie tijdens verzending; acceptabele niveaus van toegangsbeveiliging.	Elementen in overeenkomsten over informatietransport
CommVZ_B.02.2	In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.	In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CommVZ_B.03.1	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: wanneer cryptografie ingezet wordt; wie verantwoordelijk is voor de implementatie van cryptografie; wie verantwoordelijk is voor het sleutelbeheer; welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast; de wijze waarop het beschermingsniveau wordt vastgesteld; het onderling vaststellen van het beleid bij inter-organisatie communicatie.	In het cryptografiebeleid uitgewerkte onderwerpen
CommVZ_B.03.2	Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende: welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld; welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend; aan welke standaarden de cryptografische toepassingen dienen te voldoen; in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.	Aanvullende onderdelen in het cryptografiebeleid
CommVZ_B.04.1	In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).	In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
CommVZ_B.04.2	De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.	De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
CommVZ_B.04.3	De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.	De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd
Huisv_B.01.01	De organisatie heeft een Huisvestingsbeleid opgesteld en: bevat doelstellingen en principes van Huisvesting-IV beveiliging; bevat specifieke verantwoordelijkheden en rollen; bevat processen voor het behandelen van afwijkingen en afzonderingen; komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.	Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02	Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit: bedrijfsstrategie; wet- en regelgeving; huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.	Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
Huisv_B.01.03	Beleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting Informatievoorziening, zoals: fysieke beveiligingszone; fysieke toegangsbeveiliging personeel.	Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
Huisv_B.02.01	De verantwoordelijke voor de Huisvesting Informatievoorziening organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting Informatievoorziening.	De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
Huisv_B.02.02	Het Huisvesting Informatievoorziening beleid waarover de Huisvesting Informatievoorziening organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.	Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
Huisv_B.03.01	Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd.	Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
Huisv_B.03.02	Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.	Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
Huisv_B.03.03	De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel.	De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
Huisv_B.03.04	De eigenaar van het bedrijfsmiddel zorgt ervoor dat: bedrijfsmiddelen geïnventariseerd worden; bedrijfsmiddelen passend worden geclassificeerd; toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld; bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.	Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
Huisv_B.04.01	De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.	ISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
Huisv_B.04.02	De Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden: ISO 27001 - Informatiebeveiliging; ISO 50001 - Energie-efficiëntie.	Certificeringseisen van de ingezette Huisvesting Informatievoorziening
Huisv_B.05.01	De eisen en specificaties voor de Huisvesting Informatievoorziening voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.	ISOR:het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
Huisv_B.05.02	Het verwerven van Huisvesting Informatievoorziening voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.	Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
Huisv_B.05.03	De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd.	Bij SLA en DAP betrokken rollen voor Contractmanagement Service Level Management zijn vastgelegd
Huisv_B.05.04	Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.	Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
Huisv_B.05.05	De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.	De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
Huisv_B.06.01	De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.	Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
Huisv_B.06.02	De dienstenniveaus zijn in lijn met het Huisvesting Informatievoorziening beveiligingsbeleid.	De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
Huisv_B.06.03	De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).	De aspecten waarop de Service Levels o.a. zijn gericht
Huisv_B.07.01	De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.	De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
Huisv_B.07.02	Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.	Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
Huisv_B.07.03	Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen.	Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
