PSA (Project Startarchitectuur)/Sjabloon standaarden

Uit NORA Online
< PSA (Project Startarchitectuur)
Naar navigatie springen Naar zoeken springen


NB: Deze pagina maakt deel uit van de Historie van de NORA en kan verouderde informatie bevatten!'

Er is een nieuw PSA format beschikbaar in pdf format (PDF, 380 kB), dat in de zomer van 2023 geplaatst wordt op noraonline.nl als webversie en .odt. De nieuwe versie gaat uit van de nieuwe NORA Bindende Architectuurafspraken die per 1-1-2023 zijn ingegaan en is ook op vele andere punten geactualiseerd. NB: NORA raadt het af om nog gebruik te maken van het oude sjabloon.




Alle standaarden die bekend zijn bij NORA[bewerken]

Tabel met standaarden in NORA Afgeleide principes, die overgenomen kan worden in een PSA en aangevuld met de projecttoepassing. Download deze tabel in CSV-format NB: csv-downloads werken het beste met een Open Office - variant, MS Excel houdt geen rekening met regeleinden waardoor verspringingen optreden bij langere beschrijvingen.

StandaardBeschrijvingLijst statusToepassingsgebiedWerkingsgebiedToepassing in project
NL LOMIn deze afspraak staat beschreven welke metadata toegekend moeten worden aan educatieve content om de vindbaarheid en vergelijkbaarheid te vergroten. Metadata beschrijven de kenmerken van leerobjecten. Deze afspraak is gemaakt voor de sectoren primair onderwijs, voortgezet onderwijs, middelbaar beroepsonderwijs en hoger onderwijs.Verplicht (pas toe of leg uit)Metadatering van content die ontsloten wordt ten behoeve van educatieve doeleinden.Alle organisaties die content ontwikkelen, beschikbaar stellen, arrangeren en gebruiken voor educatieve doeleinden alsook leveranciers van applicaties ter ondersteuning van dit proces.
NEN-ISO 27033-1 (Network security - Overview and concepts)Niet bekend bij Forum StandaardisatieAlle overheden
NEN-ISO/IEC 27002ISO 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid.Verplicht (pas toe of leg uit)Richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie.Alle overheden
SuwiMLEen samengstelde standaard voor berichtenuitwisseling in de Suwi-keten (sociale domein).GegevensuitwisselingAlle overheidspartijen in de sociale sector
EAD (Encoded Archival Description)EAD is een datamodel in XML, voor de toepassing van ISAD(G), dat is ontwikkeld voor het maken, opslaan, publiceren, koppelen en uitwisselen van archiefbeschrijvingen.Niet bekend bij Forum StandaardisatieArchieven
ISAAR(CPF)Internationale Norm voor Archivistische Geautoriseerde Beschrijvingen van Organisaties, Personen en Families. Deze norm verschaft richtlijnen voor het maken van archivistische geautoriseerde beschrijvingen van entiteiten (organisaties, personen en families) betrokken bij de vorming en het beheer van archieven.Niet bekend bij Forum StandaardisatieArchieven
EAC-CPF (Encoded Archival Context for Corporate Bodies, Persons, and Families)EAC is een datamodel in XML, voor de toepassing van ISAAR(CPF)en voorziet in een grammatica voor het coderen van de namen van de makers van archiefmateriaal en gerelateerde informatie.Niet bekend bij Forum StandaardisatieArchieven
METS (Metadata Encoding & Transmission Standard)METS is een datamodel in XML voor alle beschrijvende, administratieve en structurele metagegevens van archiefbescheiden en collectie-items.Niet bekend bij Forum StandaardisatieArchieven
ISAD(G): General International Standard Archival DescriptionAlgemene Internationale Norm voor Archivistisch Beschrijven, uitgegeven door de ICA.Deze norm verschaft algemene richtlijnen voor het maken van archivistische beschrijvingen. Hij dient te worden gebruikt in combinatie met bestaande nationale normen of als basis voor de ontwikkeling van nationale standaarden.Niet bekend bij Forum StandaardisatieArchieven
PREservation Metadata: Implementation Strategies (PREMIS)PREMIS is de internationale standaard voor metagegevens om de preservering van digitale objecten te ondersteunen en de bruikbaarheid ervan op de langetermijn te verzekeren.Niet bekend bij Forum StandaardisatieArchieven, metagegevens
MoReq2010: Modular Requirements for Records SystemsModular Requirements for Records Systems versie 2010. MoReq is ontwikkeld in opdracht van de Europese Commissie. MoReq is een, modulair gestructureerd, model van functionele eisen voor recordsmanagement software.Niet bekend bij Forum StandaardisatieArchieven, recordsmanagement
DoD 5015.2-STD:2007 Electronic Records Management Software Applications Design Criteria StandardElectronic Records Management Software applications design criteria Standard DoD 5015.2-STD definieert functionele eisen voor recordsmanagement software en is goedgekeurd door het Nationale archief van de VS. De standaard is ontwikkeld en wordt onderhouden door het Amerikaanse ministerie van Defensie en wordt gebruikt door vele staten en lagere overheden in de VS. Onder de standaard functioneert een uitgebreid certificatieprogramma voor recordsmanagement software en vele (internationale) pakketten zijn inmiddels gecertificeerd. Van de standaard is ook een Nederlandse bewerkte vertaling beschikbaar.Niet bekend bij Forum StandaardisatieArchieven, software, applicaties
NIST SP 800-27 Rev. A 2004 (Engineering Principles for Information Technology Security (A Baseline for Achieving Security)Deze standaard bevat een lijst van beveiligingsprincipes op systeemniveau waarmee rekening moet worden gehouden bij het ontwerp, de ontwikkeling en de werking van een informatiesysteem. Deze principes vormen een basis waarop een meer consistente en gestructureerde benadering van het ontwerp, de ontwikkeling en de implementatie van IT-beveiligingsmogelijkheden kan worden gebouwd. Hoewel de primaire focus van deze principes blijft op de implementatie van technische tegenmaatregelen, benadrukken deze principes het feit dat, om effectief te zijn, een systeembeveiligingsontwerp ook rekening moet houden met niet-technische kwesties, zoals beleid, operationele procedures en gebruikerseducatie.Niet bekend bij Forum StandaardisatieDeze standaard presenteert principes die van toepassing zijn op alle systemen, niet die gebonden zijn aan specifieke technologiegebieden.Gebruikers BIO Thema-uitwerkingen.
NIST SP 800-53 Rev. 5 2020 (Security and Privacy Controls for Information Systems and Organizations)Deze publicatie biedt beveiligings- en privacy-controles voor informatiesystemen en organisaties. De controles zijn flexibel en aanpasbaar en worden geïmplementeerd als onderdeel van een organisatiebreed proces om risico's te beheersen. De controles zijn gericht op diverse vereisten die zijn afgeleid van missie- en zakelijke behoeften, wetten, uitvoeringsbesluiten, richtlijnen, voorschriften, beleid, normen en richtlijnen. Ten slotte behandelt de geconsolideerde controlecatalogus veiligheid en privacy vanuit een functionaliteitsperspectief (dat wil zeggen de kracht van functies en mechanismen die door de controles worden geleverd) en vanuit een zekerheidsperspectief (dat wil zeggen de mate van vertrouwen in de beveiliging of privacy-mogelijkheden die door de controles worden geboden). Het aanpakken van functionaliteit en zekerheid helpt ervoor te zorgen dat informatietechnologieproducten en de systemen die op die producten vertrouwen voldoende betrouwbaar zijn.Niet bekend bij Forum StandaardisatieDeze standaard wordt toegepast om organisatorische activiteiten en activa, individuen, andere organisaties en de natie te beschermen tegen een uiteenlopende reeks bedreigingen en risico's, waaronder vijandige aanvallen, menselijke fouten, natuurrampen, structurele mislukkingen, buitenlandse inlichtingendiensten en privacyrisico's.Gebruikers BIO Thema-uitwerkingen.
NIST SP 800-160 2016 (Systems Security Engineering)Op engineering gebaseerde oplossingen zijn essentieel voor het beheer van de groeiende complexiteit, dynamiek en onderlinge verbondenheid van de huidige systemen, zoals blijkt uit cyberfysieke systemen en systemen-van-systemen, waaronder het internet der dingen.


Deze publicatie behandelt het door engineering gestuurde perspectief en de acties die nodig zijn om beter verdedigbare en overleefbare systemen te ontwikkelen, inclusief de machine, fysieke en menselijke componenten waaruit de systemen zijn samengesteld en de mogelijkheden en services die door die systemen worden geleverd. Het begint met en bouwt voort op een reeks gevestigde internationale normen voor systeem- en software-engineering, gepubliceerd door de (International Organization for Standardization (ISO), de International Electrotechnical Commission (IEC) en het Institute of Electrical and Electronics Engineers (IEEE) en voegt methoden, praktijken en technieken voor systeembeveiliging toe aan die systemen en software-engineeringactiviteiten.


Het doel is om beveiligingskwesties aan te pakken vanuit het perspectief van de behoeften, zorgen en vereisten van belanghebbenden en om gevestigde technische processen te gebruiken om ervoor te zorgen dat dergelijke behoeften, zorgen en vereisten met gepaste getrouwheid en nauwgezetheid, vroeg en op een duurzame manier worden aangepakt gedurende het hele proces. levenscyclus van het systeem.
Niet bekend bij Forum StandaardisatieMet de voortdurende frequentie, intensiteit en nadelige gevolgen van cyberaanvallen, verstoringen, gevaren en andere bedreigingen voor overheden, leger, bedrijven en kritieke infrastructuur is de behoefte aan betrouwbare veilige systemen nooit zo groot geweest, belangrijk voor de economische en nationale veiligheidsbelangen van landen op de lange termijn.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)NEN-ISO/IEC 27017 geeft richtlijnen voor informatiebeveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van clouddiensten door:
  • aanvullende implementatierichtlijnen te geven voor relevante beheersmaatregelen gespecificeerd in ISO/IEC 27002;
  • aanvullende controles met implementatiebegeleiding die specifiek betrekking hebben op clouddiensten.
Niet bekend bij Forum StandaardisatieDeze standaard biedt controles en implementatiebegeleiding voor zowel cloudserviceproviders als cloudserviceklanten.Gebruikers BIO Thema-uitwerkingen.
NEN-EN-ISO/IEC 27040:2016 (Storage security)Opslagbeveiliging is van toepassing op de bescherming (beveiliging) van informatie waar deze is opgeslagen en op de beveiliging van de informatie die wordt overgedragen via de communicatieverbindingen die verband houden met opslag.


