Compliance toets netwerkbeveiliging

Uit NORA Online
ISOR:Netwerk security compliancy checking
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Definitie

Een periodieke toetsing en een managementrapportage over de naleving van het beveiligingsbeleid voor netwerkdiensten.

Toelichting

In de praktijk is het noodzakelijk gebleken om regelmatig te toetsen of de beoogde beveiliging van de netwerkvoorzieningen nog conform het actuele beveiligingsbeleid functioneert. Het accent ligt hier op de naleving van het beleid. Periodiek dienen zowel de organisatorische als technische aspecten van de maatregelen, zoals: de taken en verantwoordelijkheden, de beschikbaarheid van voldoende technische middelen etc., beoordeeld te worden. Als resultaat dient hierover een rapportage van bevindingen aan het management te worden uitgebracht.


Criterium

De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).

Doelstelling

Vast te stellen of de inrichting van de netwerk(diensten) voldoet aan het beveiligingsbeleid.

Risico

Afwijkingen op het beveiligingsbeleid worden niet gesignaleerd.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is CIP

Onderliggende normen

IDConformiteitsindicatorStelling
CVZ_C.02.01 Inrichting

De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:

  • een actueel beveiligingsbeleid;
  • gerelateerde security operation-documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • het beleid voor toegang tot security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
CVZ_C.02.02 Periodiek

Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.

CVZ_C.02.03 Verantwoordelijk

De resultaten worden gerapporteerd aan het verantwoordelijke management.