Huisv_B.07.04	De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid	De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
Huisv_B.08.01	Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover.	Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
Huisv_B.08.02	Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters.	Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
Huisv_B.09.01	Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting Informatievoorziening een formele positie.	ISOR:De verantwoordelijken voor de Huisvesting Informatievoorziening hebben een formele positie
Huisv_B.09.02	Voor Huisvesting Informatievoorziening is een organisatieschema beschikbaar.	Er is een Huisvestingsorganisatieschema beschikbaar
Huisv_B.09.03	Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.	Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
Huisv_B.09.04	De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.	De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
LTV_B.01.01	Het Toegangvoorzieningsbeleid: is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid; komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen; stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.	Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02	Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.	Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03	Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast.	Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04	Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes.	Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05	Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).	Het autorisatiebeheer is procesmatig ingericht
LTV_B.02.01	Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).	Eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
LTV_B.02.02	De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem.	De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit
LTV_B.02.03	De eigenaar is verantwoordelijk voor: het beveiligd inrichten van het toegangbeveiligingssysteem; het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle; het ondersteunen van beveiligingsreviews.	Verantwoordelijkheidvoor de beveiliging van de logische componenten
LTV_B.02.04	De eigenaar is verantwoordelijk voor: het inventariseren van bedrijfsmiddelen; het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging; het passend classificeren en beschermen van bedrijfsmiddelen; het procesmatig verwijderen van bedrijfsmiddelen.	Verantwoordelijkheid voor de beveiliging van de fysieke componenten
LTV_B.03.01	De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA).	Eisen aan de rollen binnen de beveiligingsfunctie
LTV_B.03.02	De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.	Periodieke evluatie van het toegangbeveiligingssysteem
LTV_B.04.01	Authenticatie-informatie wordt beschermd zijn door middel van versleuteling.	Authenticatie-informatie is versleuteld
LTV_B.04.02	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt; f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.	Uitwerking van het cryptografiebeleid voor authenticatie
LTV_B.04.03	Crypografische toepassingen voldoen aan passende standaarden.	Eisen aan Crypografische toepassingen voldoen aan passende standaarden
LTV_B.05.01	De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.	Positie van Beveiligingsorganisatie
LTV_B.05.02	De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.	Organisatieschema met de belangrijkste functionarissen
LTV_B.05.03	De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.	Toewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
LTV_B.05.04	De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.	De Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
LTV_B.05.05	De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.	De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
LTV_B.05.06	De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.	De frequentie en de eisen voor de inhoudelijke rapportages
LTV_B.06.01	Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande: de uniformiteit en flexibiliteit van authenticatiemechanismen; de rechten voor beheeraccounts; de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen; autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.	Vormgeving van de technische inrichting van de toegangbeveiliging
LTV_B.06.02	De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.	Inrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
LTV_B.06.03	De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven.	Het beschrijven van de IAA beveiligingsmaatregelen
LTV_B.06.04	De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven.	Beschrijving van de onderlinge samenhang tussen technische componenten
PRIV_B.01.01.01	Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")^{AVG art. 5 lid 2.}.	Privacybeleid; duidelijkheid inzake verantwoordingsplicht
PRIV_B.01.01.02	Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.	Privacybeleid als cyclisch proces
PRIV_B.01.01.03	Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens.	Privacybeleid; vastgesteld en gecommuniceerd
PRIV_B.01.01.04	De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.	Privacybeleid i.r.t. wet- en regelgeving
PRIV_B.01.01.05	In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.	Privacybeleid i.r.t. sectorspecifieke wetgeving.