Opslagbeveiliging omvat de beveiliging van apparaten en media, de beveiliging van beheeractiviteiten met betrekking tot de apparaten en media, de beveiliging van applicaties en diensten, en beveiliging die relevant is voor eindgebruikers tijdens de levensduur van apparaten en media en na het einde van het gebruik.


Opslagbeveiliging is relevant voor iedereen die betrokken is bij het bezitten, exploiteren of gebruiken van apparaten, media en netwerken voor gegevensopslag. Dit omvat senior managers, verkrijgers van opslagproducten en -diensten en andere niet-technische managers of gebruikers, naast managers en beheerders die specifieke verantwoordelijkheden hebben voor informatiebeveiliging of opslagbeveiliging, opslagbeheer, of die verantwoordelijk zijn voor de algehele beveiliging van een organisatie ontwikkeling van programma's en veiligheidsbeleid. Het is ook relevant voor iedereen die betrokken is bij de planning, het ontwerp en de implementatie van de architecturale aspecten van de beveiliging van opslagnetwerken.
Niet bekend bij Forum StandaardisatieNEN-EN-ISO/IEC 27040 biedt gedetailleerde technische richtlijnen over hoe organisaties een passend niveau van risicobeperking kunnen definiëren door gebruik te maken van een beproefde en consistente benadering van de planning, het ontwerp, de documentatie en de implementatie van gegevensopslagbeveiliging. Deze internationale norm geeft een overzicht van opslagbeveiligingsconcepten en gerelateerde definities. Het bevat richtlijnen over de bedreigings-, ontwerp- en controleaspecten die verband houden met typische opslagscenario's en opslagtechnologiegebieden. Daarnaast bevat het verwijzingen naar andere internationale normen en technische rapporten die betrekking hebben op bestaande praktijken en technieken die kunnen worden toegepast op opslagbeveiliging.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO 31000:2018 (Risicomanagement - Richtlijnen)NEN-ISO 31000 geeft richtlijnen voor het beheersen van risico's waarmee organisaties worden geconfronteerd. De toepassing van deze richtlijnen kan worden aangepast aan elke organisatie en haar context. Deze standaard biedt een algemene benadering voor het beheer van elk type risico en is niet branche- of sectorspecifiek. Dit document kan gedurende de levenscyclus van de organisatie worden gebruikt en kan worden toegepast op elke activiteit, inclusief besluitvorming op alle niveaus.Niet bekend bij Forum StandaardisatieDeze standaard biedt een algemene benadering voor het beheer van elk type risico.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27021:2017 (Competence requirements for information security management systems professionals)NEN-ISO/IEC 27021 specificeert de competentie-eisen voor Information Security Management systemen (ISMS)-professionals.Niet bekend bij Forum StandaardisatieProfessionals die leiding geven aan of betrokken zijn bij het opzetten, implementeren, onderhouden en continu verbeteren van een of meer managementsysteemprocessen voor informatiebeveiliging die voldoen aan ISO/IEC 27001.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27033-2:2012 (Network security - Guidelines for the design and implementation of network security)Dit deel van ISO/IEC 27033 geeft richtlijnen voor organisaties om netwerkbeveiliging te plannen, ontwerpen, implementeren en documenteren.Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 19941:2017 (Information technology - Cloud computing - Interoperability and portability)NEN-ISO/IEC 19941 specificeert interoperabiliteit en portabiliteitstypen voor cloudcomputing, de relatie en interacties tussen deze twee transversale aspecten van cloudcomputing en algemene terminologie en concepten die worden gebruikt om interoperabiliteit en portabiliteit te bespreken, met name met betrekking tot clouddiensten.


Dit document heeft betrekking op andere normen, namelijk ISO/IEC 17788, ISO/IEC 17789, ISO/IEC 19086-1, ISO/IEC 19944, en verwijst in het bijzonder naar de transversale aspecten en componenten die zijn geïdentificeerd in ISO/IEC 17788 en ISO/IEC 17789 respectievelijk.


Het doel van dit document is ervoor te zorgen dat alle partijen die betrokken zijn bij cloud computing, met name Cloud Service Consumers (CSC's), (Cloud Service Providers (CSP's) en cloudservicepartners (CSN's) die optreden als cloudserviceontwikkelaars, een gemeenschappelijk begrip hebben van interoperabiliteit en portabiliteit voor hun specifieke behoeften. Dit gemeenschappelijke begrip helpt om interoperabiliteit en draagbaarheid in cloud computing te bereiken door gemeenschappelijke terminologie en concepten vast te stellen.
Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27005:2018 (Information security risk management)Deze standaard geeft richtlijnen voor het beheer van informatiebeveiligingsrisico's. Dit document ondersteunt de algemene concepten die zijn gespecificeerd in ISO/IEC 27001 en is ontworpen om de bevredigende implementatie van informatiebeveiliging op basis van een risicobeheerbenadering. Kennis van de concepten, modellen, processen en terminologieën beschreven in ISO/IEC 27001 en ISO/IEC 27002 is belangrijk voor een volledig begrip van dit document.Niet bekend bij Forum StandaardisatieDit document is van toepassing op alle soorten organisaties die van plan zijn risico's te beheren op het gebied van informatiebeveiliging.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27034-5:2017 (Protocols and application security controls data structure)NEN-ISO/IEC 27034-5 schetst en verklaart de minimale set van essentiële attributen van Application Security Controls (ASC's) en beschrijft de activiteiten en rollen van het Application Security Life Cycle Reference Model (ASLCRM).Niet bekend bij Forum StandaardisatieDeze standaard geeft een specificatie van de ASC-informatievereisten en aanbevelingen om een risico te beperken of om aan een vereiste te voldoen in de levenscyclus van een applicatie.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27007:2017 (Guidelines for information security management systems auditing)ISO/IEC 27007 biedt richtlijnen voor het beheer van een auditprogramma voor een informatiebeveiligingsbeheersysteem (ISMS), voor het uitvoeren van audits en voor de competentie van ISMS-auditors, naast de richtlijnen in ISO 19011. Dit document is van toepassing op degenen die of interne of externe audits van een ISMS uit te voeren of een ISMS-auditprogramma te beheren.Niet bekend bij Forum StandaardisatieHet beheer van een auditprogramma voor een ISMS voor het uitvoeren van audits en voor de competentie van ISMS-auditors.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 19086-1:2016 (Service level agreement (SLA) framework - Part 1: Overview and concepts)NEN-ISO/IEC 19086-1 streeft naar het vaststellen van een set gemeenschappelijke cloud SLA-bouwstenen (concepten, termen, definities, contexten) die kunnen worden gebruikt om cloud Service Level Agreements (SLA's) te creëren. Dit document specificeert:
  1. een overzicht van cloud-SLA's;
  2. identificatie van de relatie tussen de cloudserviceovereenkomst en de cloud-SLA;
  3. concepten die kunnen worden gebruikt om cloud-SLA's te bouwen;
  4. termen die vaak worden gebruikt in cloud-SLA's.


Dit document is bedoeld voor het voordeel en het gebruik van zowel cloudserviceproviders als cloudserviceklanten. Het doel is om verwarring te voorkomen en een gemeenschappelijk begrip tussen cloudserviceproviders en cloudserviceklanten te bevorderen. Cloudserviceovereenkomsten en de bijbehorende cloud-SLA's variëren tussen cloudserviceproviders, en in sommige gevallen kunnen verschillende cloudserviceklanten verschillende contractvoorwaarden onderhandelen met dezelfde cloudserviceprovider voor dezelfde cloudservice. Dit document is bedoeld om klanten van cloudservices te helpen bij het vergelijken van cloudservices van verschillende cloudserviceproviders. Dit document biedt geen standaardstructuur die kan worden gebruikt voor een cloud-SLA of een standaardset van doelstellingen voor cloudserviceniveau (SLO's) en kwalitatieve doelstellingen voor cloudservices (SQO's) die van toepassing zijn op alle cloudservices of alle cloudserviceproviders. Deze aanpak biedt cloudserviceproviders flexibiliteit bij het afstemmen van hun cloud-SLA's op de specifieke kenmerken van de aangeboden cloudservices. Dit document vervangt geen enkele wettelijke vereiste.
Niet bekend bij Forum StandaardisatieHet creëren van SLA's specifiek voor diensten in de cloud.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)Deze standaard specificeert met name richtlijnen op basis van ISO/IEC 27002, waarbij rekening wordt gehouden met de wettelijke vereisten voor de bescherming van PII die van toepassing kunnen zijn in de context van de informatiebeveiligingsrisico-omgeving(en) van een aanbieder van openbare clouddiensten.


Deze standaard is van toepassing op alle soorten en maten organisaties, inclusief openbare en particuliere bedrijven, overheidsinstanties en non-profitorganisaties, die onder contract aan andere organisaties informatieverwerkingsdiensten leveren als PII-verwerkers via cloud computing. De richtlijnen in deze internationale norm kunnen ook relevant zijn voor organisaties die optreden als PII-controllers; PII-beheerders kunnen echter onderworpen zijn aan aanvullende wetgeving, voorschriften en verplichtingen inzake PII-bescherming, die niet van toepassing zijn op PII-verwerkers. Deze internationale norm is niet bedoeld om dergelijke aanvullende verplichtingen te dekken.
Niet bekend bij Forum StandaardisatieNEN-SO/IEC 27018 stelt algemeen aanvaarde beheersdoelstellingen, beheersmaatregelen en richtlijnen vast voor het implementeren van maatregelen ter bescherming van persoonlijk identificeerbare informatie (PII) in overeenstemming met de privacyprincipes in ISO/IEC 29100 voor de openbare cloud computing-omgeving.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 17789:2014 (Cloud computing - Reference architecture)De referentiearchitectuur omvat de cloud computing-rollen, cloud computing-activiteiten en de functionele componenten voor cloudcomputing en hun relaties.Niet bekend bij Forum StandaardisatieISO/IEC 17789 specificeert de cloud computing reference architecture (CCRA).Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 17788:2014 (Cloud computing - Overview and vocabulary)Deze standaard is een terminologiebasis voor cloudcomputingstandaarden. Deze internationale norm van aanbeveling is van toepassing op alle soorten organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties).OnbekendNEN-ISO 17788 geeft een overzicht van cloud computing samen met een reeks termen en definities.Gebruikers BIO Thema-uitwerkingen.
The Standard of Good Practice for Information Security 2018Het doel van elke informatiebeveiligingsprofessional is om de organisatie in staat te stellen haar activiteiten veilig en beveiligd uit te voeren en om bedreigingen met succes te vermijden. Maar tussen al het onderzoek, de planning en vergaderingen, en een veilige werkomgeving, ligt een cruciale schakel: het beveiligingsbeleid en de beveiligingsnormen van de organisatie.


The Standard of Good Practice for Information Security (SoGP) 2020 biedt een bedrijfsgerichte focus op huidige en opkomende informatiebeveiligingsproblemen en helpt organisaties bij het ontwikkelen van een effectief kader voor informatiebeveiligingsbeleid, -normen en -procedures.


Deze nieuwste editie van de SoGP bevat nieuwe of verbeterde dekking van de volgende categorieën, gebieden en onderwerpen: beveiligingspersoneel, kerncontroles voor cloudbeveiliging, beveiligingsoperatiecentra, beheer van mobiele applicaties, activaregisters, beveiligingsborging, beheer van toeleveringsketen en beheer van beveiligingsgebeurtenissen.


SoGP wordt door leden van het Information Security Forum (ISF) gebruikt om:

  • de weerbaarheid verbeteren tegen het steeds veranderende dreigingslandschap
  • een basis bieden voor uw informatierisicobeoordelingen
  • informatiebeveiligingsregelingen in de toeleveringsketen valideren
  • ondersteuning van de naleving van belangrijke normen voor informatiebeveiliging
  • een basis vormen voor beleid, normen en procedures.
Niet bekend bij Forum StandaardisatieHet biedt een bedrijfsgerichte focus op huidige en opkomende informatiebeveiligingsproblemen en helpt organisaties bij het ontwikkelen van een effectief kader voor informatiebeveiligingsbeleid, -normen en -procedures.Gebruikers BIO Thema-uitwerkingen.
JSONJavaScript Object Notation (JSON) een formaat om net zoals XML gegevens op te slaan en te versturen. JavaScript is de programmeertaal waarvan de basis syntax beschrijving is afgeleid voor gebruik in JSON. JSON wordt gebruikt voor het uitwisselen van datastructuren, met name in webapplicaties die asynchroon gegevens ophalen van de webserver. De standaard is met name gericht op efficiënt programmeren en kent een compacte notatie bijvoorbeeld:

{ “naam”: Jan, “geboren”: 1983

}
AanbevolenObjectnotatie voor het uitwisselen van datastructuren. Bijvoorbeeld in webapplicaties die asynchroon gegevens ophalen van de webserver.Gebruikers BIO Thema-uitwerkingen.
NEN-EN-ISO 50001:2018 (Energiemanagementsystemen - Eisen met gebruiksrichtlijnen)NEN-EN-ISO 50001 specificeert eisen voor het inrichten, implementeren, onderhouden en verbeteren van een energiemanagementsysteem (EnMS). Het beoogde resultaat is de organisatie in staat stellen een systematische benadering te volgen om continue verbetering van de energieprestaties en het EnMS te bereiken. Dit document:
  1. is van toepassing op elke organisatie ongeacht type, omvang, complexiteit, geografische locatie, organisatiecultuur of de producten en diensten die zij levert;
  2. is van toepassing op activiteiten die van invloed zijn op energieprestaties die door de organisatie beheerd en beheerst worden;
  3. is van toepassing ongeacht de hoeveelheid, het gebruik of de soorten verbruikte energie;
  4. vereist dat continue verbetering van de energieprestaties wordt aangetoond, maar definieert geen te realiseren niveaus van verbetering van de energieprestaties;
  5. kan zelfstandig worden gebruikt of worden afgestemd op of geïntegreerd in andere managementsystemen.
Niet bekend bij Forum StandaardisatieHet inrichten, implementeren, onderhouden en verbeteren van een energiemanagementsysteem (EnMS)Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 27033-1:2015 (Network security - Overview and concepts)NEN-ISO/IEC 27033-1 geeft een overzicht van netwerkbeveiliging en gerelateerde definities. Het definieert en beschrijft de concepten die verband houden met, en biedt managementrichtlijnen voor netwerkbeveiliging.


Het is relevant voor iedereen die betrokken is bij het bezitten, exploiteren of gebruiken van een netwerk. Dit omvat senior managers en andere niet-technische managers of gebruikers, naast managers en beheerders die specifieke verantwoordelijkheden hebben voor informatiebeveiliging en/of netwerkbeveiliging, netwerkbeheer, of die verantwoordelijk zijn voor het algehele beveiligingsprogramma en de ontwikkeling van het beveiligingsbeleid van een organisatie. Het is ook relevant voor iedereen die betrokken is bij de planning, het ontwerp en de implementatie van de architecturale aspecten van netwerkbeveiliging.


Dit deel van ISO/IEC 27033 omvat ook het volgende:

  • biedt richtlijnen voor het identificeren en analyseren van netwerkbeveiligingsrisico's en de definitie van netwerkbeveiligingsvereisten op basis van die analyse;
  • biedt een overzicht van de controles die netwerktechnische beveiligingsarchitecturen ondersteunen en gerelateerde technische controles, evenals die niet-technische controles en technische controles die niet alleen van toepassing zijn op netwerken;
  • introduceert hoe u een netwerktechnische beveiligingsarchitecturen van goede kwaliteit kunt bereiken, en de risico-, ontwerp- en controleaspecten die verband houden met typische netwerkscenario's en netwerk "technologie"-gebieden (die in de volgende delen van ISO/IEC 27033 in detail worden behandeld), en gaan in het kort in op de problemen die verband houden met het implementeren en uitvoeren van netwerkbeveiligingscontroles, en de voortdurende bewaking en beoordeling van hun implementatie. Over het algemeen biedt het een overzicht van deze internationale norm en een "routekaart" naar alle andere onderdelen.
Niet bekend bij Forum StandaardisatieNetwerkbeveiliging is van toepassing op de beveiliging van apparaten, beveiliging van beheeractiviteiten met betrekking tot de apparaten, toepassingen/diensten en eindgebruikers, naast de beveiliging van de informatie die via de communicatieverbindingen wordt overgedragen.Gebruikers BIO Thema-uitwerkingen.
BSI-Standard 200-2 - IT-Grundschutz-MethodologyMet BSI-Standard 200-2 biedt Bundesamt für Sicherheit in der Informationstechnik (BSI) een methodologie voor effectief beheer van informatiebeveiliging. Dit kan worden aangepast aan de eisen van organisaties van verschillende soorten en maten. In BSI-Standard 200-2 wordt dit geïmplementeerd via de drie methodieken:
  1. Standard Protection
  2. Basic Protection
  3. Core Protection
Niet bekend bij Forum StandaardisatieEffectief beheer van informatiebeveiliging.Gebruikers BIO Thema-uitwerkingen.
Cloud Computing Compliance Criteria Catalogue - C5:2020De catalogus met nalevingscriteria voor cloudcomputing (C5) definieert een basisbeveiligingsniveau voor cloudcomputing. Het wordt gebruikt door professionele cloudserviceproviders, auditors en cloudklanten.


Het Bundesamt für Sicherheit in der Informationstechnik (BSI) introduceerde C5 voor het eerst in 2016. Sindsdien is de criteriacatalogus snel ontstaan en heeft deze nu een brede marktpenetratie: BSI kent meer dan een dozijn C5-attesten op nationale, Europese en wereldwijde cloudserviceproviders die een breed scala aan cloudservices dekken. Naast grote cloudserviceproviders passen inmiddels ook middelgrote en kleine providers de catalogus toe. De criteriacatalogus ondersteunt klanten bij het selecteren, controleren en monitoren van hun cloudserviceproviders. De bijbehorende rapportages leggen de basis voor een gedegen risicobeoordeling.

In 2019 werd de catalogus grondig herwerkt, aangepast aan nieuwe ontwikkelingen en de kwaliteit verder verhoogd.
Niet bekend bij Forum StandaardisatieOndersteunen bij het selecteren, controleren en monitoren van cloudserviceproviders.Gebruikers BIO Thema-uitwerkingen.
NIST SP 800-145 (The NIST Definition of Cloud Computing)Cloudcomputing is een model voor het mogelijk maken van alomtegenwoordige, gemakkelijke, on-demand netwerktoegang tot een gedeelde pool van configureerbare computerresources (bijvoorbeeld netwerken, servers, opslag, applicaties en services) die snel kunnen worden geleverd en vrijgegeven met minimale beheerinspanning of interactie met de serviceprovider. Dit cloudmodel bestaat uit vijf essentiële kenmerken, drie servicemodellen en vier implementatiemodellen.Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 7498-4:1991 (Informatietechnologie - Onderlinge verbinding van open systemen (OSI) - Basisreferentiemodel - Deel 4 - Beheerskader)Dit deel van ISO/IEC 7498 stelt een kader vast voor de coördinatie van de ontwikkeling van bestaande en toekomstige normen voor OSI-beheer en wordt door die normen ter referentie verstrekt. Het
  1. definieert terminologie van en beschrijft concepten voor OSI-management;
  2. biedt een structuur voor OSI-Management samen met een overzicht van de doelstellingen en faciliteiten die OSI-Management biedt, en;
  3. beschrijft OSI management-activiteiten. Dit deel van ISO/IEC 7498 specificeert geen services of protocollen voor OSI-beheer.
Het is geen implementatiespecificatie voor systemen, noch een basis voor het beoordelen van de conformiteit van implementaties.
Niet bekend bij Forum StandaardisatieHet is een kader voor de coördinatie van de ontwikkeling van bestaande en toekomstige normen voor OSI-beheer.Gebruikers BIO Thema-uitwerkingen.
Telecommunications Infrastructure Standard for Data CentersDe wereldwijd aangenomen ANSI/TIA-942 Telecommunicatie-infrastructuurstandaard voor datacenters specificeert de minimumvereisten voor datacenters en omvat alle fysieke infrastructuur, inclusief maar niet beperkt tot locatielocatie, bouwkundig, elektrisch, mechanisch, brandveiligheid, telecommunicatie, beveiliging en andere vereisten.Niet bekend bij Forum Standaardisatiede inrichting van datacenters.Gebruikers BIO Thema-uitwerkingen.
NEN-EN-ISO 22313:2020 (Richtlijnen voor het gebruik van ISO 22301)Dit document geeft richtlijnen en aanbevelingen voor het toepassen van de eisen van het bedrijfscontinuïteitsmanagementsysteem (BCMS) die worden gegeven in ISO 22301. De richtlijnen en aanbevelingen zijn gebaseerd op goede internationale praktijkvoorbeelden.Niet bekend bij Forum StandaardisatieBedrijfscontinuïteitsmanagement.Gebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 25010:2011 (Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models)Deze internationale norm definieert:
  1. een gebruikskwaliteitsmodel dat bestaat uit vijf kenmerken (waarvan sommige verder zijn onderverdeeld in subkenmerken) die betrekking hebben op de uitkomst van interactie wanneer een product wordt gebruikt in een bepaalde gebruikscontext. Dit systeemmodel is toepasbaar op het volledige mens-computersysteem, inclusief zowel gebruikte computersystemen als gebruikte softwareproducten.
  2. Een productkwaliteitsmodel bestaande uit acht kenmerken (die verder zijn onderverdeeld in subkenmerken) die betrekking hebben op statische eigenschappen van software en dynamische eigenschappen van het computersysteem. Het model is toepasbaar op zowel computersystemen als softwareproducten. De kenmerken die door beide modellen worden gedefinieerd, zijn relevant voor alle softwareproducten en computersystemen. De kenmerken en subkenmerken bieden consistente terminologie voor het specificeren, meten en evalueren van systeem- en softwareproductkwaliteit. Ze bieden ook een reeks kwaliteitskenmerken waarmee de gestelde kwaliteitseisen op volledigheid kunnen worden vergeleken.
Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 18033-1:2015 (IT Security techniques - Encryption algorithms - General)NEN-ISO/IEC 18033-1 is algemeen van aard en geeft definities die van toepassing zijn in volgende delen van deze internationale norm. De aard van encryptie wordt geïntroduceerd en bepaalde algemene aspecten van het gebruik en de eigenschappen ervan worden beschreven. De criteria die worden gebruikt om de algoritmen te selecteren die in de volgende delen van deze internationale norm worden gespecificeerd, zijn gedefinieerd in bijlagen A en B.Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 18033-2:2006 (IT Security techniques - Encryption algorithms - Asymmetric ciphers)Dit deel van ISO/IEC 18033 specificeert verschillende asymmetrische cijfers. Deze specificaties schrijven de functionele interfaces en correcte methoden voor het gebruik van dergelijke versleutelingen in het algemeen voor, evenals de precieze functionaliteit en het versleutelde tekstformaat voor verschillende specifieke asymmetrische versleutelingen (hoewel conforme systemen ervoor kunnen kiezen om alternatieve formaten te gebruiken voor het opslaan en verzenden van versleutelde teksten) . Een normatieve bijlage (Annex A) geeft ASN.1-syntaxis voor object-ID's, openbare sleutels en parameterstructuren die moeten worden geassocieerd met de algoritmen die zijn gespecificeerd in dit deel van ISO/IEC 18033. Deze specificaties schrijven echter geen protocollen voor voor het op betrouwbare wijze verkrijgen van een openbare sleutel, voor het bewijs van bezit van een privésleutel, of voor validatie van openbare of privésleutels; zie ISO/IEC 11770-3 voor richtlijnen over dergelijke belangrijke managementkwesties. De asymmetrische cijfers die in dit deel van ISO/IEC 18033 worden gespecificeerd, worden aangegeven in clausule 7.6.Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 18033-3:2005 (IT Security techniques - Encryption algorithms - Block ciphers)Dit deel van ISO/IEC 18033 specificeert blokcijfers. Een blokcijfer koppelt blokken van n-bits aan blokken van n-bits, onder besturing van een sleutel van k-bits. Er zijn in totaal zes verschillende blokcijfers gedefinieerd. Aan de algoritmen die in dit deel van ISO/IEC 18033 zijn gespecificeerd, zijn object-ID's toegewezen in overeenstemming met ISO/IEC 9834. De lijst met toegewezen object-ID's wordt gegeven in bijlage B. Eventuele wijzigingen in de specificatie van de algoritmen resulterend in een wijziging van functionele gedrag zal resulteren in een wijziging van de object-ID die aan het algoritme is toegewezen.Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 18033-5:2015 (IT Security techniques - Encryption algorithms - Identity-based ciphers)NEN-ISO/IEC 18033-5 specificeert op identiteit gebaseerde versleutelingsmechanismen. Voor elk mechanisme worden de functionele interface, de precieze werking van het mechanisme en het cijfertekstformaat gespecificeerd. Conforme systemen kunnen echter alternatieve formaten gebruiken voor het opslaan en verzenden van cijferteksten.Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
NEN-ISO/IEC 18033-4:2012 (IT Security techniques - Encryption algorithms - Stream ciphers )Dit deel van ISO/IEC 18033 specificeert:
  • uitvoerfuncties om een keystream te combineren met leesbare tekst;
  • keystream-generators voor het produceren van keystream;
  • object-ID's die zijn toegewezen aan speciale keystream-generators in overeenstemming met ISO/IEC 9834.
  • Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
    OWASP Application Security Verification Standard 4.0.2Het OWASP Application Security Verification Standard (ASVS)-project biedt een basis voor het testen van technische beveiligingscontroles voor webtoepassingen en biedt ontwikkelaars ook een lijst met vereisten voor veilige ontwikkeling.


    Het primaire doel van het OWASP Application Security Verification Standard (ASVS)-project is het normaliseren van het bereik in de dekking en het striktheidsniveau dat op de markt beschikbaar is als het gaat om het uitvoeren van beveiligingsverificatie van webapplicaties met behulp van een commercieel werkbare open standaard. De standaard biedt een basis voor het testen van technische beveiligingscontroles van applicaties, evenals alle technische beveiligingscontroles in de omgeving, die worden gebruikt om te beschermen tegen kwetsbaarheden zoals Cross-Site Scripting (XSS) en SQL-injectie. Deze standaard kan worden gebruikt om een niveau van vertrouwen in de beveiliging van webapplicaties vast te stellen.


    De eisen zijn ontwikkeld met de volgende doelstellingen in gedachten:

    • Gebruik als maatstaf, Biedt applicatieontwikkelaars en applicatie-eigenaren een maatstaf om de mate van vertrouwen te beoordelen die in hun webapplicaties kan worden gesteld.
    • Gebruiken als richtlijn, Geeft richtlijnen aan ontwikkelaars van beveiligingscontroles over wat ze moeten inbouwen in beveiligingscontroles om te voldoen aan de beveiligingsvereisten van applicaties.
    • Gebruik tijdens inkoop, Biedt een basis voor het specificeren van vereisten voor verificatie van applicatiebeveiliging in contracten.
    Niet bekend bij Forum StandaardisatieGebruikers BIO Thema-uitwerkingen.
    BSI-Standard 200-4 - Business Continuity ManagementHet onderwerp bedrijfscontinuïteitsbeheer (BCM) is al jaren stevig verankerd in IT-Grundschutz en biedt met de vorige BSI-standaard 100-4 een gefundeerde ondersteuning voor calamiteitenbeheer. De voortdurende ontwikkelingen en ervaringen op het gebied van BCM, emergency management en (IT) crisismanagement, evenals de gerelateerde BSI-standaarden voor informatiebeveiliging, hebben de noodzaak aangetoond om de BSI Standard 100-4 fundamenteel te moderniseren.


    De BSI 200-4 biedt praktische instructies voor het opzetten en opzetten van een Business Continuity Management Systeem (BCMS) in uw eigen organisatie. Op deze manier maakt het vooral onervaren BCM-gebruikers een gemakkelijke introductie tot het onderwerp mogelijk. Voor ervaren BCM-gebruikers wordt een normatieve catalogus van eisen ter beschikking gesteld. Er is momenteel geen certificering voor de standaard gepland.


    Na de Community Draft-fase tot 30 juni 2021 zullen alle opmerkingen dienovereenkomstig worden bekeken en verwerkt.
    Niet bekend bij Forum StandaardisatieBedrijfscontinuïteitsmanagement.Gebruikers BIO Thema-uitwerkingen.
    NEN-EN-ISO/IEC 27018:2020 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)Deze standaard specificeert met name richtlijnen op basis van ISO/IEC 27002, waarbij rekening wordt gehouden met de wettelijke vereisten voor de bescherming van PII die van toepassing kunnen zijn in de context van de informatiebeveiligingsrisico-omgeving(en) van een aanbieder van openbare clouddiensten.


    Deze standaard is van toepassing op alle soorten en maten organisaties, inclusief openbare en particuliere bedrijven, overheidsinstanties en non-profitorganisaties, die onder contract aan andere organisaties informatieverwerkingsdiensten leveren als PII-verwerkers via cloud computing. De richtlijnen in deze internationale norm kunnen ook relevant zijn voor organisaties die optreden als PII-controllers; PII-beheerders kunnen echter onderworpen zijn aan aanvullende wetgeving, voorschriften en verplichtingen inzake PII-bescherming, die niet van toepassing zijn op PII-verwerkers. Deze internationale norm is niet bedoeld om dergelijke aanvullende verplichtingen te dekken.
    Niet bekend bij Forum StandaardisatieNEN-SO/IEC 27018 stelt algemeen aanvaarde beheersdoelstellingen, beheersmaatregelen en richtlijnen vast voor het implementeren van maatregelen ter bescherming van persoonlijk identificeerbare informatie (PII) in overeenstemming met de privacyprincipes in ISO/IEC 29100 voor de openbare cloud computing-omgeving.Gebruikers BIO Thema-uitwerkingen.
    StosagContainer- en Pasmanagement voor Afval en GrondstoffenArchiefDigitaal container- en pasmanagement voor afval en grondstoffenGemeenten en gemeentelijke afvalinzamelaars
    StUFStUF is een universele berichtenstandaard voor het elektronisch uitwisselen van gegevens tussen applicaties. Het domein van de StUF-taal omvat informatieketens tussen overheidsorganisaties (basisregistraties en landelijke voorzieningen) en gemeentebrede informatieketens en -functionaliteit. StUF is beschreven in XML en gebaseerd op geaccepteerde internetstandaarden.Verplicht (pas toe of leg uit)
    • Uitwisseling en bevraging van basisgegevens die behoren tot een aantal wettelijk vastgestelde basisregistraties, zoals Personen (GBA), Adressen (BRA), Gebouwen (BGA), Kadaster (BRK), Nieuw Handelsregister (NHR) en Waarde Onroerende Zaken (WOZ);*uitwisseling en bevraging van zaakgegevens die behoren tot de producten- en dienstenportfolio van gemeenten;*uitwisseling van domein- of sectorspecifieke gegevens waarin ook basis- en/of zaakgegevens voorkomen en waarvoor geen andere (inter)nationale (XML-gebaseerde) berichtenstandaard is vastgesteld.
    Gemeenten en ketens waarbinnen gemeenten participeren.
    SPFSPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken. SPF biedt de mogelijkheid te controleren of een bericht aangeleverd wordt vanaf een server die daartoe gerechtigd is. Dit doet SPF door de authenticiteit van de domeinnaam in het afzenderadres van de ontvangen mail herleidbaar te maken via de in DNS gepubliceerde IP-adressen van de verzendende mailserver(s). Indien een mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geauthenticeerd beschouwd.Verplicht (pas toe of leg uit)Het controleren of een e-mailserver gerechtigd is om namens een domeinnaam e-mail te mogen verzendenHet organisatorisch werkingsgebied voor beide standaarden: overheden (Rijk, provincies, gemeenten en waterschappen) en overige instellingen uit de publieke sector
    NLCSTekenstandaard voor grond-, weg- en waterbouwVerplicht (pas toe of leg uit)NLCS moet worden toegepast bij het opstellen van 2D-tekeningen die worden gemaakt in de grond-, weg-, en waterbouwsector (GWW-sector), met als doel het verhogen van de eenheid in het CAD-tekenwerk en de uitwisselbaarheid van tekeningen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    HTTPS en HSTSHTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn. De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.Verplicht (pas toe of leg uit)HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    OpenAPI SpecificationPublicatie van REST APIsVerplicht (pas toe of leg uit)OAS moet worden toegepast op het beschrijven/specificeren van een REST API.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    Digitoegankelijk (EN 301 549 met WCAG 2.1)De wettelijke afspraak om websites en mobiele apps toegankelijk te maken voor mensen met een functiebeperking (zoals dyslectici, kleurenblinden, slechtzienden en blinden), door de standaard EN 301 549 (WAGC 2.1) toe te passen en daar een toegankelijkheidsverklaring over te publiceren.Verplicht (pas toe of leg uit)Digitoegankelijk (EN 301 549 met WCAG 2.1) moet worden toegepast op het aanbieden van webgebaseerde informatie-, interactie-, transactie- en participatiediensten. De verplichting geldt ook voor mobiele applicatiesNederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    STARTTLS en DANESTARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

    Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.

    STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.

    DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.

    Volledige namen:

    "SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
    Verplicht (pas toe of leg uit)Inkomende mailservers passen STARTTLS (SMTP over STARTTLS, oftewel ESMTPS) in combinatie met DANE toe, zodat verzendende mailservers daarmee een versleutelde verbinding over een onvertrouwd netwerk (zoals internet) kunnen opzetten. Dit voorkomt dat aanvallers het mailverkeer kunnen afluisteren (passieve aanvallers) en/of kunnen manipuleren (actieve aanvallers). Dit functioneel toepassingsgebied geldt voor alle mailverbindingen buiten de (interne) infrastructuur die onder eigen beheer valt.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
    DigikoppelingDigikoppeling bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties.

    Digikoppeling onderkent twee hoofdvormen van berichtenverkeer:

    • Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden.
    • Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden.

    Aan versie 2.0 van Digikoppeling is o.a. de specifiactie voor grote berichten toegevoegd, de mogelijkheid om attachments toe te voegen en om security op berichtniveau toe te passen. Digikoppeling versie 2 en later zijn backward compatible met versie 1.

    In 2018 is besloten om geen versienummering meer te gebruiken voor Digikoppeling. De meest actuele versie is nu altijd de verzameling van gepubliceerde documenten. Zo is in 2018 de DK Architectuur naar versie 1.5.1 gegaan terwijl de Koppelvlakstandaard WUS op 3.5 is gebleven.
    Verplicht (pas toe of leg uit)Geautomatiseerde gegevensuitwisseling tussen informatiesystemen voor sectoroverstijgend berichtenverkeer, op basis van drie koppelvlakstandaarden: DK ebMS standaard voor meldingen tussen informatiesystemen DK WUS standaard voor de bevraging van informatiesystemen DK GB standaard voor de uitwisseling van grote berichtenOverheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector. Het werkingsgebied van de standaard is bedoeld voor intersectoraal verkeer en verkeer met basisregistraties en kent geen verplichting binnen sectoren. Het Forum is wel van mening, dat gebruik binnen sectoren ook aanbevelenswaardig is en roept de beheerder van de standaard dan ook op dit gebruik te promoten.
    SKOSSKOS is een uitwisselbaar gegevensmodel voor het delen en linken van systemen voor kennisrepresentatie via het Web. Veel systemen voor kennisrepresentatie zijn gegrondvest op eenzelfde conceptueel kader. Voorbeelden zijn thesauri, taxonomieën, begrippenwoordenboeken, classificatieschema’s en systemen voor trefwoordtoekenning. Ze worden vaak gebruikt in vergelijkbare applicaties. SKOS maakt de overeenkomstige structuurelementen expliciet volgens een generieke standaard. Doordat SKOS voortbouwt op de standaarden RDF, RDFS en OWL (zie hierboven) zijn de kennisrepresentaties bruikbaar voor computerprogramma’s (“machine readable”) en kunnen deze uitgewisseld worden tussen applicaties en gepubliceerd worden op het Web.Verplicht (pas toe of leg uit)Het in een gestructureerde vorm op het Web publiek beschikbaar stellen van een ‘niet geformaliseerd’ Knowledge Organization System (KOS), met als doel kennis over de betekenissen en samenhang van de onderliggende begrippen te ordenen en toegankelijk te makenOverheden (Rijk, provincies, gemeenten en waterschappen) en overige instellingen uit de publieke sector
    NLCIUSElectronische facturenVerplicht (pas toe of leg uit)NLCIUS moet worden toegepast op de verzending van elektronische facturen door organisaties die deelnemen aan het economisch verkeer in Nederland (waaronder overheden) welke zijn bestemd voor Nederlandse overheden en instellingen uit de (semi-)publieke sector en de ontvangst hiervan door deze overheden en instellingen.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    GWSWHet GWSW is een ontologie, een speciale datastructuur die assets, systemen en (beheer)processen op het gebied van stedelijk waterbeheer beschrijft. Het is een open datastandaard volgens het linked data principe. Het GWSW is onderdeel van het Semantisch Web en is gemodelleerd in RDF/RDFS/OWL-2.Verplicht (pas toe of leg uit)Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    OIDCOIDC bouwt voort op OAuth 2.0. Het maakt het mogelijk om andere authenticatievoorzieningen middels een routeringsvoorziening te ontsluiten. Bovendien geeft het de mogelijkheid om meerdere attributen of andere type identifiers mee te geven.Aanbevolen
    Archief
    Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    RPKIResource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken.Verplicht (pas toe of leg uit)Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    WebrichtlijnenKern van de Webrichtlijnen is een set van 125 richtlijnen. Deze benoemen de eisen die moeten worden gesteld om een toegankelijke en kwalitatief hoogwaardige website te realiseren. De handleiding geeft aan hoe webbouwers deze eisen concreet kunnen toepassen en hoe opdrachtgevers de eisen kunnen controleren. Verder is er een toets beschikbaar waarmee gedeeltelijk kan worden gecontroleerd in welke mate een webpagina aan de gestelde eisen voldoet. De Webrichtlijnen zijn opgesteld in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Ze bouwen voort op de algemeen bekende webstandaarden en op de toegankelijkheidsrichtlijnen van het W3C (World Wide Web Consortium).ArchiefOverheden en instellingen uit de (semi) publieke sector
    SAMLFederatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.Verplicht (pas toe of leg uit)
    Archief
    Federatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.Overheden en instellingen uit de (semi) publieke sector
    IPv6 en IPv4Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals internet, mogelijk. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IP-adres) heeft. De belangrijkste motivatie voor de ontwikkeling van IPv6 was het vergroten van de hoeveelheid beschikbare adressen ten opzichte van de tegenwoordig gangbare voorganger IPv4.Verplicht (pas toe of leg uit)Communicatie op netwerkniveau over organisatiegrenzen heen tussen organisaties, individuele eindgebruikers, apparaten, diensten en sensorenOverheden en instellingen uit de (semi) publieke sector
    OWMSOWMS is een semantische standaard voor metadata, de eigenschappen om informatieobjecten mee te beschrijven. Het voorschrijven van een semantische standaard voor metadata verhoogt de vindbaarheid en de samenhang van informatie die door overheidsorganisaties wordt aangeboden op internet.Verplicht (pas toe of leg uit)
    Archief
    Metadateren van publieke overheidsinformatie op internetOverheden en instellingen uit de (semi) publieke sector
    ODFStandaard voor tekstdocumenten, (vector-)tekeningen, presentaties en rekenbladen (spreadsheets).Verplicht (pas toe of leg uit)Uitwisseling van reviseerbare documentenOverheden en instellingen uit de (semi-) publieke sector
    JPEG binnen Open Document FormatJPEG is een formaat voor afbeeldingen dat gebruik maakt van niet-omkeerbare datacompressie (ofwel lossy compression).ArchiefHet gebruik van grafische afbeeldingen (met 'lossy' compressie) binnen ODF-documentenOverheden en instellingen uit de (semi-) publieke sector
    PNGPNG is een formaat voor rasterafbeeldingen (ofwel bitmaps) dat gebruik maakt van exact omkeerbare datacompressie (ofwel lossless compression).Het gebruik van grafische afbeeldingen ('lossless' compressie) binnen ODF-documentenOverheden en instellingen uit de (semi-) publieke sector
    SMeF v1.3Het Semantische factuurmodel is een standaard voor elektronisch factureren. Het model geeft duidelijkheid aan overheden en bedrijven (gebruikers en ICT-aanbieders) over de elementen en gegevens die op facturen naar overheidsorganisaties gebruikt dienen te worden (specifiek voor de Nederlandse situatie). De standaard beschrijft welke gegevenselementen er in een elektronische factuur opgenomen dienen en kunnen worden, wat de samenhang is tussen deze elementen en wat de betekenis is van deze elementen. Daarnaast bevat de standaard mappings van de gegevenselementen naar SETU (staat op de 'pas toe of leg uit' –lijst) en de internationale UBL standaard zoals UBL SI (Simpler Invoicing) en UBL OHNL. Dit zijn twee veelgebruikte standaarden voor elektronisch factureren. Dankzij de mappings kunnen gebruikers van deze standaarden op een eenvoudige uniforme wijze elektronisch naar de overheid factureren. Mappings naar andere standaarden zijn bovendien ook mogelijk.ArchiefDe verzending van elektronische facturen door organisaties die deelnemen aan het economisch verkeer in Nederland (waaronder overheden) en de ontvangst hiervan door overheden.Overheden en instellingen uit de (semi-) publieke sector
    SETUDe SETU-standaard is de Nederlandse implementatie van de internationale HR-XML standaard en is ontwikkeld door de grote uitzendorganisaties. Door toepassing van de SETU standaard ontstaat uniformering van het elektronisch berichtenverkeer tussen aanbieders en afnemers (inleners) van tijdelijk personeel (flexibele arbeid). Dit leidt tot vereenvoudiging van het inhuurproces.Verplicht (pas toe of leg uit)De elektronische berichtenuitwisseling rondom de bemiddeling/inhuur van flexibele arbeidskrachtenOverheden en instellingen uit de (semi-) publieke sector
    SEPA-standaardenDe SEPA-standaarden zijn bedoeld voor giraal betalingsverkeer in euro in Europa (incl.binnenlands betalingsverkeer).Toepassingen betrokken bij giraal betalingsverkeer in Euro binnen de SEPA landen (inclusief binnenlands betalingsverkeer)Overheden en instellingen uit de (semi-) publieke sector
    TLSTLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.Verplicht (pas toe of leg uit)Het met behulp van certificaten beveiligen van de verbinding (op de transportlaag) tussen client- en serversystemen of tussen serversystemen onderling, voor zover deze gerealiseerd wordt met internettechnologie.Overheden en instellingen uit de (semi-) publieke sector
    SMeF 2.0ArchiefDe verzending van elektronische facturen door organisaties die deelnemen aan het economisch verkeer in Nederland (waaronder overheden) en de ontvangst hiervan door overheden.Overheden en instellingen uit de (semi-) publieke sector
    E-Portfolio NLNTA 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Hiermee kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties.Verplicht (pas toe of leg uit)Het uitwisselen van informatie over de ontwikkelingsvoortgang van een individu, die het individu als levenslang lerende zelf beheert, tussen organisaties in de leerketen waar het individu leert en werkt.Overheden en instellingen uit de (semi-) publieke sector
    OAI-PMHOAI-PMH is een standaard voor harvesting van metadata uit repositories. Met metadata worden kenmerken van en extra opgeslagen informatie over een document of ander object bedoeld. Te denken valt aan auteursgegevens, titel, uitgever, taal, etc. Een repository is een bibliotheek met documenten/objecten (ook wel ‘content’ genoemd), bijvoorbeeld een (digitaal) archief. OAI-PMH maakt het mogelijk om deze metadata (dus niet de documenten/objecten zelf) uit verschillende repositories te verzamelen. Vanuit een centraal systeem kan dan gezocht worden naar documenten/objecten in de verschillende aangesloten repositories.AanbevolenHet vraaggestuurd aanbieden en ophalen van verzamelingen metadata uit bibliotheken met (digitale) documenten of andere objecten, met als doel het opnemen van deze metadata in een centrale bibliotheek. Uitgezonderd zijn die toepassingen waarvoor op basis van de lijst voor 'pas toe of leg uit' het gebruik van Digikoppeling verplicht is.Overheden en instellingen uit de (semi-) publieke sector
    DNSSECDNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op. DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.Verplicht (pas toe of leg uit)Het registreren en in DNS publiceren van internet-domeinnamen (‘signing’). De registratieverplichting geldt enkel indien 'signed domain names' bij een registerhouder van een top-level domein (zoals SIDN voor .NL) geautomatiseerd aangevraagd kunnen worden; Het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’). Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients/werkplekken binnen een LAN en interne DNS-systemen).Overheden en instellingen uit de (semi-) publieke sector
    IFCUitwisseling van 3D-bouwinformatiemodellenVerplicht (pas toe of leg uit)Overheden en instellingen uit de (semi-) publieke sector
    DMARCAnti-phishingVerplicht (pas toe of leg uit)DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.Overheden en instellingen uit de publieke sector
    Thesaurus PolitiekundeBegrippen die gebruikt worden in het uitvoeren van politietaken.Politie, OOV
    MIMAanbevoleninformatiemodelleringPublieke sector
    Thesaurus Zorg en WelzijnMeer dan 50.000 termen op het gebied van zorg en welzijn, zowel vaktaal als de taal van de burger, voor metadatering in informatiesystemen zoals systemen voor cms of dms, voor verbetering van de prestaties van zoekmachines door het meenemen van synoniemen in de zoekvraag en voor vastlegging van de betekenissen. Met hiërarchische relaties, synoniemen, zie ook-relaties en definities. Bestrijkt onder meer gezondheidszorg (ook ziektetermen), gehandicaptenzorg, ouderenzorg, jeugdzorg, sociale zekerheid, onderwijs, welzijn.Zorg, Gezondheidszorg, Welzijn
    Geografische Thesaurus Zorg en WelzijnDe Geografische Thesaurus Zorg en Welzijn bevat de indeling van Nederland in provincies met alle bijbehorende gemeenten en de daarbij behorende plaatsen. De plaatsen zijn te koppelen aan de postcodetabel. Daarnaast bevat de Geografische TZW regionale indelingen zoals GGD-regio’s, veiligheidsregio’s, centrumgemeenten maatschappelijke opvang, AMK-regio’s, arrondissementen enz. Exports kunnen worden ingelezen in informatiesystemen waarin geografische informatie een rol speelt, zoals voor het aangeven van de werkingsgebieden van organisaties in sociale kaarten.Zorg, Gezondheidszorg, Welzijn, Geo
    XMLExtensible Markup Language (XML) is een standaard voor de syntaxis van formele markuptalen. Hiermee kunnen gestructureerde gegevens worden gerepresenteerd in de vorm van tekst, die zowel door mensen als machines leesbaar is. XML wordt gebruikt voor de ontwikkeling van domein- en toepassingsspecifieke markuptalen.AanbevolenWeb Services, beschrijving interfacessectoroverstijgend berichtenverkeer
    SUWI-aanpaksociale zekerheid

    Alleen standaarden van lijsten Forum Standaardisatie[bewerken]

    Pas toe of leg uit[bewerken]

    CSV-format NB: csv-downloads werken het beste met een Open Office - variant, MS Excel houdt geen rekening met regeleinden waardoor verspringingen optreden bij langere beschrijvingen.

    StandaardBeschrijvingLijst statusToepassingsgebiedWerkingsgebiedToepassing in project
    NL LOMIn deze afspraak staat beschreven welke metadata toegekend moeten worden aan educatieve content om de vindbaarheid en vergelijkbaarheid te vergroten. Metadata beschrijven de kenmerken van leerobjecten. Deze afspraak is gemaakt voor de sectoren primair onderwijs, voortgezet onderwijs, middelbaar beroepsonderwijs en hoger onderwijs.Verplicht (pas toe of leg uit)Metadatering van content die ontsloten wordt ten behoeve van educatieve doeleinden.Alle organisaties die content ontwikkelen, beschikbaar stellen, arrangeren en gebruiken voor educatieve doeleinden alsook leveranciers van applicaties ter ondersteuning van dit proces.
    NEN-ISO/IEC 27002ISO 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid.Verplicht (pas toe of leg uit)Richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie.Alle overheden
    StUFStUF is een universele berichtenstandaard voor het elektronisch uitwisselen van gegevens tussen applicaties. Het domein van de StUF-taal omvat informatieketens tussen overheidsorganisaties (basisregistraties en landelijke voorzieningen) en gemeentebrede informatieketens en -functionaliteit. StUF is beschreven in XML en gebaseerd op geaccepteerde internetstandaarden.Verplicht (pas toe of leg uit)
    • Uitwisseling en bevraging van basisgegevens die behoren tot een aantal wettelijk vastgestelde basisregistraties, zoals Personen (GBA), Adressen (BRA), Gebouwen (BGA), Kadaster (BRK), Nieuw Handelsregister (NHR) en Waarde Onroerende Zaken (WOZ);*uitwisseling en bevraging van zaakgegevens die behoren tot de producten- en dienstenportfolio van gemeenten;*uitwisseling van domein- of sectorspecifieke gegevens waarin ook basis- en/of zaakgegevens voorkomen en waarvoor geen andere (inter)nationale (XML-gebaseerde) berichtenstandaard is vastgesteld.
    Gemeenten en ketens waarbinnen gemeenten participeren.
    SPFSPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken. SPF biedt de mogelijkheid te controleren of een bericht aangeleverd wordt vanaf een server die daartoe gerechtigd is. Dit doet SPF door de authenticiteit van de domeinnaam in het afzenderadres van de ontvangen mail herleidbaar te maken via de in DNS gepubliceerde IP-adressen van de verzendende mailserver(s). Indien een mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geauthenticeerd beschouwd.Verplicht (pas toe of leg uit)Het controleren of een e-mailserver gerechtigd is om namens een domeinnaam e-mail te mogen verzendenHet organisatorisch werkingsgebied voor beide standaarden: overheden (Rijk, provincies, gemeenten en waterschappen) en overige instellingen uit de publieke sector
    Digitoegankelijk (EN 301 549 met WCAG 2.1)De wettelijke afspraak om websites en mobiele apps toegankelijk te maken voor mensen met een functiebeperking (zoals dyslectici, kleurenblinden, slechtzienden en blinden), door de standaard EN 301 549 (WAGC 2.1) toe te passen en daar een toegankelijkheidsverklaring over te publiceren.Verplicht (pas toe of leg uit)Digitoegankelijk (EN 301 549 met WCAG 2.1) moet worden toegepast op het aanbieden van webgebaseerde informatie-, interactie-, transactie- en participatiediensten. De verplichting geldt ook voor mobiele applicatiesNederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    HTTPS en HSTSHTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn. De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.Verplicht (pas toe of leg uit)HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    NLCSTekenstandaard voor grond-, weg- en waterbouwVerplicht (pas toe of leg uit)NLCS moet worden toegepast bij het opstellen van 2D-tekeningen die worden gemaakt in de grond-, weg-, en waterbouwsector (GWW-sector), met als doel het verhogen van de eenheid in het CAD-tekenwerk en de uitwisselbaarheid van tekeningen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    OpenAPI SpecificationPublicatie van REST APIsVerplicht (pas toe of leg uit)OAS moet worden toegepast op het beschrijven/specificeren van een REST API.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    STARTTLS en DANESTARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

    Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.

    STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.

    DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.

    Volledige namen:

    "SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
    Verplicht (pas toe of leg uit)Inkomende mailservers passen STARTTLS (SMTP over STARTTLS, oftewel ESMTPS) in combinatie met DANE toe, zodat verzendende mailservers daarmee een versleutelde verbinding over een onvertrouwd netwerk (zoals internet) kunnen opzetten. Dit voorkomt dat aanvallers het mailverkeer kunnen afluisteren (passieve aanvallers) en/of kunnen manipuleren (actieve aanvallers). Dit functioneel toepassingsgebied geldt voor alle mailverbindingen buiten de (interne) infrastructuur die onder eigen beheer valt.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
    DigikoppelingDigikoppeling bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties.

    Digikoppeling onderkent twee hoofdvormen van berichtenverkeer:

    • Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden.
    • Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden.

    Aan versie 2.0 van Digikoppeling is o.a. de specifiactie voor grote berichten toegevoegd, de mogelijkheid om attachments toe te voegen en om security op berichtniveau toe te passen. Digikoppeling versie 2 en later zijn backward compatible met versie 1.

    In 2018 is besloten om geen versienummering meer te gebruiken voor Digikoppeling. De meest actuele versie is nu altijd de verzameling van gepubliceerde documenten. Zo is in 2018 de DK Architectuur naar versie 1.5.1 gegaan terwijl de Koppelvlakstandaard WUS op 3.5 is gebleven.
    Verplicht (pas toe of leg uit)Geautomatiseerde gegevensuitwisseling tussen informatiesystemen voor sectoroverstijgend berichtenverkeer, op basis van drie koppelvlakstandaarden: DK ebMS standaard voor meldingen tussen informatiesystemen DK WUS standaard voor de bevraging van informatiesystemen DK GB standaard voor de uitwisseling van grote berichtenOverheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector. Het werkingsgebied van de standaard is bedoeld voor intersectoraal verkeer en verkeer met basisregistraties en kent geen verplichting binnen sectoren. Het Forum is wel van mening, dat gebruik binnen sectoren ook aanbevelenswaardig is en roept de beheerder van de standaard dan ook op dit gebruik te promoten.
    SKOSSKOS is een uitwisselbaar gegevensmodel voor het delen en linken van systemen voor kennisrepresentatie via het Web. Veel systemen voor kennisrepresentatie zijn gegrondvest op eenzelfde conceptueel kader. Voorbeelden zijn thesauri, taxonomieën, begrippenwoordenboeken, classificatieschema’s en systemen voor trefwoordtoekenning. Ze worden vaak gebruikt in vergelijkbare applicaties. SKOS maakt de overeenkomstige structuurelementen expliciet volgens een generieke standaard. Doordat SKOS voortbouwt op de standaarden RDF, RDFS en OWL (zie hierboven) zijn de kennisrepresentaties bruikbaar voor computerprogramma’s (“machine readable”) en kunnen deze uitgewisseld worden tussen applicaties en gepubliceerd worden op het Web.Verplicht (pas toe of leg uit)Het in een gestructureerde vorm op het Web publiek beschikbaar stellen van een ‘niet geformaliseerd’ Knowledge Organization System (KOS), met als doel kennis over de betekenissen en samenhang van de onderliggende begrippen te ordenen en toegankelijk te makenOverheden (Rijk, provincies, gemeenten en waterschappen) en overige instellingen uit de publieke sector
    GWSWHet GWSW is een ontologie, een speciale datastructuur die assets, systemen en (beheer)processen op het gebied van stedelijk waterbeheer beschrijft. Het is een open datastandaard volgens het linked data principe. Het GWSW is onderdeel van het Semantisch Web en is gemodelleerd in RDF/RDFS/OWL-2.Verplicht (pas toe of leg uit)Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    NLCIUSElectronische facturenVerplicht (pas toe of leg uit)NLCIUS moet worden toegepast op de verzending van elektronische facturen door organisaties die deelnemen aan het economisch verkeer in Nederland (waaronder overheden) welke zijn bestemd voor Nederlandse overheden en instellingen uit de (semi-)publieke sector en de ontvangst hiervan door deze overheden en instellingen.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    RPKIResource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken.Verplicht (pas toe of leg uit)Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    SAMLFederatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.Verplicht (pas toe of leg uit)
    Archief
    Federatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.Overheden en instellingen uit de (semi) publieke sector
    IPv6 en IPv4Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals internet, mogelijk. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IP-adres) heeft. De belangrijkste motivatie voor de ontwikkeling van IPv6 was het vergroten van de hoeveelheid beschikbare adressen ten opzichte van de tegenwoordig gangbare voorganger IPv4.Verplicht (pas toe of leg uit)Communicatie op netwerkniveau over organisatiegrenzen heen tussen organisaties, individuele eindgebruikers, apparaten, diensten en sensorenOverheden en instellingen uit de (semi) publieke sector
    OWMSOWMS is een semantische standaard voor metadata, de eigenschappen om informatieobjecten mee te beschrijven. Het voorschrijven van een semantische standaard voor metadata verhoogt de vindbaarheid en de samenhang van informatie die door overheidsorganisaties wordt aangeboden op internet.Verplicht (pas toe of leg uit)
    Archief
    Metadateren van publieke overheidsinformatie op internetOverheden en instellingen uit de (semi) publieke sector
    IFCUitwisseling van 3D-bouwinformatiemodellenVerplicht (pas toe of leg uit)Overheden en instellingen uit de (semi-) publieke sector
    E-Portfolio NLNTA 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Hiermee kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties.Verplicht (pas toe of leg uit)Het uitwisselen van informatie over de ontwikkelingsvoortgang van een individu, die het individu als levenslang lerende zelf beheert, tussen organisaties in de leerketen waar het individu leert en werkt.Overheden en instellingen uit de (semi-) publieke sector
    SETUDe SETU-standaard is de Nederlandse implementatie van de internationale HR-XML standaard en is ontwikkeld door de grote uitzendorganisaties. Door toepassing van de SETU standaard ontstaat uniformering van het elektronisch berichtenverkeer tussen aanbieders en afnemers (inleners) van tijdelijk personeel (flexibele arbeid). Dit leidt tot vereenvoudiging van het inhuurproces.Verplicht (pas toe of leg uit)De elektronische berichtenuitwisseling rondom de bemiddeling/inhuur van flexibele arbeidskrachtenOverheden en instellingen uit de (semi-) publieke sector
    TLSTLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.Verplicht (pas toe of leg uit)Het met behulp van certificaten beveiligen van de verbinding (op de transportlaag) tussen client- en serversystemen of tussen serversystemen onderling, voor zover deze gerealiseerd wordt met internettechnologie.Overheden en instellingen uit de (semi-) publieke sector
    DNSSECDNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op. DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.Verplicht (pas toe of leg uit)Het registreren en in DNS publiceren van internet-domeinnamen (‘signing’). De registratieverplichting geldt enkel indien 'signed domain names' bij een registerhouder van een top-level domein (zoals SIDN voor .NL) geautomatiseerd aangevraagd kunnen worden; Het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’). Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients/werkplekken binnen een LAN en interne DNS-systemen).Overheden en instellingen uit de (semi-) publieke sector
    ODFStandaard voor tekstdocumenten, (vector-)tekeningen, presentaties en rekenbladen (spreadsheets).Verplicht (pas toe of leg uit)Uitwisseling van reviseerbare documentenOverheden en instellingen uit de (semi-) publieke sector
    DMARCAnti-phishingVerplicht (pas toe of leg uit)DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.Overheden en instellingen uit de publieke sector

    Aanbevolen[bewerken]

    CSV-format NB: csv-downloads werken het beste met een Open Office - variant, MS Excel houdt geen rekening met regeleinden waardoor verspringingen optreden bij langere beschrijvingen.

    StandaardBeschrijvingLijst statusToepassingsgebiedWerkingsgebiedToepassing in project
    NL LOMIn deze afspraak staat beschreven welke metadata toegekend moeten worden aan educatieve content om de vindbaarheid en vergelijkbaarheid te vergroten. Metadata beschrijven de kenmerken van leerobjecten. Deze afspraak is gemaakt voor de sectoren primair onderwijs, voortgezet onderwijs, middelbaar beroepsonderwijs en hoger onderwijs.Verplicht (pas toe of leg uit)Metadatering van content die ontsloten wordt ten behoeve van educatieve doeleinden.Alle organisaties die content ontwikkelen, beschikbaar stellen, arrangeren en gebruiken voor educatieve doeleinden alsook leveranciers van applicaties ter ondersteuning van dit proces.
    NEN-ISO/IEC 27002ISO 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. ISO 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid.Verplicht (pas toe of leg uit)Richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie.Alle overheden
    StUFStUF is een universele berichtenstandaard voor het elektronisch uitwisselen van gegevens tussen applicaties. Het domein van de StUF-taal omvat informatieketens tussen overheidsorganisaties (basisregistraties en landelijke voorzieningen) en gemeentebrede informatieketens en -functionaliteit. StUF is beschreven in XML en gebaseerd op geaccepteerde internetstandaarden.Verplicht (pas toe of leg uit)
    • Uitwisseling en bevraging van basisgegevens die behoren tot een aantal wettelijk vastgestelde basisregistraties, zoals Personen (GBA), Adressen (BRA), Gebouwen (BGA), Kadaster (BRK), Nieuw Handelsregister (NHR) en Waarde Onroerende Zaken (WOZ);*uitwisseling en bevraging van zaakgegevens die behoren tot de producten- en dienstenportfolio van gemeenten;*uitwisseling van domein- of sectorspecifieke gegevens waarin ook basis- en/of zaakgegevens voorkomen en waarvoor geen andere (inter)nationale (XML-gebaseerde) berichtenstandaard is vastgesteld.
    Gemeenten en ketens waarbinnen gemeenten participeren.
    SPFSPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken. SPF biedt de mogelijkheid te controleren of een bericht aangeleverd wordt vanaf een server die daartoe gerechtigd is. Dit doet SPF door de authenticiteit van de domeinnaam in het afzenderadres van de ontvangen mail herleidbaar te maken via de in DNS gepubliceerde IP-adressen van de verzendende mailserver(s). Indien een mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geauthenticeerd beschouwd.Verplicht (pas toe of leg uit)Het controleren of een e-mailserver gerechtigd is om namens een domeinnaam e-mail te mogen verzendenHet organisatorisch werkingsgebied voor beide standaarden: overheden (Rijk, provincies, gemeenten en waterschappen) en overige instellingen uit de publieke sector
    Digitoegankelijk (EN 301 549 met WCAG 2.1)De wettelijke afspraak om websites en mobiele apps toegankelijk te maken voor mensen met een functiebeperking (zoals dyslectici, kleurenblinden, slechtzienden en blinden), door de standaard EN 301 549 (WAGC 2.1) toe te passen en daar een toegankelijkheidsverklaring over te publiceren.Verplicht (pas toe of leg uit)Digitoegankelijk (EN 301 549 met WCAG 2.1) moet worden toegepast op het aanbieden van webgebaseerde informatie-, interactie-, transactie- en participatiediensten. De verplichting geldt ook voor mobiele applicatiesNederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    HTTPS en HSTSHTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn. De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.Verplicht (pas toe of leg uit)HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    NLCSTekenstandaard voor grond-, weg- en waterbouwVerplicht (pas toe of leg uit)NLCS moet worden toegepast bij het opstellen van 2D-tekeningen die worden gemaakt in de grond-, weg-, en waterbouwsector (GWW-sector), met als doel het verhogen van de eenheid in het CAD-tekenwerk en de uitwisselbaarheid van tekeningen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    OpenAPI SpecificationPublicatie van REST APIsVerplicht (pas toe of leg uit)OAS moet worden toegepast op het beschrijven/specificeren van een REST API.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
    STARTTLS en DANESTARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

    Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.

    STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.

    DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.

    Volledige namen:

    "SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
    Verplicht (pas toe of leg uit)Inkomende mailservers passen STARTTLS (SMTP over STARTTLS, oftewel ESMTPS) in combinatie met DANE toe, zodat verzendende mailservers daarmee een versleutelde verbinding over een onvertrouwd netwerk (zoals internet) kunnen opzetten. Dit voorkomt dat aanvallers het mailverkeer kunnen afluisteren (passieve aanvallers) en/of kunnen manipuleren (actieve aanvallers). Dit functioneel toepassingsgebied geldt voor alle mailverbindingen buiten de (interne) infrastructuur die onder eigen beheer valt.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
    DigikoppelingDigikoppeling bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties.

    Digikoppeling onderkent twee hoofdvormen van berichtenverkeer:

    • Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden.
    • Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden.

    Aan versie 2.0 van Digikoppeling is o.a. de specifiactie voor grote berichten toegevoegd, de mogelijkheid om attachments toe te voegen en om security op berichtniveau toe te passen. Digikoppeling versie 2 en later zijn backward compatible met versie 1.

    In 2018 is besloten om geen versienummering meer te gebruiken voor Digikoppeling. De meest actuele versie is nu altijd de verzameling van gepubliceerde documenten. Zo is in 2018 de DK Architectuur naar versie 1.5.1 gegaan terwijl de Koppelvlakstandaard WUS op 3.5 is gebleven.
    Verplicht (pas toe of leg uit)Geautomatiseerde gegevensuitwisseling tussen informatiesystemen voor sectoroverstijgend berichtenverkeer, op basis van drie koppelvlakstandaarden: DK ebMS standaard voor meldingen tussen informatiesystemen DK WUS standaard voor de bevraging van informatiesystemen DK GB standaard voor de uitwisseling van grote berichtenOverheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector. Het werkingsgebied van de standaard is bedoeld voor intersectoraal verkeer en verkeer met basisregistraties en kent geen verplichting binnen sectoren. Het Forum is wel van mening, dat gebruik binnen sectoren ook aanbevelenswaardig is en roept de beheerder van de standaard dan ook op dit gebruik te promoten.
    SKOSSKOS is een uitwisselbaar gegevensmodel voor het delen en linken van systemen voor kennisrepresentatie via het Web. Veel systemen voor kennisrepresentatie zijn gegrondvest op eenzelfde conceptueel kader. Voorbeelden zijn thesauri, taxonomieën, begrippenwoordenboeken, classificatieschema’s en systemen voor trefwoordtoekenning. Ze worden vaak gebruikt in vergelijkbare applicaties. SKOS maakt de overeenkomstige structuurelementen expliciet volgens een generieke standaard. Doordat SKOS voortbouwt op de standaarden RDF, RDFS en OWL (zie hierboven) zijn de kennisrepresentaties bruikbaar voor computerprogramma’s (“machine readable”) en kunnen deze uitgewisseld worden tussen applicaties en gepubliceerd worden op het Web.Verplicht (pas toe of leg uit)Het in een gestructureerde vorm op het Web publiek beschikbaar stellen van een ‘niet geformaliseerd’ Knowledge Organization System (KOS), met als doel kennis over de betekenissen en samenhang van de onderliggende begrippen te ordenen en toegankelijk te makenOverheden (Rijk, provincies, gemeenten en waterschappen) en overige instellingen uit de publieke sector
    GWSWHet GWSW is een ontologie, een speciale datastructuur die assets, systemen en (beheer)processen op het gebied van stedelijk waterbeheer beschrijft. Het is een open datastandaard volgens het linked data principe. Het GWSW is onderdeel van het Semantisch Web en is gemodelleerd in RDF/RDFS/OWL-2.Verplicht (pas toe of leg uit)Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    NLCIUSElectronische facturenVerplicht (pas toe of leg uit)NLCIUS moet worden toegepast op de verzending van elektronische facturen door organisaties die deelnemen aan het economisch verkeer in Nederland (waaronder overheden) welke zijn bestemd voor Nederlandse overheden en instellingen uit de (semi-)publieke sector en de ontvangst hiervan door deze overheden en instellingen.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    RPKIResource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken.Verplicht (pas toe of leg uit)Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.
    OWMSOWMS is een semantische standaard voor metadata, de eigenschappen om informatieobjecten mee te beschrijven. Het voorschrijven van een semantische standaard voor metadata verhoogt de vindbaarheid en de samenhang van informatie die door overheidsorganisaties wordt aangeboden op internet.Verplicht (pas toe of leg uit)
    Archief
    Metadateren van publieke overheidsinformatie op internetOverheden en instellingen uit de (semi) publieke sector
    SAMLFederatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.Verplicht (pas toe of leg uit)
    Archief
    Federatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.Overheden en instellingen uit de (semi) publieke sector
    IPv6 en IPv4Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals internet, mogelijk. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IP-adres) heeft. De belangrijkste motivatie voor de ontwikkeling van IPv6 was het vergroten van de hoeveelheid beschikbare adressen ten opzichte van de tegenwoordig gangbare voorganger IPv4.Verplicht (pas toe of leg uit)Communicatie op netwerkniveau over organisatiegrenzen heen tussen organisaties, individuele eindgebruikers, apparaten, diensten en sensorenOverheden en instellingen uit de (semi) publieke sector
    IFCUitwisseling van 3D-bouwinformatiemodellenVerplicht (pas toe of leg uit)Overheden en instellingen uit de (semi-) publieke sector
    E-Portfolio NLNTA 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Hiermee kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties.Verplicht (pas toe of leg uit)Het uitwisselen van informatie over de ontwikkelingsvoortgang van een individu, die het individu als levenslang lerende zelf beheert, tussen organisaties in de leerketen waar het individu leert en werkt.Overheden en instellingen uit de (semi-) publieke sector
    SETUDe SETU-standaard is de Nederlandse implementatie van de internationale HR-XML standaard en is ontwikkeld door de grote uitzendorganisaties. Door toepassing van de SETU standaard ontstaat uniformering van het elektronisch berichtenverkeer tussen aanbieders en afnemers (inleners) van tijdelijk personeel (flexibele arbeid). Dit leidt tot vereenvoudiging van het inhuurproces.Verplicht (pas toe of leg uit)De elektronische berichtenuitwisseling rondom de bemiddeling/inhuur van flexibele arbeidskrachtenOverheden en instellingen uit de (semi-) publieke sector
    TLSTLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.Verplicht (pas toe of leg uit)Het met behulp van certificaten beveiligen van de verbinding (op de transportlaag) tussen client- en serversystemen of tussen serversystemen onderling, voor zover deze gerealiseerd wordt met internettechnologie.Overheden en instellingen uit de (semi-) publieke sector
    DNSSECDNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op. DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.Verplicht (pas toe of leg uit)Het registreren en in DNS publiceren van internet-domeinnamen (‘signing’). De registratieverplichting geldt enkel indien 'signed domain names' bij een registerhouder van een top-level domein (zoals SIDN voor .NL) geautomatiseerd aangevraagd kunnen worden; Het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’). Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients/werkplekken binnen een LAN en interne DNS-systemen).Overheden en instellingen uit de (semi-) publieke sector
    ODFStandaard voor tekstdocumenten, (vector-)tekeningen, presentaties en rekenbladen (spreadsheets).Verplicht (pas toe of leg uit)Uitwisseling van reviseerbare documentenOverheden en instellingen uit de (semi-) publieke sector
    DMARCAnti-phishingVerplicht (pas toe of leg uit)DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.Overheden en instellingen uit de publieke sector