PRIV_B.01.01.06	In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)^{AVG art. 25 en art. 64 lid 2}.	Privacybeleid i.r.t. gedragscode
PRIV_B.01.02.01	Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen.	Invulling geven aan de wettelijke beginselen, beschrijving van privacy by design
PRIV_B.01.02.02	Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt.	Invulling geven aan de wettelijke beginselen, beschrijving van de doeleinden voor het verzamelen
PRIV_B.01.02.03	Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt.	Invulling geven aan de wettelijke beginselen, beschrijven van minimalisatie van verwerken
PRIV_B.01.02.04	Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd.	Invulling geven aan de wettelijke beginselen, beschrijven van juistheid en actualiteit van de gegevens
PRIV_B.01.02.05	Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.	Invulling geven aan de wettelijke beginselen, beschrijven van passende technische en organisatorische maatregelen
PRIV_B.01.02.06	Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.	Invulling geven aan de wettelijke beginselen, beschrijven van transparante verwerking
PRIV_B.01.02.07	Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren.	Invulling geven aan de wettelijke beginselen, beschrijven van maximale bewaartermijnen
PRIV_B.01.02.08	Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.	Invulling geven aan de wettelijke beginselen, beschrijven van garanties bij doorgifte
PRIV_B.01.02.09	Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond.	Invulling geven aan de wettelijke beginselen, beschrijven van behoorlijke verwerking
PRIV_B.01.02.10	Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen.	Invulling geven aan de wettelijke beginselen, beschrijven van informeren bij inbreuk
PRIV_B.02.01.01	De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is ten alle tijde duidelijk wie deze verantwoordelijke is.	Verdeling taken en verantwoordelijkheden
PRIV_B.02.01.02	De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van het volgende situaties aan de orde is: het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; er is stelselmatige observatie op grote schaal vereist: een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen; de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd betreffen bijzondere categorieën, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, conform U.01/04 of Avg art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of Avg art. 10. In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkings-verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een Functionaris voor de Gegevensbescherming hebben aangewezen.	Functionaris Gegevensbescherming
PRIV_B.02.01.03	Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.	Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
PRIV_B.02.01.04	De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.	Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
PRIV_B.02.02.01	Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.	Benodigde middelen
PRIV_B.02.03.01	De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de Functionaris voor de Gegevensbescherming zijn vastgesteld en vastgelegd.	Rapporteringsmiddelen
PRIV_B.03.01.01	Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerd^{AVG art. 35 lid 1.}.	Het beoordelen van de privacyrisico's, hoog risico
PRIV_B.03.01.02	Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in.	Het beoordelen van de privacyrisico's, advies van FG
PRIV_B.03.01.03	Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerd^{AVG Avg art. 35 lid 11.}.	Het beoordelen van de privacyrisico's, bij wijigingen
PRIV_B.03.01.04	Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP^{AVG art. 36.}.	Het beoordelen van de privacyrisico's, i.r.t. de GEB
PRIV_B.03.02.01	De maatregelen bestaan uit technische en organisatorische maatregelen.	Passende maatregelen, technisch en organisatorisch
PRIV_B.03.02.02	Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)^{AVG art. 25.}.	Passende maatregelen, passend
PRIV_B.03.02.03	De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's).	Passende maatregelen, continuíteit
PRIV_B.03.02.04	De resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.	Passende maatregelen, i.r.t. de GEB
PRIV_B.03.03.01	Van alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden.	Aantonen onderkende risico's en maatregelen
PRIV_B.03.03.02	Een procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten.	Aantonen uitvoeren GEB en opvolgen GEB uitkomsten
PRIV_B.03.03.03	De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's.	Aantonen aanpak risicomanagement
PRIV_B.03.03.04	Een tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen.	Aantonen toepassen GEB toetsmodel
PRIV_B.03.03.05	Privacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.	Aantonen privacy by design
SERV_B.01.01	De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.	Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
SERV_B.01.02	In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen: het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen; het gebruik van hardeningsrichtlijnen; het toepassen van standaard images; het beperken van toegang tot krachtige faciliteiten en host parameter settings; het beschermen tegen ongeautoriseerde toegang.	Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
SERV_B.02.01	De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.	Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
SERV_B.02.02	Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang: defense in depth (beveiliging op verschillende lagen); secure by default; least privilege (minimale toegangsniveau); fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd; eenduidige naamgevingconventie; minimalisatie van Single points of failure.	Beveiligingsprincipes voor het beveiligd inrichten van servers
SERV_B.03.01	Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document: heeft een eigenaar; is voorzien van een datum en versienummer; bevat een documenthistorie (wat is wanneer en door wie aangepast); is actueel, juist en volledig; is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd; wordt actief onderhouden.	Eisen aan het architectuurdocument van het in te richten van het serverplatform
SERV_B.03.02	In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.	In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen