Werkruimte:Alle normen
Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.
Normen zijn acties die nodig zijn om Privacyprincipes of Beveiligingsprincipes te realiseren. Normen komen voort uit de pdf-versies van de BIO Thema-uitwerkingen (Alle normenkaders) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken ook onderdeel uit van de Information Security Object Repository (ISOR).
Normen en de bovenliggende de privacy- en beveiligingsprincipes uit deze normenkaders worden doorontwikkeld in samenhang met de NORA NORA Verbindende Architectuurafspraken en de thema's Beveiliging en Privacy.
Alle normen in de NORAbewerken
In de onderstaande tabel zijn alle normen uit de NORA bijeengebracht. De tekst in de kolommen is te sorteren via kolomtitels. De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen.
| ID | Stelling | Realiseert | Norm |
|---|---|---|---|
| APO_B.01.01 | In het beleid voor beveiligd ontwikkelen zijn onder meer opgenomen:
| Beleid voor (beveiligd) ontwikkelen | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
| APO_B.01.02 | Bij uitbesteding van ontwikkelactiviteiten wordt gewaarborgd dat de leverancier voldoet aan de vastgestelde regels voor beveiligd ontwikkelen. | Beleid voor (beveiligd) ontwikkelen | Grip op Secure Software Development als uitgangspunt voor softwareontwikkeling |
| APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Overwegingen bij het beleid voor beveiligd ontwikkelen van software | |
| APO_B.01.04 | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Technieken voor beveiligd programmeren | |
| APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast. | Systeem-ontwikkelmethode | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
| APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem-ontwikkelmethode | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
| APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem-ontwikkelmethode | Adoptie van ontwikkelmethodologie wordt gemonitord |
| APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Systeem-ontwikkelmethode | Software wordt ontwikkelen conform standaarden en procedures |
| APO_B.02.05 | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| Systeem-ontwikkelmethode | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
| APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Systeem-ontwikkelmethode | Het softwareontwikkeling wordt projectmatig aangepakt |
| APO_B.03.01 | In het beleid voor informatieclassificatie zijn onder meer opgenomen:
| Classificatie van informatie | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
| APO_B.03.02 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy). | Classificatie van informatie | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
| APO_B.03.03 | Informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd. Hierbij wordt gebruik gemaakt van een vastgestelde impact- en classificatiemethodiek, die onderdeel is van de vastgestelde risicomanagementmethodiek. | Classificatie van informatie | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
| APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements | |
| APO_B.04.01 | Architectuurprincipes zoals ‘security by design’ en ‘security by default’ voor het ontwerpen van beveiliging van informatiesystemen worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten over het ontwikkelen van informatiesystemen. | Veilige systeemarchitectuur en technische uitgangspunten | Security by Design als uitgangspunt voor softwareontwikkeling |
| APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Veilige systeemarchitectuur en technische uitgangspunten | Principes voor het beveiligen van informatiesystemen |
| APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Veilige systeemarchitectuur en technische uitgangspunten | Beveiliging is integraal onderdeel van systeemontwikkeling |
| APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Veilige systeemarchitectuur en technische uitgangspunten | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
| APO_B.05.01 | Interne maatregelen voor systeemontwikkeling zijn onverkort van toepassing op uitbestede ontwikkeling, aangevuld met maatregelen die volgen vanuit uitbestedingen. | Uitbestede systeemontwikkeling | Perspectieven bij de Business Impact Analyse |
| APO_B.05.02 | Bij uitbesteding van systeemontwikkeling worden de eisen en verwachtingen gecommuniceerd en overeengekomen. Het uitbestede werk wordt voortdurend gemonitord en beoordeeld om te waarborgen dat aan de verwachtingen wordt voldaan. | Uitbestede systeemontwikkeling | Scenario's voor de Business Impact Analyse |
| APO_B.05.03 | Voor de gehele externe toeleveringsketen worden de volgende punten overwogen:
| Uitbestede systeemontwikkeling | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
| APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
| APO_B.06.02 | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
| APO_B.06.03 | Een tot standaard verheven PIA-toetsmodel wordt toegepast. Dit model voldoet aan de in de AVG gestelde eisen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | PIA-toetsmodel conform AVG-eisen |
| APO_B.06.03 | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling (ISOR:Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)) | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
| APO_B.06.04 | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
| APO_B.06.05 | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Risicomanagement aanpak aantoonbaar toegepast |
| APO_B.06.06 | Volgens de AVG worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
| APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Kwaliteitsmanagementsysteem | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
| APO_B.07.02 | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | Kwaliteitsmanagementsysteem | De doelorganisatie beschikt over QA- en KMS-methodiek |
| APO_B.07.03 | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagementsysteem | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
| APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagementsysteem | Voor informatie- en communicatie zijn processen ingericht |
| APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Kwaliteitsmanagementsysteem | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
| APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt. | Kwaliteitsmanagementsysteem | Aan het management worden evaluatierapportages verstrekt |
| APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Kwaliteitsmanagementsysteem | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS |
| APO_B.08.01 | In het beleid voor beveiligd ontwikkelen is opgenomen dat toegang tot broncode, gerelateerde documenten (zoals ontwerpen, specificaties, verificatie- en validatieplannen) en ontwikkelinstrumenten (zoals compilers, builders, integratie-instrumenten en testomgevingen) streng wordt beheerst op basis van bedrijfsbehoeften en rollen, waarbij leestoegang breder kan worden verleend dan schrijftoegang, en schrijftoegang wordt voorbehouden aan aangewezen personeel. | Toegangsbeveiliging op programmacode | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
| APO_B.08.02 | Bij het beheer van broncode, ontwikkelinstrumenten en softwarebibliotheken worden de volgende richtlijnen in overweging genomen:
| Toegangsbeveiliging op programmacode | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
| APO_B.09.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Projectorganisatie | Taken van de beveiligingsfunctionaris |
| APO_B.09.02 | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Projectorganisatie | Inzicht gegeven door de beveiligingsfunctionaris |
| APO_B.09.03 | Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd. | Gestructureerde en geautomatiseerde acceptatietesten binnen systeemontwikkeling. | |
| APO_C.01.01 | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software. | Richtlijn evaluatie-ontwikkelactiviteiten | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
| APO_C.01.02 | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode. | Richtlijn evaluatie-ontwikkelactiviteiten | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
| APO_C.01.03 | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten. | Richtlijn evaluatie-ontwikkelactiviteiten | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
| APO_C.01.04 | De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijn evaluatie-ontwikkelactiviteiten | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen |
| APO_C.01.05 | De quality assurance-methodiek wordt conform de richtlijnen nageleefd. | Richtlijn evaluatie-ontwikkelactiviteiten | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
| APO_C.01.06 | De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Richtlijn evaluatie-ontwikkelactiviteiten | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
| APO_C.01.07 | Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Richtlijn evaluatie-ontwikkelactiviteiten | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
| APO_C.02.01 | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versiebeheer applicatieontwikkkeling | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris |
| APO_C.02.02 | In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd. | Versiebeheer applicatieontwikkkeling | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
| APO_C.02.03 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiebeheer applicatieontwikkkeling | Versiemanagement wordt ondersteund met procedures en werkinstructies |
| APO_C.02.04 | Een versiebeheertool wordt toegepast die onder andere:
| Versiebeheer applicatieontwikkkeling | Ondersteuning vanuit het toegepaste versiebeheertool |
| APO_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
| APO_C.03.02 | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement. | Patchmanagement | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
| APO_C.03.03 | Het al dan niet uitvoeren van patches voor programmacode is geregistreerd. | Patchmanagement | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
| APO_C.03.04 | Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
| APO_C.03.05 | Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Patchmanagement | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes |
| APO_C.03.06 | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd. | Patchmanagement | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
| APO_C.04.01 | Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd. | (Software)configuratiebeheer | Software configuratiescomponenten worden conform procedures vastgelegd |
| APO_C.04.02 | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | (Software)configuratiebeheer | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
| APO_C.04.03 | Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB). | (Software)configuratiebeheer | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB |
| APO_C.05.01 | De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek. | Quality assurance | Het compliance management proces is gedocumenteerd en vastgesteld |
| APO_C.05.02 | Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
| Quality assurance | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
| APO_C.05.03 | De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
| APO_C.05.04 | Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd. | Quality assurance | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
| APO_C.06.01 | Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management. | Compliance-management | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
| APO_C.06.02 | Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance-management | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
| APO_C.07.01 | Bij verandering van besturingssystemen wordt onder andere het volgende getest:
| Technische beoordeling informatiesystemen | Testen bij verandering van besturingssystemen |
| APO_C.07.01 | De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd. | Beheersorganisatie applicatieontwikkeling | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd |
| APO_C.07.02 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie applicatieontwikkeling | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
| APO_C.07.03 | De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie applicatieontwikkeling | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
| APO_C.07.04 | De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie applicatieontwikkeling | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven |
| APO_U.01.01 | Wijzigingsbeheer vindt plaats op basis van een algemeen geaccepteerd beheerraamwerk. | Wijzigingsbeheerprocedure voor applicaties en systemen | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
| APO_U.01.02 | In het wijzigingsbeheerproces is minimaal aandacht besteed aan:
| Wijzigingsbeheerprocedure voor applicaties en systemen | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
| APO_U.01.03 | De procedure voor wijzigingsbeheer omvat onder meer:
| Wijzigingsbeheerprocedure voor applicaties en systemen | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
| APO_U.01.04 | Enkele elementen van procedures voor wijzigingsbeheer zijn:
| Elementen van de procedures voor wijzigingsbeheer | |
| APO_U.02.01 | De procedures en maatregelen voor het installeren van software op operationele systemen omvatten onder meer:
| Beperking software-installatie applicatieontwikkeling | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
| APO_U.02.02 | Het risico van installatie door gebruikers van niet-geautoriseerde software moet worden beheerst. | Beperking software-installatie applicatieontwikkeling | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
| APO_U.02.03 | De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars. | De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars | |
| APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Richtlijn programmacode | De programmacode voor functionele specificaties is reproduceerbaar |
| APO_U.03.02 | De (programma)code wordt aantoonbaar veilig gecreëerd. | Richtlijn programmacode | Programmacode wordt aantoonbaar veilig gecreëerd |
| APO_U.03.03 | De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Richtlijn programmacode | Programmacode is effectief, veranderbaar en testbaar |
| APO_U.03.04 | Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt. | Richtlijn programmacode | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt |
| APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. | Richtlijn programmacode | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
| APO_U.03.06 | Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem. | Richtlijn programmacode | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
| APO_U.03.07 | Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn. | Richtlijn programmacode | Gebruik van programmacode uit externe programmabibliotheken |
| APO_U.04.01 | De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp. | Analyse en specificatie informatiesysteem | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd |
| APO_U.04.02 | Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden. | Analyse en specificatie informatiesysteem | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
| APO_U.04.03 | Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris. | Analyse en specificatie informatiesysteem | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
| APO_U.04.04 | Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode). | Analyse en specificatie informatiesysteem | Alle vereisten worden gevalideerd door peer review of prototyping |
| APO_U.04.05 | Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd. | Analyse en specificatie informatiesysteem | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
| APO_U.05.01 | Informatiebeveiliging is een integraal onderdeel van projectmanagement bij alle projecten (ongeacht complexiteit, omvang of discipline) en omvat onder meer:
| Informatiebeveiliging in projectmangement | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
| APO_U.05.02 | Bij alle projecten worden informatiebeveiligingseisen vastgesteld, waarbij wordt gehouden met:
| Informatiebeveiliging in projectmangement | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
| APO_U.05.03 | Bij nieuwe informatiesystemen en bij significante wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging op basis van de door de organisatie vastgestelde risicomanagementmethodiek worden uitgevoerd, om risico's te identificeren en in voldoende mate te beheersen en ook voor het vaststellen van de beveiligingseisen. | Informatiebeveiliging in projectmangement | Informatiebeveiligingseisen |
| APO_U.05.04 | Voor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
| Overwogen informatiebeveiligingseisen | |
| APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Applicatie-ontwerp | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
| APO_U.06.02 | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
| Applicatie-ontwerp | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
| APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit. | Applicatie-ontwerp | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
| APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Applicatiefunctionaliteit | Bereikcontroles worden toegepast en gegevens worden gevalideerd |
| APO_U.07.02 | Geprogrammeerde controles worden ondersteund. | Applicatiefunctionaliteit | Geprogrammeerde controles worden ondersteund |
| APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Applicatiefunctionaliteit | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
| APO_U.07.04 | Voorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar. | Applicatiefunctionaliteit | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
| APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail). | Applicatiefunctionaliteit | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
| APO_U.07.06 | Opgeleverde/over te dragen gegevens worden gevalideerd. | Applicatiefunctionaliteit | Opgeleverde en over te dragen gegevens worden gevalideerd |
| APO_U.07.07 | De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd. | Applicatiefunctionaliteit | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens |
| APO_U.07.08 | Met vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Applicatiefunctionaliteit | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
| APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid. | Applicatiefunctionaliteit | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
| APO_U.08.01 | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Applicatiebouw | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
| APO_U.08.02 | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages. | Applicatiebouw | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
| APO_U.08.03 | Voor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering). | Applicatiebouw | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
| APO_U.08.04 | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Applicatiebouw | Geen gebruik van onveilig programmatechnieken |
| APO_U.08.05 | De programmacode is beschermd tegen ongeautoriseerde wijzigingen. | Applicatiebouw | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
| APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd. | Applicatiebouw | Activiteiten van applicatiebouw worden gereviewd |
| APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Applicatiebouw | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
| APO_U.09.01 | Het testen van de beveiliging wordt uitgevoerd op basis van een verzameling van functionele en niet-functionele eisen en omvat onder meer:
| Systeemacceptatietest | Functionarissen testen functionele requirements |
| APO_U.09.02 | Testplannen worden vastgesteld en staan in verhouding tot het belang, de aard en mogelijke impact van de verandering. Het testplan omvat onder meer:
| Systeemacceptatietest | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
| APO_U.09.03 | Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd. | Systeemacceptatietest | Gestandaardiseerde en geautomatiseerde acceptatietesten binnen systeemontwikkeling. |
| APO_U.09.04 | Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
| Systeemacceptatietest | Validatie van functionele, procesmatige en beveiligingseisen binnen acceptatietesten |
| APO_U.09.05 | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Systeemacceptatietest | Formele beoordeling en goedkeuring van testresultaten voor faseovergang |
| APO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd. | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt | |
| APO_U.10.01 | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
| Beschermen testgegevens | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
| APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt. | Van de resultaten van de testen wordt een verslag gemaakt | |
| APO_U.10.03 | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Testresultaten worden formeel geëvalueerd en beoordeeld | |
| APO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving | |
| APO_U.10.05 | Voordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang | |
| APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens | |
| APO_U.10.07 | Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
| Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken | |
| APO_U.11.01 | Het scheidingsniveau tussen de ontwikkel-, test- en productieomgevingen is geïdentificeerd en geïmplementeerd, waarbij rekening is gehouden met de volgende aspecten:
| Scheiding van ontwikkel-, test- en productieomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
| APO_U.11.02 | In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken. | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen | |
| APO_U.11.02 | In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken. | Beleid voor testrestricties in productieomgevingen en uitzonderingsprocedure. | |
| APO_U.11.02 | In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken. | Scheiding van ontwikkel-, test- en productieomgevingen | Verbod op testen in de productieomgeving tenzij goedgekeurd door de proceseigenaar |
| APO_U.11.03 | Significante wijzigingen in de productieomgeving worden altijd getest voordat zij in productie gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken. | Scheiding van ontwikkel-, test- en productieomgevingen | Verplicht testen van significante wijzigingen in de productieomgeving voorafgaand aan productie |
| APO_U.11.04 | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd volgens onderkende rollen. | Scheiding van ontwikkel-, test- en productieomgevingen | Vastlegging van taken, verantwoordelijkheden en bevoegdheden per rol in ontwikkel-, test-, acceptatie- en productieomgevingen |
| APO_U.11.05 | Voor remote-werkzaamheden is een werkwijze vastgelegd. | Scheiding van ontwikkel-, test- en productieomgevingen | Vastgelegde werkwijze voor remote-werkzaamheden |
| APO_U.11.06 | Ontwikkelaars hebben geen toegang tot de productieomgeving. | Scheiding van ontwikkel-, test- en productieomgevingen | Ontwikkelaars hebben geen toegang tot de productieomgeving |
| APO_U.11.07 | Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures. | Scheiding van ontwikkel-, test- en productieomgevingen | Overdrachtsprocedures voor kopiëren en verplaatsen van configuratie-items tussen omgevingen |
| APO_U.11.08 | De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan. | Scheiding van ontwikkel-, test- en productieomgevingen | Gecontroleerde overdracht van ontwikkel- naar testomgeving via een implementatieplan |
| APO_U.11.09 | De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Scheiding van ontwikkel-, test- en productieomgevingen | De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
| APO_U.11.10 | De overdracht naar de productie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Scheiding van ontwikkel-, test- en productieomgevingen | Geautoriseerde en procedurele overdracht naar de productieomgeving |
| APO_U.12.01 | Koppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen. | Applicatiekoppeling | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
| APO_U.12.02 | Van het type koppelingen is een overzicht aanwezig. | Applicatiekoppeling | Van het type koppelingen is een overzicht aanwezig |
| APO_U.12.03 | Koppelingen worden uitgevoerd via geautoriseerde opdrachten. | Applicatiekoppeling | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
| APO_U.12.04 | De uitgevoerde koppelingen worden geregistreerd. | Applicatiekoppeling | De uitgevoerde koppelingen worden geregistreerd |
| APO_U.13.01 | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd. | Logging en monitoring | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
| APO_U.13.02 | Informatie over autorisatie(s) wordt vastgelegd. | Logging en monitoring | Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
| APO_U.13.03 | De loggegevens zijn beveiligd. | Logging en monitoring | De loggegevens zijn beveiligd |
| APO_U.13.04 | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging en monitoring | De locatie van de vastlegging van de loggegevens is vastgesteld |
| APO_U.13.05 | De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Logging en monitoring | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
| APO_U.13.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Logging en monitoring | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
| APO_U.14.01 | De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
| Applicatie-architectuur | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
| APO_U.14.02 | Het architectuurdocument wordt actief onderhouden. | Applicatie-architectuur | Het architectuur document wordt actief onderhouden |
| APO_U.14.03 | De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast. | Applicatie-architectuur | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
| APO_U.14.04 | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Applicatie-architectuur | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
| APO_U.14.05 | Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten). | Applicatie-architectuur | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar |
| APO_U.14.06 | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk. | Applicatie-architectuur | De relatie tussen de persoonsgegevens is inzichtelijk |
| APO_U.15.01 | Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Tooling ontwikkelmethode | Het tool ondersteunt alle fasen van het ontwikkelproces |
| APO_U.15.02 | Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Tooling ontwikkelmethode | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
| APO_U.15.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor versie- en releasebeheer |
| APO_U.15.04 | Het tool beschikt over faciliteiten voor:
| Tooling ontwikkelmethode | Faciliteiten van het tool |
| APO_U.15.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
| CLD_B.01.01 | Er zijn in lijn met het Rijksbreed cloudbeleid specifieke beleidsregels die de veiligheid bij het gaan inzetten van clouddiensten waarborgt. | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
| CLD_B.01.02 | Het informatiebeveiligingsbeleid van de CSC bevat onderwerp specifieke beleidsregels voor cloudcomputing. | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
| CLD_B.01.03 | Het informatiebeveiligingsbeleid van de CSC voor cloudcomputing is consistent met de aanvaardbare niveaus van informatiebeveiligingsrisico’s van de organisatie voor zijn informatie- en andere bedrijfsmiddelen. | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Identificeren vereisten die van toepassing zijn |
| CLD_B.01.04 | Bij het definiëren van het informatiebeveiligingsbeleid voor cloudcomputing moet de CSC rekening houden met:
| Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
| CLD_B.01.05 | Bij het definiëren van het informatiebeveiligingsbeleid voor clouddiensten moet de CSP rekening houden met:
| Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
| CLD_B.01.06 | Door de CSC zijn de basisvereisten voor het beveiligen van de verschillende applicaties vastgesteld en gedocumenteerd. | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Vaststellen alle van toepassing zijnde wet- en regelgeving |
| CLD_B.01.07 | Het informatiebeveiligingsbeleid voor cloudcomputing moet zijn goedgekeurd door het voor cloudcomputing verantwoordelijke management. | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Managementgoedkeuring van informatiebeveiligingsbeleid voor cloudcomputing |
| CLD_B.01.08 | Het management van de CSP heeft een informatiebeveiligingsbeleid goedgekeurd en gecommuniceerd naar interne en externe medewerkers en de CSC’s | Beleidsregels voor informatiebeveiliging bij de inzet van clouddiensten | Vaststelling en communicatie van informatiebeveiligingsbeleid door de CSP |
| CLD_B.02.01 | De processen van de CSC voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld. | Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
| CLD_B.02.02 | De CSC moet met de CSP overeenstemming bereiken over een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging, en bevestigen dat hij de toegewezen rollen en verantwoordelijkheden kan vervullen. De rollen en verantwoordelijkheden op het gebied van informatiebeveiliging van beide partijen moeten in de leveranciersovereenkomst worden vastgelegd. | Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
| CLD_B.02.03 | De CSP moet een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging overeenkomen en documenteren met zijn CSC's, CSP's en leveranciers. | Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
| CLD_B.02.04 | De CSC moet zijn relatie met de ondersteunings- en zorgfunctie van de CSP identificeren en beheren. | Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP | Beheer van de relatie tussen CSC en ondersteuningsfuncties van de CSP |
| CLD_B.02.05 | Bij de toewijzing van rollen en verantwoordelijkheden moet rekening worden gehouden met de CSC-gegevens en de CSC-aanvragen, waarbij de CSP de verwerker is. | Rollen en verantwoordelijkheden bij informatiebeveiliging in de keten CSC-CSP | Rollen en verantwoordelijkheden bij verwerking van CSC-gegevens en -aanvragen door de CSP |
| CLD_B.03.01 | De CSP moet de CSC informeren over de geografische locaties van de organisatie van de CSP en de landen waar de CSP de CSC-gegevens kan opslaan. Bij het bepalen van de geografische locaties wordt ook gekeken naar alle plaatsen waar (vandaan) verwerking, inclusief (technische) beheeractiviteiten, plaatsvinden. | Identificeren van de relevante wet- en regelgeving | Vastleggen bepalingen over exit-regeling |
| CLD_B.03.02 | De CSC moet de autoriteiten identificeren die relevant zijn voor de gecombineerde werking van de CSC en de CSP. | Identificeren van de relevante wet- en regelgeving | Overgaan tot exit buiten verstrijken contractperiode |
| CLD_B.03.03 | De CSC houdt, naast de wet- en regelgeving die voor de CSC geldt (zie ook B.04), rekening met de voor de CSP geldende wet- en regelgeving. | Identificeren van de relevante wet- en regelgeving | Afstemming van wet- en regelgeving tussen CSC en CSP |
| CLD_B.03.04 | De CSP moet de CSC informeren over de jurisdicties die van toepassing zijn op de clouddienst. | Identificeren van de relevante wet- en regelgeving | Transparantie over toepasselijke jurisdicties bij clouddiensten |
| CLD_B.03.05 | De CSP moet zijn eigen relevante wettelijke vereisten identificeren (bijvoorbeeld met betrekking tot encryptie). Deze informatie moet ook aan de CSC worden verstrekt wanneer daarom wordt gevraagd. | Identificeren van de relevante wet- en regelgeving | Identificatie en verstrekking van wettelijke vereisten door de CSP |
| CLD_B.03.06 | De CSC moet bewijs vragen van de naleving door de CSP van de relevante regelgeving en normen die vereist zijn voor de activiteiten van de CSC. Dergelijk bewijs kunnen de certificeringen zijn die door externe auditors zijn geproduceerd. | Identificeren van de relevante wet- en regelgeving | Verificatie van naleving door de CSP via bewijs en certificeringen |
| CLD_B.03.07 | De CSP moet de CSC voorzien van bewijs van zijn huidige naleving van de toepasselijke wetgeving en contractuele vereisten. | Identificeren van de relevante wet- en regelgeving | Aantoonbare naleving van wetgeving en contractuele verplichtingen door de CSP |
| CLD_B.03.08 | De CSC dient te verifiëren dat de set cryptografische controles die van toepassing zijn op het gebruik van een clouddienst voldoet aan relevante afspraken, wet- en regelgeving. | Identificeren van de relevante wet- en regelgeving | Toetsing van cryptografische maatregelen aan wet- en regelgeving |
| CLD_B.03.09 | De CSP moet beschrijvingen verstrekken van de door de CSP geïmplementeerde cryptografische controles aan de CSC voor het beoordelen van de naleving van toepasselijke overeenkomsten, wet- en regelgeving. | Identificeren van de relevante wet- en regelgeving | Inzicht in cryptografische controles ter beoordeling van compliance |
| CLD_B.04.01 | De CSC voldoet aan de wet en regelgeving:
a. de eisen uit het Voorschrift Informatiebeveiliging Rijksdienst (VIR) ; b. het voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIRBI) ; c. de BIO , de regels omtrent archiveren ; d. de AVG ; e. de Wet Open Overheid (WOO) ; f. de Wet Politiegegevens (WPG) . | Waarborgen van de wet- en regelgeving bij de selectie van een CSP | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
| CLD_B.04.02 | Landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen worden uitgesloten van het kunnen aanbieden van een clouddienst. Mocht er een risico zijn op dreiging van statelijke actoren, wordt voortijdig dreigings- en beveiligingsadvies ingewonnen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en/of Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Voor de overige landen sluiten aan bij het Europese beleid op dit terrein dat waarborgen biedt tegen misbruik van de informatie die in een cloud is opgeslagen. | Waarborgen van de wet- en regelgeving bij de selectie van een CSP | Beleid voor landselectie en geopolitieke risico’s bij cloudgebruik |
| CLD_B.04.03 | De opslag en verwerking van persoonsgegevens voldoet aan de vereisten inzake doorgiften van persoonsgegevens (hoofdstuk V van de AVG), en daarbij wordt voldaan aan één van de onderstaande eisen:
Indien niet aantoonbaar aan één van die eisen (a, b of c) is voldaan, dan wordt voor die verwerking en alle daarbij behorende subverwerkingen de uitgevoerde (pre-scan of formele) Data Protectie Impact Assessment (DPIA) zo spoedig mogelijk na vaststelling aan CIO Rijk toegezonden. De opslag en verwerking van bijzondere persoonsgegevens voldoet aan eisen a. of b. Als aan c. wordt voldaan geldt aanvullend de eis ‘pas-toe-of-leg-uit’ (comply or explain), met minimaal een uitgevoerde (pre-scan of formele) DPIA, die zo spoedig mogelijk na vaststelling aan CIO Rijk wordt toegezonden. | Waarborgen van de wet- en regelgeving bij de selectie van een CSP | AVG-conforme doorgifte en verwerking van persoonsgegevens in de cloud |
| CLD_B.04.04 | De CSC kan de locaties (locatie/land) van de gegevensverwerking en -opslag, inclusief gegevensback-ups, specificeren volgens de contractueel beschikbare opties. De CSP ondersteunt de keuze tot specificatie door middel van een cloudarchitectuur. De vastlegging van de architectuur is gebaseerd op de behoeften van materiedeskundigen van de CSC, zodat de CSC de geschiktheid van de clouddienst kan beoordelen met betrekking tot de wettelijke en regelgevende vereisten. | Waarborgen van de wet- en regelgeving bij de selectie van een CSP | Beheer en specificatie van datalocaties binnen cloudarchitecturen |
| CLD_B.05.01 | Er behoren informatiebeveiligingseisen te worden vastgesteld voor alle bedrijfsprocessen die gebruik gaan maken van de clouddienst(en). | Risicoafweging bij de selectie van een clouddienst van een CSP | Bevatten diverse aspecten in systeembeschrijving |
| CLD_B.05.02 | Bij het selecteren van een CSC wordt rekening gehouden met:
| Risicoafweging bij de selectie van een clouddienst van een CSP | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
| CLD_B.05.03 | Tijdens de risicoanalyse is het Strategisch Leveranciersmanagement voor de Rijksoverheid (SLM) geraadpleegd. | Risicoafweging bij de selectie van een clouddienst van een CSP | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
| CLD_B.05.04 | Er is een DPIA (gegevensbeschermingseffectbeoordeling), inclusief een relevante risicoafweging op basis van de CIO Rijk implementatierichtlijn, waarbij de besluitvorming toetsbaar en auditeerbaar is. | Risicoafweging bij de selectie van een clouddienst van een CSP | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
| CLD_B.05.05 | De CSC beschrijft in de toegespitste risicoanalyse ten minste de volgende onderdelen: 1. De context van het cloudgebruik en de karakteristieken van het betreffende cloudgebruik zoals:
2. De relevante risico’s waarbij aandacht is voor:
3. De analyse van de getroffen technische en organisatorische maatregelen waaruit blijkt dat CSC en de CSP voldoen aan de gestelde informatiebeveiligingseisen. Hierbij is aandacht voor:
| Risicoafweging bij de selectie van een clouddienst van een CSP | Integrale risicoanalyse en beheersmaatregelen voor cloudgebruik binnen de CSC |
| CLD_B.05.06 | De risicoanalyse is formeel vastgesteld conform een mandateringsregeling. | Risicoafweging bij de selectie van een clouddienst van een CSP | Formele vaststelling van de risicoanalyse conform mandaatregeling |
| CLD_B.05.07 | Risico’s moeten bekend en voldoende gemitigeerd zijn en blijven. | Risicoafweging bij de selectie van een clouddienst van een CSP | Borging en continue mitigatie van geïdentificeerde risico’s |
| CLD_B.06.01 | Indien er persoonsgegevens verwerkt gaan worden, dient voorafgaand aan feitelijke verwerking een pre-scan DPIA uitgevoerd te worden en voor hoog-risico verwerkingen een formele DPIA. De DPIA is formeel vastgesteld zijn, conform een mandateringsregeling. | Risicoafweging voorafgaand aan de verwerking van persoonsgegevens | Hebben CSP-verantwoordelijkheden |
| CLD_B.06.02 | In een pre-scan DPIA moeten ten minste de volgende onderdelen herkenbaar zijn :
| Risicoafweging voorafgaand aan de verwerking van persoonsgegevens | Goedkeuren organisatie van risicomanagementproces |
| CLD_B.06.03 | Indien geen formele DPIA nodig is, moet op een andere wijze aantoonbaar worden voldaan aan de AVG, waaronder een onderbouwing van de rechtmatigheid, proportionaliteit, noodzaak (subsidiariteit) e.d. | Risicoafweging voorafgaand aan de verwerking van persoonsgegevens | Beschrijven risicomanagementproces |
| CLD_B.06.04 | Bij de opslag en verwerking van een basisregistratie in de public cloud geeft CIO Rijk hieraan voorafgaand een advies, waarbij het advies wordt gegeven op basis van minimaal:
| Risicoafweging voorafgaand aan de verwerking van persoonsgegevens | Voorafgaand CIO Rijk-advies bij cloudgebruik voor basisregistraties |
| CLD_B.07.01 | De CSP en de CSC verzamelen en analyseren informatie die beschikbaar is in geselecteerde interne en externe bronnen over bestaande of opkomende dreigingen teneinde weloverwogen maatregelen mogelijk te maken om te voorkomen dat de dreigingen schade aan de betrokken organisatie toebrengen. | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Treffen maatregelen voor beveiliging IT-functionaliteiten |
| CLD_B.07.02 | De CSP en de CSC informeren iedereen van de organisaties en elkaar, waarbij de bedreiging impact kan hebben op de hele organisatie, nauwkeurig en gedetailleerd, zodat de partijen snel en doeltreffend kunnen handelen op basis van de informatie. | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
| CLD_B.07.03 | De toepaste risicomanagementaanpak:
| Afspraken over risicomanagement tijdens de inzet van de clouddienst | Bewaken en beheersen IT-infrastructuur |
| CLD_B.07.04 | De CSC moet zijn informatiebeveiligingseisen voor de clouddienst bepalen en vervolgens beoordelen of de door een CSP aangeboden diensten aan deze eisen kunnen voldoen. | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
| CLD_B.07.05 | Voor deze analyse moet de CSC informatie over de informatiebeveiligingscapaciteiten opvragen bij de CSP. | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
| CLD_B.07.06 | De CSP moet informatie verstrekken aan de CSC’s over de informatiebeveiligingsmogelijkheden die zij gebruiken. Deze informatie moet informatief zijn, zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen. | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Gebalanceerde informatieverstrekking over beveiligingsmaatregelen door de CSP |
| CLD_B.07.07 | De CSP biedt CSC’s richtlijnen en aanbevelingen voor het veilig gebruik van de aangeboden clouddienst. De daarin opgenomen informatie is bedoeld om de CSC te helpen bij het veilig configureren, installeren en gebruiken van de clouddienst, voor zover van toepassing op de clouddienst en onder de verantwoordelijkheid van de cloudgebruiker. Het type en de reikwijdte van de verstrekte informatie is gebaseerd op de behoeften van materiedeskundigen van de CSC die informatiebeveiligingseisen stellen, deze implementeren of de implementatie verifiëren. | Afspraken over risicomanagement tijdens de inzet van de clouddienst | Richtlijnen en ondersteuning door de CSP voor veilig gebruik van clouddiensten |
| CLD_B.08.01 | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
| CLD_B.08.02 | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
| CLD_B.08.03 | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Bedrijfscontinuïteitsmanagement | Committeren aan vastgestelde BCM-vereisten |
| CLD_B.08.04 | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Vaststellen en communiceren BCM- en BIA-beleid |
| CLD_B.08.05 | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
| CLD_B.08.06 | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
| CLD_B.08.07 | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
| CLD_B.08.08 | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
| CLD_B.08.09 | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen |
| CLD_B.09.01 | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Privacy en bescherming persoonsgegevens clouddiensten | Treffen maatregelen voor opslag, verwerking en transport van data |
| CLD_B.09.02 | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Privacy en bescherming persoonsgegevens clouddiensten | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie |
| CLD_B.09.03 | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Privacy en bescherming persoonsgegevens clouddiensten | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
| CLD_B.09.04 | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Privacy en bescherming persoonsgegevens clouddiensten | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
| CLD_B.09.05 | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Privacy en bescherming persoonsgegevens clouddiensten | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
| CLD_B.09.06 | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Privacy en bescherming persoonsgegevens clouddiensten | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten |
| CLD_B.09.07 | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Privacy en bescherming persoonsgegevens clouddiensten | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
| CLD_B.09.08 | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Privacy en bescherming persoonsgegevens clouddiensten | Specificeren en documenteren opslag op welke locatie data |
| CLD_B.10.01 | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Beveiligingsorganisatie clouddiensten | Bewerkstelligen en promoten cloudbeveiligingsbeleid |
| CLD_B.10.02 | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie clouddiensten | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
| CLD_B.10.03 | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Beveiligingsorganisatie clouddiensten | Geven positie van informatiebeveiligingsorganisatie binnen organisatie |
| CLD_B.10.04 | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie clouddiensten | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
| CLD_B.10.05 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie clouddiensten | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging |
| CLD_B.10.06 | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie clouddiensten | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix |
| CLD_B.10.07 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen |
| CLD_B.10.08 | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages |
| CLD_B.11.01 | Het raamwerk bevat de volgende aspecten:
| Clouddienstenarchitectuur | Bevatten diverse aspecten voor raamwerk |
| CLD_B.11.02 | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven. | Clouddienstenarchitectuur | Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud |
| CLD_C.01.01 | De CSC houdt het cloudgebruik en de risico’s daarvan bij. Dit wordt bij wezenlijke wijzigingen en ten minste jaarlijks geactualiseerd.
1. De registratie bevat ten minste de volgende zaken:
| Registratie cloudgebruik en bijhouden risicoanalyses | Beschikken over richtlijnen voor inrichting van service-management-organisatie |
| CLD_C.01.02 | De CSC actualiseert de toegespitste risicoanalyse, exitstrategie en (pre-scan of formele) DPIA bij wezenlijke wijzigingen in de dienstverlening of in de functionaliteit, de technische inrichting, de geografische inrichting of de toeleveranciers, inclusief de te nemen passende acties. Dit vindt ten minste iedere drie jaar plaats of vaker als daar aanleiding toe is. Indien analyses op basis van het cloudbeleid met CIO Rijk moeten worden gedeeld, worden de geactualiseerde analyses opnieuw gedeeld met CIO Rijk. | Registratie cloudgebruik en bijhouden risicoanalyses | Beschrijven en inrichten relevante beheerprocessen |
| CLD_C.01.03 | Voor bestaande clouddiensten moet conform de BIO2 een risicoanalyse zijn uitgevoerd. Ook deze analyses worden binnen hun huidige levenscyclus en ten minste binnen drie jaar herijkt aan het cloudbeleid en het implementatiekader. | Registratie cloudgebruik en bijhouden risicoanalyses | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties |
| CLD_C.01.04 | De CSC verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de wet- en regelgeving, organisatiedoelstellingen, de strategie en het beleid. Daarbij wordt de context van de organisatie steeds in beschouwing genomen. | Registratie cloudgebruik en bijhouden risicoanalyses | Periodieke verificatie van risicocriteria in lijn met wetgeving en organisatiedoelstellingen |
| CLD_C.02.01 | De CSC moet om gedocumenteerd bewijs vragen dat de implementatie van informatiebeveiligingscontroles en richtlijnen voor de clouddienst in overeenstemming is met eventuele beweringen van de CSP. Dergelijk bewijsmateriaal kan certificeringen volgens relevante normen omvatten, zoals ISO 27001, ISAE 3402 en SOC2 (type I of II). | Onpartijdige beoordeling CSP | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria |
| CLD_C.02.02 | Voor de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegeven. | Onpartijdige beoordeling CSP | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen |
| CLD_C.02.03 | De CSP moet gedocumenteerd bewijs aan de CSC verstrekken om zijn bewering over het implementeren van informatiebeveiligingscontroles te onderbouwen. | Onpartijdige beoordeling CSP | Richten op diverse zaken met betrekking tot monitoren van risico |
| CLD_C.02.04 | Wanneer overeen is gekomen dat er individuele CSC-audits worden gehouden dan zijn het beleid en de instructies (inclusief concepten en richtlijnen) voor het plannen en uitvoeren van audits gedocumenteerd, gecommuniceerd en beschikbaar gesteld en volgens een uniforme structuur gedocumenteerd. Hierbij is er duidelijkheid over de doelstellingen, de verdeling van rollen en verantwoordelijkheden tussen CSC en de CSP, inclusief de kwalificatievereisten voor personeel en de toepasselijke wettelijke en regelgevende vereisten. | Onpartijdige beoordeling CSP | Uitvoeren monitoringsactiviteiten en mitigeren risico’s |
| CLD_C.02.05 | De CSP zorgt ervoor dat de jaarlijkse rapportage, de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten. | Onpartijdige beoordeling CSP | Adresseren diverse elementen bij monitoring en reviewen |
| CLD_C.02.06 | Wanneer individuele CSC-audits voor de CSP onpraktisch zijn of de risico’s voor de informatiebeveiliging kunnen vergroten, moet de CSP onpartijdig bewijs leveren dat de informatiebeveiliging wordt geïmplementeerd en geëxploiteerd in overeenstemming met het beleid en de procedures van de CSP. Daartoe controleren deskundigen die de toepassing van de relevante en toepasselijke wettelijke, regelgevende, zelfopgelegde en contractuele vereisten op het beleid, de regels en de normen, inclusief de werking van het information security management system (ISMS). Dit gebeurt met regelmatige tussenpozen, ten minste jaarlijks. | Onpartijdige beoordeling CSP | Onafhankelijke toetsing van informatiebeveiliging bij de CSP |
| CLD_C.02.07 | Het onpartijdige bewijs moet beschikbaar worden gesteld aan potentiële CSC’s voordat een contract wordt aangegaan. | Onpartijdige beoordeling CSP | Beschikbaarheid van auditbewijs voor potentiële CSC’s |
| CLD_C.02.08 | De CSP behoort periodieke onpartijdige beoordelingen te plannen en te initiëren en hierover te rapporteren aan de CSC. | Onpartijdige beoordeling CSP | Planning en rapportage van periodieke onafhankelijke beoordelingen |
| CLD_C.02.09 | De CSP behoort zo nodig op basis van de rapportering corrigerende maatregelen te initiëren. Hiertoe worden geïdentificeerde kwetsbaarheden en afwijkingen onderworpen aan een risicobeoordeling en worden vervolgmaatregelen gedefinieerd en opgevolgd. Hiertoe wordt een op risico gebaseerd correctief actieplan gehanteerd, waarbij de herstelstatus beoordeeld kan worden en gerapporteerd wordt aan de relevante belanghebbenden. | Onpartijdige beoordeling CSP | Corrigerende maatregelen en opvolging op basis van auditbevindingen |
| CLD_C.03.01 | De samenhang tussen de processen van de CSC en van de CSP in een afgestemde processtructuur wordt gecontroleerd op efficiëntie. | Beheerorganisatie CSC-CSP inzet clouddiensten | Inrichten compliance-proces voor governance van clouddienstverlening |
| CLD_C.03.02 | De CSC en de CSP houden de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden bij en de bijbehorende bevoegdheden zijn actueel, zodat deze bijdragen aan de effectiviteit van de ketenafspraken. | Beheerorganisatie CSC-CSP inzet clouddiensten | Registreren reguliere rapportages in administratie |
| CLD_C.03.03 | De belangrijkste functionarissen (aanspreekpunten) voor de beheerorganisatie in de keten CSC-CSP zijn actueel en de onderlinge relaties zijn met een organisatieschema inzichtelijk onderhouden. | Beheerorganisatie CSC-CSP inzet clouddiensten | Aansluiten compliance-proces op ISMS |
| CLD_C.03.04 | Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten | ||
| CLD_C.03.05 | Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. | Betrekken cloud-omgeving en administratie bij assessment | |
| CLD_C.03.06 | De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten. | Aansluiten uitkomsten uit diverse rapportages e.d. | |
| CLD_C.04.01 | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloudomgeving zijn vastgesteld en worden toegepast conform U.11. | Controle op de afhandeling van beveiligingsgebeurtenissen | Beschikbaar stellen informatie over beheer van technische kwetsbaarheden |
| CLD_C.04.02 | Het rapporteren over de informatiebeveiliging is gerelateerd aan:
| Controle op de afhandeling van beveiligingsgebeurtenissen | Definiëren en vaststellen rollen en verantwoordelijkheden |
| CLD_C.04.03 | Het rapporteren vindt plaats op basis van:
| Controle op de afhandeling van beveiligingsgebeurtenissen | Installeren patches en treffen mitigerende maatregelen |
| CLD_C.04.04 | Op vaste tijdstippen worden statistieken vastgesteld, gemonitord en gerapporteerd over de identificatie en het herstel van kwetsbaarheden. | Controle op de afhandeling van beveiligingsgebeurtenissen | Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid |
| CLD_C.04.05 | Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd. | Controle op de afhandeling van beveiligingsgebeurtenissen | Uitvoeren penetratietests op ICT-componenten |
| CLD_C.04.06 | Aantoonbaar wordt opvolging gegeven aan verbetervoorstellen uit analyserapportages. | Controle op de afhandeling van beveiligingsgebeurtenissen | Verhelpen technische zwakheden door patchmanagement |
| CLD_C.04.07 | De beveiligingsplannen van de CSC en de CSP worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen. | Controle op de afhandeling van beveiligingsgebeurtenissen | Registreren en rapporteren evaluaties van technische kwetsbaarheden |
| CLD_C.04.08 | Het beleid en de procedures voor het tijdige beheer van beveiligingsincidenten vaststellen, documenteren, goedkeuren, communiceren, toepassen, evalueren en onderhouden. Minstens jaarlijks worden het beleid en de procedures beoordeeld en geüpdatet. | Controle op de afhandeling van beveiligingsgebeurtenissen | Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken |
| CLD_C.04.09 | De processen, procedures en technische maatregelen ter ondersteuning van bedrijfsprocessen om informatiebeveiligingsgebeurtenissen te beoordelen zijn gedefinieerd, geïmplementeerd en geëvalueerd. | Controle op de afhandeling van beveiligingsgebeurtenissen | Inrichting en evaluatie van processen voor beoordeling van informatiebeveiligingsgebeurtenissen |
| CLD_C.05.01 | Minimaal jaarlijks worden de contractuele vereisten en SLA’s gecontroleerd voor alle diensten die een CSP aan de CSC levert. Wanneer niet aan de contractuele vereisten en SLA’s wordt voldaan, wordt dit in samenspraak tussen de CSC en de CSP besproken en worden de problemen opgelost. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren |
| CLD_C.05.02 | De CSC evalueert het beleid en de procedures voor bedrijfscontinuïteitsbeheer (BCM) en operationele weerbaarheid. De evaluatie van het up-to-date houden van het beleid en de procedures gebeurt minstens jaarlijks. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten |
| CLD_C.05.03 | Herstelprocedures worden door de CSP regelmatig getest, tenminste jaarlijks. Met de tests kan worden beoordeeld of zowel de contractuele afspraken met de CSC als de specificaties voor de maximaal toelaatbare downtime (Recovery Time Objective, RTO) en het maximaal toelaatbare dataverlies (Recovery Point Objective, RPO) worden nageleefd (zie U.21). Afwijkingen van de specificaties worden gemeld aan de CSC. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht |
| CLD_C.05.04 | Het beleid en de procedures voor cryptografie, encryptie en sleutelbeheer (zie U.10) worden minstens jaarlijks beoordeeld. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Analyseren informatiebeveiligingsrapportages in samenhang |
| CLD_C.05.05 | Voer een audit uit van encryptie- en sleutelbeheersystemen, encryptiebeleid en bijbehorende processen met een frequentie die evenredig is aan de risicoblootstelling van het systeem, waarbij de audit bij voorkeur continu maar ten minste jaarlijks en na eventuele beveiligingsgebeurtenissen plaatsvindt. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Opvolgen verbeteringsvoorstellen uit analyse-rapportages |
| CLD_C.05.06 | Registreer en bewaak belangrijke levenscyclusbeheergebeurtenissen om auditing en rapportage over het gebruik van cryptografische sleutels mogelijk te maken. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken |
| CLD_C.05.07 | Door de CSC worden voor het veilig houden van de applicaties de effectiviteit van de basisvereisten gecontroleerd en de versies van de basisvereisten beheerd. Zo nodig worden de vereisten, de documentatie en de communicatie verbeterd. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Beheer en evaluatie van basisvereisten voor applicatiebeveiliging |
| CLD_C.05.08 | De CSP bewaakt, versleutelt en beperkt de communicatie tussen segmenten/omgevingen tot alleen geverifieerde en geautoriseerde verbindingen. De CSP controleert deze configuraties ten minste jaarlijks en ondersteunt ze met een gedocumenteerde rechtvaardiging van alle toegestane services, protocollen, poorten en compenserende controles. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Beveiligde communicatie en netwerksegmentatie door de CSP |
| CLD_C.05.09 | Als penetratietesten onderdeel zijn van de beveiligingstests, genoemd als onderdeel in de leveranciersovereenkomst, dan worden voor het periodiek uitvoeren van penetratietesten door onpartijdige derde partijen de processen, procedures en technische maatregelen gedefinieerd, geïmplementeerd en geëvalueerd. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Inrichting en uitvoering van penetratietesten |
| CLD_C.05.10 | Het beleid, de procedures en de voorzieningen voor retourneren, verplaatsen en verwijderen van bedrijfsmiddelen, inclusief de daarvoor benodigde interoperabiliteit en portabiliteit worden, in lijn met U.02, minstens jaarlijks beoordeeld en geüpdatet. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Periodieke evaluatie van processen voor bedrijfsmiddelenbeheer |
| CLD_C.05.11 | De CSC hanteert een informatiebeveiligingsprogramma met daarin de aandachtspunten voor de inzet van de clouddiensten. De afspraken in de leveranciersovereenkomst en de objecten in dit thema-document kan daarvoor input zijn. | Controle op de afspraken uit leveranciersovereenkomst en SLA | Informatiebeveiligingsprogramma voor cloudgebruik binnen de CSC |
| CLD_C.06.01 | De samenhang van processen wordt in een processtructuur vastgelegd. | Beheerorganisatie clouddiensten | Vastleggen samenhang van processen in processtructuur |
| CLD_C.06.02 | De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheerorganisatie clouddiensten | Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden |
| CLD_C.06.03 | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheerorganisatie clouddiensten | Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties |
| CLD_U.01.01 | De CSC moet de rollen en verantwoordelijkheden op het gebied van de dienstverlening waaronder informatiebeveiliging met betrekking tot de clouddienst bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten:
| Leveranciersovereenkomsten | Maken transparante dienstverlening |
| CLD_U.01.02 | De serviceovereenkomst tussen de CSC en de CSP bevat in ieder geval de volgende bepalingen en/of voorwaarden:
| Leveranciersovereenkomsten | Treffen beveiligingsmaatregelen op basis van internationale standaarden |
| CLD_U.01.03 | De CSP moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de CSP zal implementeren om misverstanden tussen de CSP en de CSC te voorkomen. | Leveranciersovereenkomsten | Contractuele vastlegging van informatiebeveiligingsmaatregelen door de CSP |
| CLD_U.01.04 | De relevante informatiebeveiligingsmaatregelen die de CSP zal implementeren, kunnen variëren afhankelijk van het type clouddienst dat de CSC gebruikt. | Leveranciersovereenkomsten | Leveranciersovereenkomsten |
| CLD_U.01.05 | Als een CSP clouddiensten van collega-CSP’s gebruikt, moet de CSP ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen CSC’s worden gehandhaafd of overschreden. | Leveranciersovereenkomsten | Borging van informatiebeveiliging bij inzet van sub-CSP’s |
| CLD_U.01.06 | Wanneer de CSP clouddiensten levert op basis van een toeleveringsketen, moet de CSP informatiebeveiligingsdoelstellingen aan leveranciers verstrekken en elk van de leveranciers verzoeken risicobeheeractiviteiten uit te voeren om de doelstellingen te bereiken en geeft de CSC gedetailleerde informatie over het toepassen van de informatiebeveiligingsdoelstellingen en het periodiek uitvoeren van beveiligingsbeoordelingen in de hele toeleveringsketen. | Leveranciersovereenkomsten | Beheer van informatiebeveiliging binnen de toeleveringsketen |
| CLD_U.01.07 | De CSP geeft de CSC duidelijkheid over hoe derde partijen wier diensten bijdragen aan het aanbieden van de clouddienst, met daarin:
Met daarbij de:
| Leveranciersovereenkomsten | Transparantie en beheersing van risico’s bij inzet van derde partijen |
| CLD_U.02.01 | Een exitstrategie borgt de continuïteit van bedrijfsprocessen en het opruimen van data bij beëindiging van de dienstverlening. De borging gaat zowel via maatregelen voor de eigen organisatie, waaronder budget, als via contractuele afspraken met de leverancier. Onderdelen in de exitstrategie zijn:
| Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope |
| CLD_U.02.02 | Er is een exitstrategie opgenomen in de overeenkomst met de CSP. Hierin staat hoe, bij beëindiging van de overeenkomst, data worden overgedragen en hoe wordt geregeld dat de verzameling data bij de leverancier vernietigd wordt. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Evalueren risico’s op basis van risico-acceptatiecriteria |
| CLD_U.02.03 | In de overeenkomst met de CSP wordt met betrekking tot de exitstrategie de volgende aspecten vastgelegd, voor zover deze van toepassing zijn op de clouddienst:
| Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Contractuele borging van exitstrategie en gegevensoverdracht |
| CLD_U.02.04 | De CSP behoort alle bedrijfsmiddelen van de CSC die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Retournering van CSC-bedrijfsmiddelen bij beëindiging |
| CLD_U.02.05 | De CSP hanteert voor het verhuis- of overdrachtsverzoek van bedrijfsmiddelen van de CSC, een schriftelijke of cryptografisch verifieerbare autorisatie. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Geautoriseerde overdracht van CSC-bedrijfsmiddelen |
| CLD_U.02.06 | De CSP moet informatie verstrekken over de regelingen voor de tijdige teruggave en verwijdering van eventuele bedrijfsmiddelen van CSC bij beëindiging van de overeenkomst. De beschrijving moet alle bedrijfsmiddelen vermelden en het schema voor de beëindiging van de overeenkomst documenteren. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Transparantie over teruggave en verwijdering van bedrijfsmiddelen |
| CLD_U.02.07 | De regelingen voor het retourneren en verwijderen van bedrijfsmiddelen moeten in de overeenkomst worden gedocumenteerd en moeten tijdig worden uitgevoerd. In de regelingen moet worden gespecificeerd welke bedrijfsmiddelen moeten worden teruggegeven en verwijderd. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Contractuele vastlegging van retournering en verwijdering van bedrijfsmiddelen |
| CLD_U.02.08 | De CSC moet bevestiging vragen dat de CSP beschikt over het beleid en de procedures voor het veilig verwijderen of hergebruiken van hulpbronnen. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Verificatie van beleid voor veilige verwijdering van hulpbronnen |
| CLD_U.02.09 | De CSP moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of hergebruik van hulpbronnen (bijvoorbeeld apparatuur, gegevensopslag, bestanden, geheugen). | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Tijdige en veilige verwijdering of hergebruik van hulpbronnen |
| CLD_U.02.10 | De CSP moet waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat de opslagruimte wordt verwijderd of hergebruikt. De verwijdering omvat gegevens van en over de CSC, inclusief metadata en gegevens die zijn opgeslagen in de back-ups van gegevens. Hiertoe worden door de industrie geaccepteerde methoden toegepast. De verwijdering voorkomt herstel met forensische middelen. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Veilige en onherstelbare verwijdering van gevoelige gegevens |
| CLD_U.02.11 | De overeenkomst tussen CSC en CSP bevat bepalingen die de toegang van de CSC tot gegevens specificeert bij beëindiging van het contract, met daarin:
| Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Toegang tot en beheer van gegevens bij contractbeëindiging |
| CLD_U.02.12 | Om interoperabiliteit en portabiliteit mogelijk te maken, biedt de CSP applicatie-interface(s) aan, zodat CSC hun gegevens geautomatiseerd kan verplaatsen of verwijderen en biedt hiervoor cryptografisch veilige en gestandaardiseerde netwerkprotocollen. | Retourneren Verplaatsen en verwijderen van bedrijfsmiddelen (ISOR:Risico-assessment) | Ondersteuning van dataportabiliteit en interoperabiliteit door de CSP |
| CLD_U.02.12 | Om interoperabiliteit en portabiliteit mogelijk te maken, biedt de CSP applicatie-interface(s) aan, zodat CSC hun gegevens geautomatiseerd kan verplaatsen of verwijderen en biedt hiervoor cryptografisch veilige en gestandaardiseerde netwerkprotocollen. | Retourneren, verplaatsen en verwijderen van bedrijfsmiddelen | Ondersteuning van dataportabiliteit en interoperabiliteit via veilige API’s |
| CLD_U.03.01 | Door de CSC en de CSP worden de basisvereisten voor het beveiligen van applicaties toegepast en up-to-date gehouden. | Veilige software | Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties |
| CLD_U.03.02 | De CSC vraagt bij de CSP informatie op over de door de CSP gebruikte informatiebeveiligingsmaatregelen binnen de ontwikkelingscyclus, ook wanneer (een deel van) de ontwikkeling bij een toeleverancier plaatsvindt. Deze informatie moet informatief zijn, zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen. | Veilige software | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen |
| CLD_U.03.03 | De CSP waarborgt dat nieuwe informatiesystemen/software, upgrades en nieuwe versies veilig zijn door deze te testen op de vereisten voor het beveiligen van applicaties en ze tijdig te implementeren. De CSP doet dit door daar waar mogelijk te voldoen aan de principes van continuous delivery. | Veilige software | Veilige ontwikkeling en implementatie van software binnen de clouddienst |
| CLD_U.03.04 | De CSP voorziet de componenten/software binnen de clouddienst van malwarebescherming. Als er beveiligingsprogramma’s zijn opgezet met handtekening en gedrag gebaseerde detectie en verwijdering van malware, worden deze beveiligingsprogramma’s minimaal dagelijks bijgewerkt. | Veilige software | Malwarebescherming en actuele beveiligingsmaatregelen binnen de clouddienst |
| CLD_U.04.01 | De CSP houdt in het wijzigingsbeheerproces rekening met het bestaan van wijzigingen die een negatief effect kunnen hebben op de CSC. | Wijzigingsbeheer | Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen |
| CLD_U.04.02 | De CSP verstrekt de CSC informatie over wijzigingen aan de clouddienst die een negatief effect kunnen hebben op de clouddienst. Het volgende helpt de CSC bij het bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging:
| Wijzigingsbeheer | Monitoren proces van herstelbaar beveiligen van data |
| CLD_U.04.03 | Wanneer een CSP een clouddienst aanbiedt die afhankelijk is van een keten-CSP, kan het nodig zijn dat de CSP de CSC op de hoogte stelt van wijzigingen die door de keten-CSP worden veroorzaakt. | Wijzigingsbeheer | Testen functioneren van herstelfuncties en resultaten daarvan delen |
| CLD_U.05.01 | De CSC moet beschikken over een procedure voor het identificeren van cloudspecifieke licentievereisten voordat wordt toegestaan dat gelicentieerde software in een clouddienst wordt geïnstalleerd. | Intellectuele eigendomsrechten | ‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer |
| CLD_U.05.02 | De CSP informeert de CSC over het clouddienstspecifieke deploymentmodel, zodat duidelijk is wat de impact van de elasticiteit en schaalbaarheid is, waarbij de software op meer systemen of processorkernen kan gaan draaien dan is toegestaan door de licentievoorwaarden. | Intellectuele eigendomsrechten | ‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie |
| CLD_U.05.03 | De CSP moet een proces opzetten voor het reageren op klachten over intellectuele eigendomsrechten. | Intellectuele eigendomsrechten | Afhandeling van klachten over intellectuele eigendomsrechten door de CSP |
| CLD_U.06.01 | De CSC moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de CSP. | Kloksynchronisatie | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet |
| CLD_U.06.02 | De CSP moet informatie verstrekken aan de CSC over de klok die wordt gebruikt door de systemen van de CSP, en informatie over hoe de CSC lokale klokken kan synchroniseren met de klok van de clouddienst. | Kloksynchronisatie | Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn |
| CLD_U.06.03 | Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd. | Archiveren gegevens met behulp van WORM-technologie | |
| CLD_U.06.04 | Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en metadata veilig gewist of vernietigd. | Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia | |
| CLD_U.06.05 |
| Wissen CSC-data bij beëindigen van contractrelatie | |
| CLD_U.07.01 | De inventaris van de bedrijfsmiddelen, inclusief de informatie van de CSC, moet rekening houden met hetgeen is opgeslagen in de cloudcomputing-omgeving. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Permanente isolatie van gegevens binnen een multi-tenant architectuur |
| CLD_U.07.02 | De registraties van de inventaris moeten aangeven waar de bedrijfsmiddelen, inclusief de informatie van de CSC, worden bewaard, bijvoorbeeld door de identificatie van de clouddienst. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data |
| CLD_U.07.03 | De inventaris van bedrijfsmiddelen van de CSP moet expliciet het volgende identificeren:
| Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik |
| CLD_U.07.04 | De classificatie en labeling weerspiegelt de beschermingsbehoeften van de informatie die het verwerkt, opslaat of verzendt. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Classificatie en labeling afgestemd op beschermingsbehoeften van informatie |
| CLD_U.07.05 | De classificatie wordt volgens een uniform schema bepaald. Het schema biedt beschermingsniveaus voor de doelstellingen voor de bescherming van vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Uniform classificatieschema voor informatiebeveiliging |
| CLD_U.07.06 | De leveranciersovereenkomst beschrijft de mapping tussen de classificaties van de CSP en de CSC, zodat de CSC kan nagaan of de genomen maatregelen de beschermingsbehoeften van de CSC weerspiegelt. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Afstemming van classificaties tussen CSP en CSC |
| CLD_U.07.07 | De CSP registreert bedrijfsmiddelen met de informatie die nodig is voor het kunnen beheren van informatiebeveiligingsrisico’s, inclusief de maatregelen die zijn genomen om deze risico’s gedurende de gehele levenscyclus te beheersen. Wijzigingen in deze informatie worden geregistreerd. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Registratie en beheer van bedrijfsmiddelen en beveiligingsmaatregelen |
| CLD_U.07.08 | De CSC labelt informatie en bijbehorende bedrijfsmiddelen die in de cloudcomputing-omgeving worden bewaard. Dit in overeenstemming met de door de CSC vastgestelde procedures voor labeling, zodat labeling het automatiseren van het beheer van de informatieverwerking mogelijk maakt. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Labeling van informatie door de CSC binnen de cloudomgeving |
| CLD_U.07.09 | De CSP documenteert alle servicefunctionaliteiten en maakt deze openbaar, zodat de CSC’s hun informatie en bijbehorende bedrijfsmiddelen kunnen classificeren en labelen. | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | Transparantie van servicefunctionaliteiten ter ondersteuning van classificatie en labeling |
| CLD_U.08.01 | Om de toegang tot clouddiensten door gebruikers van clouddiensten van een CSC te beheren, moet de CSP gebruikersregistratie- en uitschrijvingsfuncties en specificaties voor het gebruik van deze functies aan de CSC verstrekken. | Identiteits en toegangsmanagement | Realiseren diverse scheidingen van clouddienstverlening |
| CLD_U.08.02 | De CSC moet verifiëren dat de beheersprocedure van de CSP voor het toekennen van geheime authenticatie-informatie, zoals wachtwoorden, voldoet aan de eisen van de CSC. | Identiteits en toegangsmanagement | Verificatie van beheerprocedures voor geheime authenticatie-informatie |
| CLD_U.08.03 | De CSP moet informatie verstrekken over procedures voor het beheer van de geheime authenticatie-informatie van de CSC, inclusief de procedures voor het toewijzen van dergelijke informatie en voor gebruikersauthenticatie. | Identiteits en toegangsmanagement | Transparantie over beheer van authenticatie-informatie en gebruikersauthenticatie |
| CLD_U.08.04 | De CSP moet functies bieden voor het beheer van de toegangsrechten van de gebruikers van de clouddiensten van de CSC, en specificaties voor het gebruik van deze functies. | Identiteits en toegangsmanagement | Beheer van toegangsrechten binnen clouddiensten |
| CLD_U.08.05 | De CSC geeft duidelijkheid over een al dan niet vereiste integratie en in gebruik zijnde, dan wel geplande, voorziening voor identiteits- en toegangsbeheertechnologie. | Identiteits en toegangsmanagement | Afstemming over inzet van identiteits- en toegangsbeheer door de CSC |
| CLD_U.08.06 | Wanneer de CSC al een voorziening voor identiteits- en toegangsbeheertechnologie, al dan niet bij een andere CSP, inzet, moet de CSP voor zijn clouddiensten en de bijbehorende beheerinterfaces een eenvoudige integratie en eenvoudig beheer van de gebruikersidentiteiten tussen de systemen van de CSC en de clouddienst mogelijk maken en zodoende het gebruik van meerdere clouddiensten voor de CSC te vergemakkelijken, inclusief SSO. | Identiteits en toegangsmanagement | Integratie en interoperabiliteit van identiteits- en toegangsbeheer (incl. SSO) |
| CLD_U.09.01 | De CSC zorgt ervoor dat de toegang tot informatie in de clouddienst wordt beperkt in overeenstemming met zijn toegangscontrolebeleid en dat dergelijke beperkingen worden gerealiseerd. Dit omvat het beperken van de toegang tot clouddiensten, clouddienstfuncties en CSC-gegevens die in de service worden bewaard. | Beperking toegang tot informatie en speciale toegangsrechten | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen |
| CLD_U.09.02 | De CSP moet toegangscontroles bieden waarmee de CSC de toegang tot zijn clouddiensten, zijn clouddienstfuncties en de CSC-gegevens die in de dienst worden bewaard, kan beperken. | Beperking toegang tot informatie en speciale toegangsrechten | Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter |
| CLD_U.09.03 | De CSP zorgt ervoor dat het rol-gebaseerd uitgeven van toegangsrechten mogelijk is, zodat functiescheiding plaatsvindt, inclusief de scheiding tussen operationele en toezichthoudende functies. | Beperking toegang tot informatie en speciale toegangsrechten | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie |
| CLD_U.09.04 | De CSP zorgt ervoor dat het verlenen en wijzigen van gebruikersaccounts en toegangsrechten op basis van het least privilege-principe mogelijk is, zodat gebruikers precies genoeg toegangsrechten krijgen om hun werk te doen. | Beperking toegang tot informatie en speciale toegangsrechten | Toegangsbeheer op basis van het least privilege-principe |
| CLD_U.09.05 | De CSP informeert de CSC, wanneer interne of externe medewerkers van de CSP de gegevens van de CSC lezen of schrijven die in de clouddienst zijn verwerkt, opgeslagen of verzonden of er toegang toe hebben gehad zonder voorafgaande toestemming van de CSC. De informatie wordt verstrekt telkens wanneer de gegevens van de CSC niet zijn gecodeerd, de encryptie is/was uitgeschakeld voor toegang of de contractuele overeenkomsten dergelijke informatie niet expliciet uitsluiten. De informatie bevat de oorzaak, het tijdstip, de duur, het type en de omvang van de toegang. De informatie is voldoende gedetailleerd om materiedeskundigen van de CSC in staat te stellen de risico's van de toegang te beoordelen. De informatie wordt verstrekt conform de contractuele afspraken, dan wel binnen 72 uur na toegang. | Beperking toegang tot informatie en speciale toegangsrechten | Meldplicht en transparantie bij ongeautoriseerde toegang tot CSC-gegevens |
| CLD_U.09.06 | De CSC gebruikt voldoende authenticatietechnieken (bijvoorbeeld meervoudige authenticatie) om de beheerders van clouddiensten van de CSC te authenticeren voor de administratieve mogelijkheden van een clouddienst in overeenstemming met de geïdentificeerde risico’s. | Beperking toegang tot informatie en speciale toegangsrechten | Sterke authenticatie voor beheerders door de CSC |
| CLD_U.09.07 | De CSP gebruikt afdoende authenticatietechnieken, zoals tweefactor- of multifactorauthenticatie, om de beheerders van clouddiensten van de CSC te authenticeren voor de voorzieningen voor het beheer van een clouddienst in overeenstemming met de geïdentificeerde risico’s. | Beperking toegang tot informatie en speciale toegangsrechten | Sterke authenticatie voor beheeractiviteiten door de CSP |
| CLD_U.09.08 | Speciale toegangsrechten zijn gepersonaliseerd, beperkt in de tijd op basis van een risicobeoordeling en toegewezen indien nodig voor de uitvoering van taken (need-to-know-principe). | Beperking toegang tot informatie en speciale toegangsrechten | Toekenning van speciale toegangsrechten volgens need-to-know en risicobeoordeling |
| CLD_U.09.09 | Het gebruik van speciale toegangsrechten wordt gelogd om eventueel misbruik van bevoorrechte toegang in verdachte gevallen op te sporen. | Beperking toegang tot informatie en speciale toegangsrechten | Beheer van speciale toegangsrechten volgens need-to-know-principe |
| CLD_U.09.10 | Informatie van het loggen van gebeurtenissen van de gebruikers van de CSC en de toegang tot metadata betreffende de gegevens van de CSC is door de CSP beperkt door:
| Beperking toegang tot informatie en speciale toegangsrechten | Logging en beheersing van gebruik van speciale toegangsrechten |
| CLD_U.10.01 | De CSC behoort cryptografie te implementeren voor de gebruikte clouddiensten, tenzij anders blijkt uit een risicoanalyse. Cryptografie moet de geïdentificeerde risico’s afdoende te beperken, ongeacht of deze cryptografische oplossing door de CSC of door de CSP wordt geleverd. | Gebruik van cryptografie | Bieden toegang tot bevoegde services, IT-diensten en data |
| CLD_U.10.02 | Wanneer de CSP cryptografie aanbiedt, moet de CSC alle door de CSP verstrekte informatie beoordelen om te bevestigen of de cryptografische mogelijkheden:
| Gebruik van cryptografie | Verlenen toegang aan beheerders |
| CLD_U.10.03 | De CSP moet de CSC informatie verstrekken waar cryptografie wordt gebruikt, zodat de CSC kan bepalen of de informatie afdoende is beschermd. Daar waar gegevens van CSC’s via openbare netwerken worden overgedragen, geeft de CSP aan op welke wijze sterke encryptie en authenticatie de informatie afdoende beschermd.
De informatie moet duidelijkheid geven omtrent:
| Gebruik van cryptografie | Krijgen toegang tot IT-diensten en data |
| CLD_U.10.04 | De CSP moet de CSC ook informatie verstrekken over alle mogelijkheden die hij biedt die de CSC kan helpen bij het toepassen van zijn eigen cryptografische bescherming. | Gebruik van cryptografie | Toekennen bevoegdheden voor gebruikers via formele procedures |
| CLD_U.10.05 | De CSP biedt de CSC de mogelijkheid om eigen cryptografische sleutels te gebruiken en te beheren. | Gebruik van cryptografie | Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren |
| CLD_U.10.06 | De CSC moet de cryptografische sleutels voor elke clouddienst identificeren en procedures voor sleutelbeheer implementeren. | Gebruik van cryptografie | Toepassing van cryptografische standaarden en richtlijnen |
| CLD_U.10.07 | Cryptografische toepassingen voldoen aan passende standaarden van het Forum Standaardisatie. De sterkte van de cryptografie wordt gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van de AIVD. | Gebruik van cryptografie | Inzicht in sleutelbeheerprocedures bij gebruik van CSP-functionaliteit |
| CLD_U.10.09 | De CSC mag de CSP niet toestaan de encryptiesleutels voor cryptografische operaties op te slaan en te beheren wanneer de CSC gebruik maakt van zijn eigen sleutelbeheer of van een afzonderlijke en aparte sleutelbeheerdienst. | Gebruik van cryptografie | Scheiding van sleutelbeheer tussen CSC en CSP |
| CLD_U.10.10 | De privésleutels die voor de versleuteling worden gebruikt, zijn alleen bekend bij de CSC, in overeenstemming met de toepasselijke wettelijke en regelgevende verplichtingen en vereisten. Uitzonderingen volgen een gespecificeerde procedure. De procedures voor het gebruik van private sleutels, inclusief eventuele uitzonderingen, moeten contractueel worden overeengekomen tussen CSC en CSP. | Gebruik van cryptografie | Exclusieve controle en contractuele borging van privésleutels door de CSC |
| CLD_U.11.01 | De CSC moet zijn vereisten voor het registreren van gebeurtenissen definiëren en verifiëren dat de clouddienst aan deze vereisten voldoet. | Logging en monitoring | Uitwerken cryptografiebeleid |
| CLD_U.11.02 | De CSC moet informatie opvragen bij de CSP over de monitoringmogelijkheden die voor elke clouddienst beschikbaar zijn. | Logging en monitoring | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer |
| CLD_U.11.03 | De CSP heeft applicaties en infrastructuren zodanig geïmplementeerd en geconfigureerd dat gebruikerstoegang van de CSP en de CSC en intra-tenanttoegang worden gemonitord. | Logging en monitoring | Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure |
| CLD_U.11.04 | De CSC moet bepalen of de door de CSP geleverde logmogelijkheden geschikt zijn en of dat de CSC aanvullende logmogelijkheden moet kunnen hebben. | Logging en monitoring | Beoordeling van logmogelijkheden door de CSC |
| CLD_U.11.05 | De CSP moet mogelijkheden bieden waarmee de CSC specifieke, voor de CSC relevante, aspecten van de werking van de clouddiensten kan monitoren. Bijvoorbeeld om te monitoren en te detecteren of de clouddienst wordt gebruikt als platform om anderen aan te vallen, of dat er gevoelige gegevens uit de clouddienst lekken. | Logging en monitoring | Monitoringmogelijkheden voor beveiliging en gebruik van clouddiensten |
| CLD_U.11.06 | De CSC moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de CSP. | Logging en monitoring | Inzicht in kloksynchronisatie van CSP-systemen |
| CLD_U.11.07 | De CSP moet informatie verstrekken aan de CSC over de klok die wordt gebruikt door de systemen van de CSP, en informatie over hoe de CSC lokale klokken kan synchroniseren met de klok van de clouddienst. | Logging en monitoring | Afstemming en synchronisatie van klokken tussen CSC en CSP |
| CLD_U.11.08 | Als de CSC bewerking op de log mag uitvoeren, moeten die bewerkingen worden geregistreerd. | Logging en monitoring | Logging van bewerkingen op loggegevens |
| CLD_U.11.09 | Het gebruik van de monitoringmogelijkheden is voorzien van passende toegangscontroles. De mogelijkheden bieden alleen toegang tot informatie over de eigen clouddienst van de CSC. | Logging en monitoring | Toegangsbeheer voor monitoringfunctionaliteiten |
| CLD_U.11.10 | De CSP moet de CSC documentatie verstrekken over de mogelijkheden voor servicemonitoring. Monitoring moet gegevens opleveren die consistent zijn met de gebeurtenislogboeken en helpen bij de SLA-voorwaarden. | Logging en monitoring | Documentatie en ondersteuning van servicemonitoring door de CSP |
| CLD_U.12.01 | Wanneer de clouddienst multi-tenancy omvat, moet de CSP aangeven in welke mate wordt voldaan aan de veilige multi-tenancy en gerelateerde richtlijnen voor een veilige opslag van gegevens, zoals beschreven in ISO/IEC 27040. | Toegangsbeveiliging in een multi-tenant-omgeving | Treffen maatregelen in koppelpunten met externe of onvertrouwde zones |
| CLD_U.12.02 | De CSP moet rekening houden met de risico’s die gepaard gaan met het draaien van door CSC geleverde software binnen de door de CSP aangeboden clouddiensten. | Toegangsbeveiliging in een multi-tenant-omgeving | Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren |
| CLD_U.12.03 | De CSP moet passende logische scheiding van CSC-gegevens, (gevirtualiseerde) applicaties, besturingssystemen, opslag en netwerken afdwingen voor:
| Toegangsbeveiliging in een multi-tenant-omgeving | Scheiden CSP-beheeractiviteiten en CSC-data |
| CLD_U.12.04 | Wanneer de clouddienst multi-tenancy omvat, moet de CSP informatiebeveiligingscontroles implementeren om te zorgen voor een passende isolatie van bronnen die door verschillende tenants worden gebruikt. | Toegangsbeveiliging in een multi-tenant-omgeving | Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen |
| CLD_U.12.05 | De CSP zorgt voor de hardening van de virtuele machines in de multi-tenant-omgeving, om aan de beveiligingsvereisten van de CSC te voldoen. | Toegangsbeveiliging in een multi-tenant-omgeving | Bewaken en analyseren dataverkeer op kwaadaardige elementen |
| CLD_U.12.06 | De Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen. | Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM | |
| CLD_U.12.07 | Bij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Delen nieuwe dreigingen binnen overheid | |
| CLD_U.13.01 | De CSC stelt eisen aan het scheiden van netwerken in de door met meerdere tenants gedeelde cloudomgeving om isolatie van een aangeboden clouddienst te bereiken. De CSC verifieert dat de CSP aan deze vereisten voldoet. | Netwerksegmentatie en koppelvlakken | Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie |
| CLD_U.13.02 | De CSP moet scheiding van netwerktoegang afdwingen in de volgende gevallen:
| Netwerksegmentatie en koppelvlakken | Beschrijven functionele samenhang van service-componenten |
| CLD_U.13.03 | De CSP heeft specifieke beveiligingseisen ontworpen, gepubliceerd en voorzien voor het tot stand brengen van verbindingen binnen het netwerk van de CSP. De beveiligingseisen definiëren voor het verantwoordelijkheidsgebied van de CSP:
| Netwerksegmentatie en koppelvlakken | Zorgen voor benodigde informatie voor orkestratie van cloudservices |
| CLD_U.13.04 | Waar nodig moet de CSP de CSC helpen bij het verifiëren van de door de CSP geïmplementeerde segregatie. | Netwerksegmentatie en koppelvlakken | Verificatie van segregatie door de CSP met ondersteuning aan de CSC |
| CLD_U.13.05 | Bij de configuratie van virtuele netwerken moet er sprake zijn van consistentie van configuraties tussen virtuele en fysieke netwerken geverifieerd op basis van het netwerkbeveiligingsbeleid van de CSP. | Netwerksegmentatie en koppelvlakken | Consistente configuratie van virtuele en fysieke netwerken |
| CLD_U.13.06 | De CSP definieert en documenteert informatiebeveiligingsbeleid voor de configuratie van het virtuele netwerk. Dit beleid is consistent met het beveiligingsbeleid voor het fysieke netwerk. | Netwerksegmentatie en koppelvlakken | Beleid voor beveiligde configuratie van virtuele netwerken |
| CLD_U.13.07 | De CSP moet ervoor zorgen dat de virtuele netwerkconfiguratie overeenkomt met het informatiebeveiligingsbeleid, ongeacht de middelen die worden gebruikt om de configuratie te creëren. | Netwerksegmentatie en koppelvlakken | Naleving van beveiligingsbeleid binnen netwerkconfiguraties |
| CLD_U.13.08 | De CSP scheidt het dataverkeer van CSC’s op netwerkniveau, zodat de vertrouwelijkheid en integriteit van de verzonden gegevens is gegarandeerd. | Netwerksegmentatie en koppelvlakken | Netwerksegmentatie ter bescherming van CSC-dataverkeer |
| CLD_U.13.09 | De CSP bewaakt, versleutelt en beperkt de communicatie tussen segmenten/omgevingen tot alleen geverifieerde en geautoriseerde verbindingen. Controleer deze configuraties ten minste jaarlijks en ondersteun deze met een gedocumenteerde rechtvaardiging van alle toegestane services, protocollen, poorten en compenserende controles. | Netwerksegmentatie en koppelvlakken | Beveiligde en gecontroleerde communicatie tussen netwerksegmenten |
| CLD_U.13.10 | Door de CSP zijn op de koppelpunten met externe of onvertrouwde zones maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren, zodat (tegen)maatregelen met betrekking tot correlerende gebeurtenissen kunnen worden geïnitieerd. | Netwerksegmentatie en koppelvlakken | Detectie en mitigatie van aanvallen op netwerkkoppelpunten |
| CLD_U.13.11 | Het dataverkeer dat de CSP binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Netwerksegmentatie en koppelvlakken | Monitoring en analyse van netwerkverkeer op kwaadaardige activiteiten |
| CLD_U.14.01 | De CSC heeft voor alle informatie(systemen) in selectielijsten de bewaartermijn vastgelegd, rekening houdend met de eigen bedrijfsdoelstellingen en wet- en regeling, zoals de archiefwet en privacywetgeving. De CSC heeft deze termijnen ook praktisch ingeregeld en toetst periodiek de werking hiervan. | Beschermen van registraties | Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen |
| CLD_U.14.02 | De CSP bewaart, archiveert en verwijdert gegevens in overeenstemming met de vereisten van de CSC en toepasselijke wet- en regelgeving. | Beschermen van registraties | Gebruiken beveiligde netwerkprotocollen voor import en export van data |
| CLD_U.14.03 | De CSC moet informatie opvragen bij de CSP over de bescherming van door de CSP verzamelde en opgeslagen gegevens die relevant zijn voor het gebruik van clouddiensten door de CSC. | Beschermen van registraties | Opvragen van informatie over gegevensbescherming door de CSC |
| CLD_U.14.04 | De CSP moet informatie verstrekken aan de CSC over de bescherming van gegevens die door de CSP worden verzameld en opgeslagen met betrekking tot het gebruik van clouddiensten door de CSC. | Beschermen van registraties | Verstrekking van informatie over gegevensbescherming door de CSP |
| CLD_U.15.01 | Wanneer door de CSP het gebruik van systeemhulpmiddelen is toegestaan, moet de CSC de systeemhulpmiddelen identificeren die in zijn cloudomgeving moeten worden gebruikt, en ervoor zorgen dat deze de werking van de clouddienst niet verstoren. | Inzicht in de beschikbare speciale systeemhulpmiddelen | Vastleggen beleidsregel-overtreding |
| CLD_U.15.02 | De CSP moet de vereisten identificeren voor alle systeemhulpmiddelen die binnen de clouddienst worden gebruikt. | Inzicht in de beschikbare speciale systeemhulpmiddelen | Hebben SIEM- en/of SOC-regels over te rapporteren incident |
| CLD_U.15.03 | De CSP moet ervoor zorgen dat elk gebruik van systeemhulpmiddelen die de normale bedrijfs- of beveiligingsprocedures kunnen omzeilen, strikt beperkt blijft tot bevoegd personeel, en dat het gebruik van dergelijke hulpmiddelen regelmatig wordt beoordeeld en gecontroleerd. | Inzicht in de beschikbare speciale systeemhulpmiddelen | Hanteren en beoordelen lijst van alle kritische activa |
| CLD_U.15.04 | Aan logboeken en bewaking worden strenge eisen gesteld. Voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd. | Stellen eisen aan logboeken en bewaking | |
| CLD_U.15.05 | De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP). | Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers | |
| CLD_U.15.06 | Wijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken.) | Controleren wijzigingen in logging en monitoring | |
| CLD_U.16.01 | Procedures voor administratieve handelingen in een cloudcomputing-omgeving moeten worden gedefinieerd, gedocumenteerd en gecontroleerd. | Gedocumenteerde bedieningsprocedures | Specificeren minimale zaken voor architectuur |
| CLD_U.16.02 | De CSP moet documentatie over de kritieke operaties en procedures verstrekken aan de CSC’s. | Gedocumenteerde bedieningsprocedures | Documentatie van kritieke operaties en procedures door de CSP |
| CLD_U.16.03 | De CSC moet procedures documenteren voor kritieke operaties waarbij een storing onherstelbare schade kan veroorzaken aan bedrijfsmiddelen in de cloudcomputing-omgeving. | Gedocumenteerde bedieningsprocedures | Vastlegging van procedures voor kritieke operaties door de CSC |
| CLD_U.16.04 | De CSP heeft in een document vastgelegd dat en hoe toezicht wordt gehouden op kritieke operaties, inclusief de technische maatregelen om detectietools, bedreigingssignaturen en indicatoren van onjuiste handelingen wekelijks of vaker bij te werken. | Gedocumenteerde bedieningsprocedures | Toezicht en beveiligingsmaatregelen bij kritieke operaties door de CSP |
| CLD_U.17.01 | De CSC moet de volgende items toevoegen aan bewustmakings-, opleidings- en trainingsprogramma’s voor bedrijfsmanagers van clouddiensten, beheerders van clouddiensten, integrators van clouddiensten en gebruikers van clouddiensten, inclusief relevante werknemers en contractanten:
| Bewustwording, opleiding en training | Versleutelen CSC-data op transport en in rust |
| CLD_U.17.02 | De CSP moet documentatie over de kritieke operaties en procedures verstrekken aan de CSC’s. | Bewustwording Opleiding en training (ISOR:Multi-tenant architectuur) | Gescheiden inrichten virtuele machine-platforms voor CSC’s |
| CLD_U.17.02 | Er moeten door de CSC voorlichtings-, onderwijs- en trainingsprogramma’s op het gebied van informatiebeveiliging over clouddiensten worden aangeboden aan het management en de toezichthoudende managers, inclusief die van bedrijfsonderdelen. | Bewustwording Opleiding en training (ISOR:Multi-tenant architectuur) | Bewustwording en training over cloudbeveiliging binnen de CSC |
| CLD_U.17.03 | De CSP moet zorgen voor bewustwording, opleiding en training voor werknemers, en CSC’s, zoals dienstverleners of leveranciers wier diensten bijdragen aan het aanbieden van de clouddienst, verzoeken hetzelfde te doen, met betrekking tot de juiste omgang met CSC-gegevens en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een CSC of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, met betrekking tot toegang en gebruik door de CSP. | Bewustwording Opleiding en training (ISOR:Multi-tenant architectuur) | Hardenen virtuele machine-platforms |
| CLD_U.17.03 | De CSP moet zorgen voor bewustwording, opleiding en training voor werknemers, en CSC’s, zoals dienstverleners of leveranciers wier diensten bijdragen aan het aanbieden van de clouddienst, verzoeken hetzelfde te doen, met betrekking tot de juiste omgang met CSC-gegevens en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een CSC of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, met betrekking tot toegang en gebruik door de CSP. | Bewustwording Opleiding en training (ISOR:Multi-tenant architectuur) | Bewustwording en training over gegevensbescherming door de CSP en ketenpartners |
| CLD_U.18.01 | De CSC dient informatie op te vragen bij de CSP over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten. | Beheer van technische kwetsbaarheden | Opvragen van informatie over kwetsbaarhedenbeheer door de CSC |
| CLD_U.18.02 | De CSP moet aan CSC van de clouddienst informatie beschikbaar stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten. | Beheer van technische kwetsbaarheden | Verstrekking van informatie over kwetsbaarhedenbeheer door de CSP |
| CLD_U.18.03 | De CSP informeert de CSC periodiek over de status van incidenten die de CSC raken, of betrekt CSC waar passend en noodzakelijk bij de oplossing. Zodra een incident vanuit het perspectief van de CSP is opgelost, wordt de CSC geïnformeerd over de ondernomen acties. | Beheer van technische kwetsbaarheden | Communicatie en opvolging van incidenten door de CSP |
| CLD_U.18.04 | De CSC identificeert technische kwetsbaarheden waar hij verantwoordelijk voor is. De CSC voorkomt nadelige gevolgen en heeft daartoe een proces gedefinieerd en ingericht. | Beheer van technische kwetsbaarheden | Identificatie en beheersing van technische kwetsbaarheden door de CSC |
| CLD_U.18.05 | Als de kans op misbruik en de verwachte schade beide hoog zijn (bijvoorbeeld met de NCSC-Inschalingsmatrix beveiligingsadviezen of leveranciersbeveiligingsadviezen), worden passende mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen een week getroffen. | Beheer van technische kwetsbaarheden | Tijdige mitigatie van kritieke kwetsbaarheden |
| CLD_U.19.01 | De CSP moet de CSC mechanismen bieden voor:
| Melden van informatiebeveiligingsgebeurtenissen | Mechanismen voor melding, rapportage en opvolging van beveiligingsincidenten |
| CLD_U.19.02 | De CSC moet informatie opvragen bij de CSP over door de CSC te hanteren mechanismen voor:
| Melden van informatiebeveiligingsgebeurtenissen | Afstemming over incidentmanagementprocessen tussen CSC en CSP |
| CLD_U.19.03 | De CSP moet essentiële informatie verstrekken, zoals telefoonnummers, e-mailadressen en servicetijden voor zowel de CSC als de CSP. | Melden van informatiebeveiligingsgebeurtenissen | Beschikbaarheid van contactinformatie voor incidentafhandeling |
| CLD_U.19.04 | De CSP beheert en verwijst naar een dagelijks bijgewerkt online register van bekende kwetsbaarheden die van invloed zijn op de CSP en op door de CSP geleverde middelen. Bij iedere kwetsbaarheid wordt aangegeven of er software-updates (bijvoorbeeld een patch of update) beschikbaar zijn, wanneer deze uitgerold worden en of deze door de CSP, de CSC of beiden samen moet worden geïnstalleerd. De bij de kwetsbaarheid opgenomen informatie vormt een geschikte basis voor risicobeoordeling en eventuele vervolgmaatregelen aan de CSC. Het online register is eenvoudig toegankelijk voor elke CSC. | Melden van informatiebeveiligingsgebeurtenissen | Transparantie over kwetsbaarheden via een actueel register |
| CLD_U.19.05 | De CSP heeft, in lijn met de toepasselijke wet- en regelgeving, een procedure opgesteld voor het beheren en beantwoorden van verzoeken om openbaarmaking van persoonsgegevens door wetshandhavingsautoriteiten en rapporteert de CSC over de te volgen procedure. De CSP meldt een openbaarmaking aan de CSC, volgens een opgestelde meldingsprocedure, tenzij dit verboden is, zoals bij een strafrechtelijke eis om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren. | Melden van informatiebeveiligingsgebeurtenissen | Beheer en melding van verzoeken tot gegevensverstrekking door autoriteiten |
| CLD_U.19.06 | Wanneer een informatiebeveiligingsgebeurtenis wordt gedetecteerd door de CSC of door de CSP, behoort dit onmiddellijk aan de andere partij te worden gemeld. | Melden van informatiebeveiligingsgebeurtenissen | Wederzijdse meldplicht bij informatiebeveiligingsgebeurtenissen |
| CLD_U.20.01 | De CSC moet de toewijzing van verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten verifiëren en ervoor zorgen dat deze voldoet aan de eisen van de CSC. | Opvolging informatiebeveiligingsincidenten | Verificatie van verantwoordelijkheden voor incidentbeheer door de CSC |
| CLD_U.20.02 | Als onderdeel van de dienstspecificaties moet de CSP de toewijzing van verantwoordelijkheden en procedures voor het beheer van informatiebeveiligingsincidenten tussen de CSC en de CSP definiëren. | Opvolging informatiebeveiligingsincidenten | Vastlegging van verantwoordelijkheden en procedures voor incidentbeheer |
| CLD_U.20.03 | De CSP moet de CSC documentatie verstrekken over:
| Opvolging informatiebeveiligingsincidenten | Documentatievereisten voor rapportage van informatiebeveiligingsincidenten |
| CLD_U.20.04 | Nadat een beveiligingsincident, volgens een responsplan voor beveiligingsincidenten is afgehandeld, wordt door de CSP de rapportage ter definitieve bevestiging naar de CSC gestuurd. | Opvolging informatiebeveiligingsincidenten | Rapportage en bevestiging na afhandeling van beveiligingsincidenten |
| CLD_U.20.05 | De CSP definieert en implementeert processen, procedures en technische maatregelen voor meldingen van beveiligingsinbreuken in de (toeleverings)keten. De CSP rapporteert aan de CSC inbreuken op de beveiliging en veronderstelde inbreuken op de beveiliging, inclusief eventuele relevante inbreuken op de (toeleverings)keten, volgens de toepasselijke SLA’s en wet- en regelgeving. | Opvolging informatiebeveiligingsincidenten | Beheer en melding van beveiligingsincidenten in de toeleveringsketen |
| CLD_U.20.06 | De CSP meldt een incident onmiddellijk als een incident aanzienlijke gevolgen heeft voor de continuïteit van zijn essentiële dienst, ook als de CSP niet valt onder de jurisdictie van Nederland, bij de Nederlandse minister van Justitie en Veiligheid en de bevoegde autoriteit. De CSP onderhoudt daartoe contactpunten voor toepasselijke regelgevende instanties, nationale en lokale wetshandhavingsinstanties en andere juridische bevoegde autoriteiten. | Opvolging informatiebeveiligingsincidenten | Meldplicht bij ernstige incidenten richting autoriteiten |
| CLD_U.20.07 | De CSC en de CSP moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om potentieel digitaal bewijsmateriaal of andere informatie vanuit de cloudcomputing-omgeving. | Opvolging informatiebeveiligingsincidenten | Afstemming over omgang met digitaal bewijsmateriaal en informatieverzoeken |
| CLD_U.21.01 | Wanneer de CSC gebruik maakt van meerdere CSP’s, dan behoort de CSC ervoor te zorgen dat er een adequate organisatiestructuur is die is voorbereid op een verstoring, deze verzacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie. | Waarborgen van de bedrijfscontinuïteit | Organisatie en paraatheid voor verstoringen bij multi-cloudgebruik |
| CLD_U.21.02 | De CSP draagt zorg voor redundantie in middelen en voor een redelijke minimale afstand ervan in overeenstemming met de toepasselijke industrienormen en rekening houdend met calamiteiten, zoals natuurrampen. De CSP informeert de CSC over mogelijke restrisico’s in het kader van de BIA van de CSC. | Waarborgen van de bedrijfscontinuïteit | Redundantie en restrisicocommunicatie door de CSP |
| CLD_U.21.03 | De CSC beschrijft de ICT-continuïteitseisen als resultaat van de bedrijfsimpactanalyse (BIA). | Waarborgen van de bedrijfscontinuïteit | Vaststelling van ICT-continuïteitseisen op basis van de BIA |
| CLD_U.21.04 | Wanneer de CSC gebruik maakt van meerdere CSP’s, dan behoort de CSC strategieën voor ICT-continuïteit te identificeren en selecteren waarin opties voor voorafgaand aan, tijdens en na een verstoring in overweging worden genomen. Op basis van de strategieën behoren plannen te worden opgesteld, geïmplementeerd en getest om na een (ver)storing van essentiële processen het vereiste beschikbaarheidsniveau van ICT-diensten binnen de vereiste tijdsbestekken te halen. | Waarborgen van de bedrijfscontinuïteit | Strategieën en plannen voor ICT-continuïteit bij multi-cloudgebruik |
| CLD_U.21.05 | De CSP behoort de impact van een storing op de clouddienst of onderneming te bepalen en ervoor te zorgen dat ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten:
| Waarborgen van de bedrijfscontinuïteit | Bepaling van RTO en RPO binnen ICT-continuïteitsplanning |
| CLD_U.21.06 | De serviceovereenkomst tussen de CSC en de CSP bevat informatie over hoe en in welke mate de continuïteit van de clouddienstverlening is gewaarborgd. In een rampenresponsplan is beschreven hoe te herstellen van natuurrampen en door de mens veroorzaakte rampen. | Waarborgen van de bedrijfscontinuïteit | Contractuele borging van continuïteit en rampenherstel |
| CLD_U.21.07 | De CSC waarborgt dat de in de serviceovereenkomst beschreven informatie over de continuïteit van de clouddienstverlening voldoet aan de continuïteitseisen als resultaat van de BIA. | Waarborgen van de bedrijfscontinuïteit | Toetsing van continuïteitsafspraken aan BIA-eisen door de CSC |
| CLD_U.22.01 | De CSC zorgt ervoor dat de overeengekomen capaciteit die door de clouddienst wordt geleverd, voldoet aan de eisen van de CSC, ook bij capaciteitstekorten of uitval van personeel en IT-middelen. | Capaciteitsbeheer clouddiensten | Borging van voldoende capaciteit van clouddiensten door de CSC |
| CLD_U.22.02 | De CSC moet het gebruik van clouddiensten monitoren en hun capaciteitsbehoeften voorspellen om de prestaties van de clouddiensten in de loop van de tijd te garanderen. | Capaciteitsbeheer clouddiensten | Monitoring en prognose van capaciteitsbehoeften door de CSC |
| CLD_U.22.03 | Afhankelijk van het type clouddienst kan de CSC systeembronnen inzetten die aan hem zijn toegewezen. Daarbij kan de CSP het beheer/gebruik controleren en monitoren om overbelasting van de systeembronnen te voorkomen en een goede performance te bereiken. | Capaciteitsbeheer clouddiensten | Beheer en controle van systeembronnen binnen clouddiensten |
| CLD_U.22.04 | De CSP moet de totale capaciteit van de middelen monitoren om informatiebeveiligingsincidenten veroorzaakt door tekorten aan middelen te voorkomen. De CSP identificeert daartoe gebruikstrends, zodat de CSP aan toekomstige capaciteitsvereisten kan voldoen. | Capaciteitsbeheer clouddiensten | Capaciteitsmonitoring en trendanalyse door de CSP |
| CLD_U.23.01 | Het moet duidelijk zijn als de CSC verantwoordelijk is voor het implementeren van back-upmogelijkheden wanneer de CSP deze niet biedt, omdat dit geen onderdeel uitmaakt van het type clouddienst. | Back-up van informatie | Verantwoordelijkheid voor back-upvoorzieningen binnen clouddiensten |
| CLD_U.23.02 | De CSP moet de specificaties van zijn back-upmogelijkheden aan de CSC verstrekken. De specificaties moeten, indien van toepassing, de volgende informatie bevatten:
| Back-up van informatie | Specificatie en transparantie van back-upmogelijkheden door de CSP |
| CLD_U.23.03 | Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteitsplannen. Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijd. In het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen. | Back-up van informatie | Testen en valideren van back-up- en herstelprocedures |
| CLD_U.23.04 | Wanneer de CSP back-upmogelijkheden levert als onderdeel van de clouddienst, moet de CSC de specificaties van de back-upmogelijkheden opvragen bij de CSP. | Back-up van informatie | Opvragen van back-upspecificaties door de CSC |
| CLD_U.23.05 | De CSP moet de CSC veilige en gescheiden toegang bieden tot back-ups, zoals virtuele snapshots van een virtuele machine of de opslag, als een dergelijke dienst aan CSC’s wordt aangeboden. | Back-up van informatie | Veilige en gescheiden toegang tot back-ups door de CSP |
| CVZ_B.01.01 | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid en procedures voor informatietransport | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
| CVZ_B.01.02 | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie. | Beleid en procedures voor informatietransport | Beleid of richtlijnen omschrijven het toepassen van cryptografie |
| CVZ_B.01.03 | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid en procedures voor informatietransport | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden |
| CVZ_B.01.04 | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Beleid en procedures voor informatietransport | Procedures beschrijven het beveiligen van informatie |
| CVZ_B.01.05 | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Beleid en procedures voor informatietransport | Procedures beschrijven het opsporen van en beschermen tegen malware |
| CVZ_B.01.06 | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Beleid en procedures voor informatietransport | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
| CVZ_B.01.07 | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beleid en procedures voor informatietransport | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd |
| CVZ_B.02.01 | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Overeenkomst voor informatietransport | Elementen in overeenkomsten over informatietransport |
| CVZ_B.02.02 | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | Overeenkomst voor informatietransport | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn |
| CVZ_B.03.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid voor communicatie | In het cryptografiebeleid uitgewerkte onderwerpen |
| CVZ_B.03.02 | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid voor communicatie | Aanvullende onderdelen in het cryptografiebeleid |
| CVZ_B.04.01 | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management). | Organisatiestructuur netwerkbeheer | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
| CVZ_B.04.02 | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. | Organisatiestructuur netwerkbeheer | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie |
| CVZ_B.04.03 | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur netwerkbeheer | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd |
| CVZ_C.01.01 | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Naleving richtlijnen netwerkbeheer en evaluaties | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
| CVZ_C.02.01 | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Compliance-toets netwerkbeveiliging | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s |
| CVZ_C.02.02 | Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Compliance-toets netwerkbeveiliging | Checklist voor veilige inrichting van netwerk(diensten) |
| CVZ_C.02.03 | De resultaten worden gerapporteerd aan het verantwoordelijke management. | Compliance-toets netwerkbeveiliging | Resultaten worden gerapporteerd aan het verantwoordelijke management |
| CVZ_C.03.01 | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Evalueren robuustheid netwerkbeveiliging | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
| CVZ_C.04.01 | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Evalueren netwerkgebeurtenissen (monitoring) | Zeer belangrijke onderdelen van netwerkbeveiliging |
| CVZ_C.04.02 | Continue bewaking via monitoring legt de volgende informatie vast:
| Evalueren netwerkgebeurtenissen (monitoring) | Continue bewaking via monitoring |
| CVZ_C.05.01 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Beheersorganisatie netwerkbeveiliging | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
| CVZ_C.05.02 | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
| Beheersorganisatie netwerkbeveiliging | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
| CVZ_U.01.01 | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Richtlijn voor netwerkbeveiliging | Stappen ter voorbereiding van veilige netwerkontwerpen |
| CVZ_U.01.02 | Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen. | Richtlijn voor netwerkbeveiliging | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” |
| CVZ_U.01.03 | Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C). | Richtlijn voor netwerkbeveiliging | Netwerkbeveiliging is gebaseerd op ITU-T X.80x |
| CVZ_U.01.04 | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Richtlijn voor netwerkbeveiliging | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten |
| CVZ_U.01.05 | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals in norm U.01.04 is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012. | Richtlijn voor netwerkbeveiliging | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat |
| CVZ_U.01.06 | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden. | Richtlijn voor netwerkbeveiliging | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden |
| CVZ_U.02.01 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Beveiligde inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt |
| CVZ_U.02.02 | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal twee-factorauthenticatie. | Beveiligde inlogprocedure | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone |
| CVZ_U.02.03 | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
| Beveiligde inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers |
| CVZ_U.03.01 | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Netwerkbeveiligingsbeheer | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld |
| CVZ_U.03.02 | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerkbeveiligingsbeheer | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen |
| CVZ_U.03.03 | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. | Netwerkbeveiligingsbeheer | Beheeractiviteiten worden nauwgezet gecoördineerd |
| CVZ_U.03.04 | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Netwerkbeveiligingsbeheer | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld |
| CVZ_U.03.05 | De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Netwerkbeveiligingsbeheer | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden |
| CVZ_U.03.06 | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Netwerkbeveiligingsbeheer | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd |
| CVZ_U.04.01 | Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomst | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| CVZ_U.05.01 | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau voor Verbindingsbeveiliging (NBV) een positief inzetadvies heeft afgegeven. | Beveiliging netwerkdiensten | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen |
| CVZ_U.05.02 | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiliging netwerkdiensten | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid |
| CVZ_U.05.03 | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
| Beveiliging netwerkdiensten | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen |
| CVZ_U.05.04 | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Beveiliging netwerkdiensten | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd |
| CVZ_U.05.05 | Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beveiliging netwerkdiensten | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst |
| CVZ_U.05.06 | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beveiliging netwerkdiensten | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen |
| CVZ_U.06.01 | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Zonering en filtering | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau |
| CVZ_U.06.02 | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Zonering en filtering | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding |
| CVZ_U.06.03 | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router). | Zonering en filtering | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst |
| CVZ_U.06.04 | Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen. | Zonering en filtering | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding |
| CVZ_U.07.01 | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie. | Elektronische berichten | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren |
| CVZ_U.07.02 | Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling. | Elektronische berichten | Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling |
| CVZ_U.07.03 | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. | Elektronische berichten | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten |
| CVZ_U.07.04 | Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie). | Elektronische berichten | Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1 |
| CVZ_U.07.05 | Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
| Elektronische berichten | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen |
| CVZ_U.08.01 | Met de communicerende partijen worden afspraken gemaakt over:
| Toepassingen via openbare netwerken | Met communicerende partijen worden afspraken gemaakt |
| CVZ_U.09.01 | Voor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Gateways en firewalls | Voor elke gateway of firewall bestaat een actueel configuratiedocument |
| CVZ_U.09.02 | De filterfunctie van gateways en firewalls zijn instelbaar. | Gateways en firewalls | De filterfunctie van gateways en firewalls is instelbaar |
| CVZ_U.09.03 | Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM). | Gateways en firewalls | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM |
| CVZ_U.09.04 | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Gateways en firewalls | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten |
| CVZ_U.10.01 | De end-to-end-connectie:
| Virtual Private Networks (VPN) (ISOR:Virtual Private Networks (VPN)) | De end-to-end |
| CVZ_U.11.01 | Voor het waarborgen van de vertrouwelijkheid van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie. | Cryptografische services | Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen |
| CVZ_U.11.02 | Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
| Cryptografische services | Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast |
| CVZ_U.11.03 | Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. | Cryptografische services | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden |
| CVZ_U.11.04 | Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
| Cryptografische services | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden |
| CVZ_U.12.01 | Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
| Draadloze toegang | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken |
| CVZ_U.13.01 | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
| Netwerkconnectie | Voor de beheersing van netwerken worden minimumeisen |
| CVZ_U.13.02 | Netwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd. | Netwerkconnectie | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd |
| CVZ_U.14.01 | Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)). | Netwerkauthenticatie | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd |
| CVZ_U.14.02 | Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x). | Netwerkauthenticatie | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen |
| CVZ_U.15.01 | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. Met name geldt daarbij:
| Netwerkbeheeractiviteiten | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie |
| CVZ_U.15.02 | Netwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerkbeheeractiviteiten | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken |
| CVZ_U.16.01 | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs. | Vastleggen en monitoring netwerkgebeurtenissen (events) (ISOR:Vastleggen en monitoring van netwerkgebeurtenissen (events)) | Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs |
| CVZ_U.16.02 | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Logging en monitoring communicatievoorzieningen | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen |
| CVZ_U.17.01 | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuur van het te beveiligen systeem. | Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem |
| CVZ_U.17.02 | De beveiligingsarchitectuur is gelaagd, zoals:
| Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur is gelaagd |
| CVZ_U.17.03 | De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden. | Netwerkbeveiligingsarchitectuur | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden |
| HVI_B.01.01 | De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
| Huisvesting informatievoorzieningenbeleid | Er is een huisvesting informatievoorzieningenbeleid |
| HVI_B.01.02 | Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
| Huisvesting informatievoorzieningenbeleid | Beleidsregels huisvesting informatievoorzieningen |
| HVI_B.01.03 | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
| Huisvesting informatievoorzieningenbeleid | Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
| HVI_B.02.01 | De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV. | Wet- en regelgeving Huisvesting IV | Vaststellen toepasselijkheid wetgeving |
| HVI_B.02.02 | Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Wet- en regelgeving Huisvesting IV | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
| HVI_B.03.01 | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd. | Eigenaarschap Huisvesting IV | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
| HVI_B.03.02 | Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Eigenaarschap Huisvesting IV | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
| HVI_B.03.03 | De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | Eigenaarschap Huisvesting IV | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
| HVI_B.03.04 | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Eigenaarschap Huisvesting IV | Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
| HVI_B.04.01 | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Certificering | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
| HVI_B.04.02 | Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificering | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
| HVI_B.05.01 | De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Contractmanagement | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
| HVI_B.05.02 | Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Contractmanagement | Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst |
| HVI_B.05.03 | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Contractmanagement | Vastleggen betrokken rollen Contractmanagement en Service Level Management |
| HVI_B.05.04 | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s). | Contractmanagement | Afspraken contractueel vastgeleggen in SLA’s en DAP’s |
| HVI_B.05.05 | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Contractmanagement | Evalueren levering van voorzieningen |
| HVI_B.06.01 | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Service Level Management | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
| HVI_B.06.02 | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | Service Level Management | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
| HVI_B.06.03 | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). | Service Level Management | De aspecten waarop de Service Levels o.a. zijn gericht |
| HVI_B.07.01 | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | In- en externe bedreigingen | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
| HVI_B.07.02 | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | In- en externe bedreigingen | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
| HVI_B.07.03 | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | In- en externe bedreigingen | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
| HVI_B.07.04 | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | In- en externe bedreigingen | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
| HVI_B.08.01 | Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Training en bewustwording | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
| HVI_B.08.02 | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Training en bewustwording | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
| HVI_B.09.01 | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie. | Organisatiestructuur huisvesting IV | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
| HVI_B.09.02 | Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar. | Organisatiestructuur huisvesting IV | Er is een Huisvestingsorganisatieschema beschikbaar |
| HVI_B.09.03 | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie. | Organisatiestructuur huisvesting IV | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
| HVI_B.09.04 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd. | Organisatiestructuur huisvesting IV | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
| HVI_C.01.01 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | Controle-richtlijnen huisvesting IV | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
| HVI_C.01.02 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Controle-richtlijnen huisvesting IV | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| HVI_C.01.03 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Controle-richtlijnen huisvesting IV | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
| HVI_C.01.04 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Controle-richtlijnen huisvesting IV | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie |
| HVI_C.01.05 | De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Controle-richtlijnen huisvesting IV | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
| HVI_C.02.01 | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Onderhoudsplan | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
| HVI_C.02.02 | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Onderhoudsplan | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
| HVI_C.03.01 | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Continuïteitsbeheer | Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
| HVI_C.03.02 | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | Continuïteitsbeheer | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken |
| HVI_C.03.03 | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Continuïteitsbeheer | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
| HVI_C.03.04 | De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd. | Continuïteitsbeheer | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
| HVI_C.03.05 | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Continuïteitsbeheer | Realisatie van afdoende uitwijkfaciliteiten |
| HVI_C.03.06 | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Continuïteitsbeheer | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
| HVI_C.03.07 | De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Continuïteitsbeheer | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
| HVI_C.04.01 | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie huisvesting IV | Er zijn functionarissen voor de beheersorganisatie benoemd |
| HVI_C.04.02 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie huisvesting IV | Verantwoordelijkheden zijn toegewezen en vastgelegd |
| HVI_C.04.03 | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie huisvesting IV | Verantwoordelijkheden zijn beschreven en vastgelegd |
| HVI_C.04.04 | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie huisvesting IV | De samenhang van processen is in een processtructuur vastgelegd. |
| HVI_U.01.01 | Personeel behoort alleen dankzij ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied. | Richtlijn gebieden en ruimten | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
| HVI_U.01.02 | Zonder toezicht wordt niet gewerkt in beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | Richtlijn gebieden en ruimten | In beveiligde gebieden wordt slechts onder toezicht gewerkt |
| HVI_U.01.03 | Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn. | Richtlijn gebieden en ruimten | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd |
| HVI_U.01.04 | Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Richtlijn gebieden en ruimten | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
| HVI_U.01.05 | Bezoekers van kritieke faciliteiten:
| Richtlijn gebieden en ruimten | Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
| HVI_U.02.01 | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002). | Bedrijfsmiddelen-inventaris | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
| HVI_U.02.02 | De huisvesting Informatievoorzieningen (IV)-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
| Bedrijfsmiddelen-inventaris | Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV |
| HVI_U.02.03 | De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten. | Bedrijfsmiddelen-inventaris | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
| HVI_U.02.04 | De huisvesting Informatievoorzieningen (IV)-organisatie heeft inventarisoverzichten, waarvoor geldt:
| Bedrijfsmiddelen-inventaris | Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
| HVI_U.03.01 | Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden:
| Fysieke zonering | Voorschriften voor het inrichten van beveiligde zones |
| HVI_U.03.02 | Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Fysieke zonering | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen |
| HVI_U.03.03 | Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Fysieke zonering | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
| HVI_U.03.04 | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Fysieke zonering | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
| HVI_U.03.05 | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Fysieke zonering | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd |
| HVI_U.04.01 | Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. | Beveiligingsfaciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
| HVI_U.04.02 | Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Beveiligingsfaciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
| HVI_U.04.03 | Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Beveiligingsfaciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
| HVI_U.04.04 | Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4). | Beveiligingsfaciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan |
| HVI_U.05.01 | Nutsvoorzieningen:
| Nutsvoorzieningen | De nutsvoorzieningen |
| HVI_U.05.02 | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
| HVI_U.05.03 | Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. | Nutsvoorzieningen | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
| HVI_U.05.04 | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Nutsvoorzieningen | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
| HVI_U.06.01 | Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens. | Apparatuur-positionering | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
| HVI_U.06.02 | Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. | Apparatuur-positionering | Apparatuur wordt beschermd tegen externe bedreigingen |
| HVI_U.07.01 | Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Apparatuur-onderhoud | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
| HVI_U.07.02 | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Apparatuur-onderhoud | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel |
| HVI_U.07.03 | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Apparatuur-onderhoud | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
| HVI_U.07.04 | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Apparatuur-onderhoud | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
| HVI_U.07.05 | Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. | Apparatuur-onderhoud | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
| HVI_U.07.06 | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Apparatuur-onderhoud | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
| HVI_U.08.01 | Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat. | Apparatuur-verwijdering | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
| HVI_U.08.02 | Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
| Apparatuur-verwijdering | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
| HVI_U.09.01 | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. | Bedrijfsmiddelenverwijdering | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd |
| HVI_U.09.02 | Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd. | Bedrijfsmiddelenverwijdering | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
| HVI_U.09.03 | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht. | Bedrijfsmiddelenverwijdering | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
| HVI_U.09.04 | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Bedrijfsmiddelenverwijdering | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
| HVI_U.09.05 | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. | Bedrijfsmiddelenverwijdering | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
| HVI_U.10.01 | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten. | Laad- en loslocatie | Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
| HVI_U.10.02 | Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel. | Laad- en loslocatie | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
| HVI_U.10.03 | De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Laad- en loslocatie | Eisen aan de laad- en loslocatie |
| HVI_U.10.04 | De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn. | Laad- en loslocatie | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
| HVI_U.10.05 | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer. | Laad- en loslocatie | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
| HVI_U.10.06 | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Laad- en loslocatie | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
| HVI_U.10.07 | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld. | Laad- en loslocatie | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
| HVI_U.11.01 | Kabels worden bij voorkeur ondergronds aangelegd. | Bekabeling | Kabels worden bij voorkeur ondergronds aangelegd |
| HVI_U.11.02 | Huisvesting Informatievoorzieningen (IV) is ingericht met de volgende best practices:
| Bekabeling | De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
| HVI_U.11.03 | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Bekabeling | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
| HVI_U.12.01 | De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting Informatievoorzieningen (IV) worden actief onderhouden. | Huisvesting IV-architectuur | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden |
| HVI_U.12.02 | De inrichting van huisvesting Informatievoorzieningen (IV) en bekabelingen zijn gedocumenteerd. | Huisvesting IV-architectuur | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd |
| HVI_U.12.03 | Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling:
| Huisvesting IV-architectuur | Aan het architectuurdocument gestelde eisen |
| Huisv_B.01.01 | Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen | ||
| Huisv_B.01.02 | Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen | ||
| Huisv_B.01.03 | Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening | ||
| Huisv_U.02.04 vervallen | Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). | Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend | |
| LTV_C.03.01 | Logbestanden van applicaties en systemen bevatten uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd. | Uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd worden opgeslagen in logbestanden van applicaties en systemen | |
| LTV_C.03.04 | Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld | |
| LTV_C.04.03 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd | |
| MDW_B.01.01 | Er is een middlewarecomponentenbeleid vanuit de klant-organisatie waarin de eisen voor deze componenten zijn gedefinieerd en vastgesteld. Er moet speciale aandacht zijn voor het beschermen van de componenten tegen ransomware-aanvallen. | Beleid middlewarecomponenten | Middlewarecomponentenbeleid en bescherming tegen ransomware-aanvallen |
| MDW_B.01.02 | De leverancier heeft het beleid voor middlewarecomponenten gereviewd en zo nodig verbeteringen daarop voorgesteld. | Beleid middlewarecomponenten | Review en verbetervoorstellen voor middlewarecomponentenbeleid |
| MDW_B.01.03 | Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is (in de middlewareomgeving) en wat de maximale hersteltijd is na een incident. | Beleid middlewarecomponenten | Risicoafweging voor maximaal dataverlies en hersteltijd in de middlewareomgeving |
| MDW_B.01.04 | Het back-upproces via middlewarecomponenten voorziet in opslag van de back-up op een locatie, waarbij een incident op de ene locatie niet kan leiden tot schade op de andere locatie. | Beleid middlewarecomponenten | Back-upproces en gescheiden opslaglocaties voor middlewarecomponenten |
| MDW_B.01.05 | De restoreprocedure wordt minimaal jaarlijks getest of na een grote wijziging om de betrouwbaarheid te waarborgen als ze in noodgevallen uitgevoerd moet worden. | Beleid middlewarecomponenten | Periodiek testen van de restoreprocedure voor betrouwbaarheid bij noodgevallen |
| MDW_B.01.06 | De opzet en de instelling van integratiefuncties in middleware voldoet aan de geldende eisen voor softwareontwikkeling. | Beleid middlewarecomponenten | Integratiefuncties in middleware volgens eisen voor softwareontwikkeling |
| MDW_B.01.07 | Voor de toegang tot configuratie en beheer van integratiefuncties worden speciale toegangsrechten gehanteerd. | Beleid middlewarecomponenten | Speciale toegangsrechten voor configuratie en beheer van integratiefuncties |
| MDW_B.01.08 | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend, die gebaseerd is op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie. | Beleid middlewarecomponenten | Dataclassificatie op basis van waarde, gevoeligheid en kritische gehalte |
| MDW_B.01.09 | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Beleid middlewarecomponenten | Classificatie en bescherming van e-commerce data op publieke netwerken |
| MDW_B.02.01 | Het beleid voor informatieoverdracht omvat ten minste de volgende elementen:
| Beleid informatietransport | Beleid en richtlijnen voor veilige informatieoverdracht |
| MDW_B.02.02 | Organisaties hanteren op basis van bewuste keuzes, procedures voor de uitwisseling van data via integratiefuncties van middlewarecomponenten. | Beleid informatietransport | Procedures voor data-uitwisseling via integratiefuncties van middlewarecomponenten |
| MDW_B.02.03 | De (klant)organisatie heeft met een Privacy Impact Assessment (PIA) bepaald en vastgelegd welke applicaties en systemen berichten met elkaar en met partner organisaties uit mogen wisselen. | Beleid informatietransport | Privacy Impact Assessment voor toegestane berichtenuitwisseling tussen systemen |
| MDW_B.03.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Data en privacy | Cryptografiebeleid: inzet, verantwoordelijkheden en normen |
| MDW_B.03.02 | Middlewarefuncties mogen uitsluitend, toegestane en geformaliseerde bewerkingen uitvoeren op bedrijfs- en persoonsgebonden data. | Data en privacy | Toegestane bewerkingen van middlewarefuncties op bedrijfs- en persoonsgegevens |
| MDW_B.03.03 | Ter bescherming van data en van privacy zijn beveiligingsmaatregelen getroffen, in de vorm van een data-analyse, PIA, sterke toegangsbeveiliging en encryptie. | Data en privacy | Beveiligingsmaatregelen ter bescherming van data en privacy |
| MDW_B.03.04 | Er is een back-upbeleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Er moet speciale aandacht zijn voor het beschermen van de back-up tegen ransomware-aanvallen en genomen maatregelen om de integriteit van de back-up te behouden. | Data en privacy | Back-upbeleid en bescherming tegen ransomware en integriteitsverlies |
| MDW_B.03.05 | Opslagsystemen zijn opgenomen in een disaster recovery- en de bedrijfscontinuïteitsplanning. | Data en privacy | Opslagsystemen in disaster recovery- en bedrijfscontinuïteitsplanning |
| MDW_B.04.01 | De structuur van organisatie en techniek, geleverd door interne IT- leveranciers of partnerorganisaties bevat de volgende aspecten:
| Middlewarearchitectuur en certificering | Organisatie- en technische structuur voor middlewarediensten en samenwerking |
| MDW_B.04.02 | De structuur geleverd door de externe IT- en cloud-leveranciers voldoet aan relevante internationale standaarden zoals bijvoorbeeld NIST en CIF of gelijkwaardig. | Middlewarearchitectuur en certificering | Structuur van externe IT- en cloudleveranciers volgens internationale standaarden |
| MDW_B.04.03 | IT-leveranciers die de CIF-Code of Practice (of gelijkwaardig) naleven, zullen zich op een open en transparante manier gedragen, wat rationele besluitvorming en beheer door inkopers van hun diensten mogelijk maakt. | Middlewarearchitectuur en certificering | Transparantie en verantwoord handelen volgens de CIF Code of Practice |
| MDW_C.01.01 | Vooraf vastgestelde regels voor het evalueren/controleren van middlewarefunctionaliteiten. | Evaluatierichtlijnen | Vooraf vastgestelde evaluatieregels voor middlewarefunctionaliteiten |
| MDW_C.01.02 | De leverancier beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Evaluatierichtlijnen | Geautomatiseerde ondersteuning van controle-activiteiten door de leverancier |
| MDW_C.01.03 | De leverancier beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Evaluatierichtlijnen | Richtlijnen voor registratie, meting, analyse, rapportage en evaluatie door de leverancier |
| MDW_C.01.04 | De leverancier heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Evaluatierichtlijnen | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen |
| MDW_C.02.02 | De naleving van het beleid voor Bewaken en Herstellen wordt door de leverancier periodiek getoetst en geëvalueerd, waarbij tenminste wordt bepaald:
| Evaluatie naleving beleid | Periodieke toetsing en evaluatie van naleving van het beleid voor Bewaken en Herstellen |
| MDW_C.03.01 |
| Beoordeling middlewarefunctionaliteit | Jaarlijkse technische controle en continue testing van informatiesystemen op beveiligingsnormen en kwetsbaarheden |
| MDW_C.03.03 | De resultaten van de onafhankelijke beoordelingen worden geregistreerd en gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd. Indien nodig initieert het management corrigerende maatregelen. | Beoordeling middlewarefunctionaliteit | Onafhankelijke en competente uitvoering van periodieke beoordelingen |
| MDW_C.03.04 | De leverancier voert periodiek controles uit op de toegekende autorisaties voor middlewarefunctionaliteiten. | Beoordeling middlewarefunctionaliteit | Periodieke controle op toegekende autorisaties voor middlewarefunctionaliteiten |
| MDW_C.03.05 | De leverancier beschikt over richtlijnen voor het beoordelen van de technische omgeving van middlewarefunctionaliteiten. | Beoordeling middlewarefunctionaliteit | Richtlijnen voor beoordeling van de technische omgeving van middlewarefunctionaliteiten |
| MDW_C.03.06 | De toegekende autorisaties aan gebruikers en de daarbij behorende rechten zijn afgestemd met de klant en de wijze waarop dit wordt gelogd is gedefinieerd. Voor beheerders wordt bij voorkeur PAM toegepast. | Beoordeling middlewarefunctionaliteit | Afstemming van gebruikersautorisaties en logging, met toepassing van PAM voor beheerders |
| MDW_C.03.07 | De leverancier rapporteert de afwijkingen op de toegang tot middleware, inclusief de reden hiervan. | Beoordeling middlewarefunctionaliteit | Rapportage van afwijkingen op toegang tot middleware inclusief oorzaak |
| MDW_C.04.01 | In de rapportages wordt, onder andere, aandacht besteed aan:
| Rapporteren middlewarefunctionaliteiten | Rapportage over implementatie, performance, incidenten en verbetervoorstellen van middlewarefunctionaliteiten |
| MDW_C.05.01 | De verantwoordelijke functionaris analyseert periodiek:
| Monitoren gebruikers- en beheerdersactiviteiten | Periodieke analyse van loggegevens, verdachte gebeurtenissen en ongeautoriseerde toegang bij middlewarefunctionaliteiten |
| MDW_C.05.02 | De verzamelde loginformatie van middlewarefunctionaliteiten wordt in samenhang geanalyseerd. | Monitoren gebruikers- en beheerdersactiviteiten | Samenhangende analyse van loginformatie van middlewarefunctionaliteiten |
| MDW_C.05.03 | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de eigenaren van middlewarefunctionaliteit aan het management gerapporteerd. | Monitoren gebruikers- en beheerdersactiviteiten | Periodieke rapportage van geanalyseerde loggegevens aan eigenaren en management |
| MDW_U.01.01 | De leverancier past formele richtlijnen en procedures toe voor het installeren, onderhouden en toekennen van de toegang tot de middlewareomgeving/producten en het verzorgen van back-up/herstel. | Richtlijnen en procedures middlewarefunctionaliteit | Richtlijnen en procedures voor beheer en toegang tot de middlewareomgeving |
| MDW_U.01.02 | Er zijn formele intake-procedures voor het in beheer nemen van middlewareproducten. | Richtlijnen en procedures middlewarefunctionaliteit | Formele intakeprocedures voor het in beheer nemen van middlewareproducten |
| MDW_U.01.03 | Middlewareproducten mogen als onderdeel van de IT-infrastructuur pas na het doorlopen van een formeel afgesproken acceptatietraject beschikbaar worden gesteld. | Richtlijnen en procedures middlewarefunctionaliteit | Formeel acceptatietraject voor ingebruikname van middlewareproducten |
| MDW_U.01.04 | De bedieningsprocedures voor middleware omvatten onder meer:
| Richtlijnen en procedures middlewarefunctionaliteit | Bedieningsprocedures voor beheer, monitoring en herstel van middleware |
| MDW_U.02.01 | De verantwoordelijkheden aan beheerders zijn toegewezen op basis van beleidsregels voor de beveiliging van middlewarefunctionaliteiten. | Rollen en verantwoordelijkheden middlewarefunctionaliteit | Toewijzing van beheerdersverantwoordelijkheden volgens middlewarebeveiligingsbeleid |
| MDW_U.02.02 | Verantwoordelijkheden voor bovengenoemde activiteiten bij middlewarefunctionaliteiten zijn toebedeeld aan specifieke functionarissen en rollen. | Rollen en verantwoordelijkheden middlewarefunctionaliteit | Toewijzing van rollen en verantwoordelijkheden voor middlewareactiviteiten |
| MDW_U.02.03 | De rollen en (speciale) bevoegdheden van beheerders van middlewarefunctionaliteiten zijn gedefinieerd en gedocumenteerd. | Rollen en verantwoordelijkheden middlewarefunctionaliteit | Definitie en documentatie van rollen en bevoegdheden van middlewarebeheerders |
| MDW_U.03.01 | Middlewarefunctionaliteiten, zoals databases, opslagbeheer en integratiefuncties mogen niet buiten reguliere paden om door gebruikers te benaderen zijn. | Toegang tot middlewarefunctionaliteit | Beperkingen op directe toegang tot middlewarefunctionaliteiten door gebruikers |
| MDW_U.03.02 | Gebruikers verkrijgen toegang tot de middlewarefunctionaliteiten volgens de gedefinieerde reguliere paden en met goedkeurde additionele hulpmiddelen:
| Toegang tot middlewarefunctionaliteit | Toegang tot middlewarefunctionaliteiten via reguliere paden en geauthenticeerde hulpmiddelen |
| MDW_U.03.03 | Gegevens binnen middlewarecomponenten (of die door middlewarefunctionaliteiten worden geboden) mogen niet ongeautoriseerd worden gewijzigd. | Toegang tot middlewarefunctionaliteit | Bescherming tegen ongeautoriseerde wijziging van gegevens in middlewarecomponenten |
| MDW_U.03.04 | Middlewarecomponenten zijn beschermd tegen ongeoorloofde toegang doordat:
• onnodige of onveilige gebruikersaccounts zijn verwijderd; • belangrijke beveiliging-gerelateerde parameters juist zijn ingesteld. | Toegang tot middlewarefunctionaliteit | Beveiliging van middlewarecomponenten tegen ongeoorloofde toegang |
| MDW_U.06.01 | In de middlewarearchitectuur zijn detectiemechanismen actief voor het vastleggen en detecteren van aanvallen (mechanismen leveren input aan een SIEM-systeem of gelijkwaardig). | Logging en monitoring middleware | Detectiemechanismen voor aanvaldetectie in de middlewarearchitectuur |
| MDW_U.06.02 | De te registreren acties worden centraal opgeslagen (in een SIEM-systeem of gelijkwaardig). | Logging en monitoring middleware | Centrale opslag van geregistreerde acties in een SIEM-systeem |
| MDW_U.06.03 | Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden). | Logging en monitoring middleware | Procedure bij uitval van loggingsmechanismen |
| MDW_U.06.04 | De (online of offline) bewaartermijn voor logging is vastgesteld en komt tot uitdrukking in de configuratie-instellingen van binnen het softwarepakket. | Logging en monitoring middleware | Vastgestelde bewaartermijnen voor logging in configuratie-instellingen |
| MDW_U.07.01 | Het ontwerp van middleware van informatiesystemen is gedocumenteerd, waarbij onder andere beschreven is:
| Ontwerpdocumentatie | Gedocumenteerd ontwerp van middlewarearchitectuur en componentinteracties |
| MDW_U.07.02 | Documentatie van een (her)ontwerp is bij voorkeur in een repository opgeslagen, om op eenvoudige wijze de impact van een aanpassing te kunnen bepalen. | Ontwerpdocumentatie | Opslag van ontwerpdocumentatie in een repository voor impactanalyse |
| MDW_U.08.01 | Voor dataopslag dienen uitsluitend adequate encryptiealgoritmen en -methoden van maskering te worden toegepast, zoals aangegeven op de ‘pas-toe-en-leg-uit lijst’ van het Forum Standaardisatie. | Vertrouwelijkheid en integriteit data | Encryptie en datamaskering voor veilige dataopslag volgens Forum Standaardisatie |
| MDW_U.08.02 | Waar mogelijk dient een centraal toepasbaar sleutelbeheersysteem te worden toegepast voor de generatie en archivering van cryptosleutels. | Vertrouwelijkheid en integriteit data | Centraal sleutelbeheersysteem voor generatie en archivering van cryptosleutels |
| MDW_U.08.03 | De sterkte van de cryptografie wordt gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van de AIVD. | Vertrouwelijkheid en integriteit data | Cryptografische sterkte gebaseerd op adviezen van NCSC en AIVD |
| MDW_U.08.04 | Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier als uit de risicoafweging blijkt dat deze noodzakelijk zijn als onderdeel van gereedheid voor bedrijfscontinuïteit. | Vertrouwelijkheid en integriteit data | Afspraken over reservecertificaten voor waarborging van bedrijfscontinuïteit |
| MDW_U.09.01 | De beveiliging van opslagfaciliteiten bevat verschillende lagen van redundancy, waarmee ‘single points of failure’ worden voorkomen en de overeengekomen beschikbaarheid van data kan worden gegarandeerd. | Betrouwbare dataopslag | Beveiliging en redundantie van opslagfaciliteiten voor beschikbaarheid van data |
| MDW_U.09.02 | Redundancy moet zoveel mogelijk worden benut. | Betrouwbare dataopslag | Maximale benutting van redundantie |
| MDW_U.09.03 | De technische betrouwbaarheid van opslagsystemen mag de effectiviteit van beveiligingsfuncties niet kunnen beïnvloeden. | Betrouwbare dataopslag | Technische betrouwbaarheid van opslagsystemen en de onafhankelijkheid van beveiligingsfuncties |
| MDW_U.09.04 | Kwetsbaarheden van opslagsystemen dienen proactief te worden verholpen om hun impact op de betrouwbaarheid te beperken. | Betrouwbare dataopslag | Proactief verhelpen van kwetsbaarheden in opslagsystemen |
| MDW_U.10.01 | Back-upinformatie is beschermd tegen ongeautoriseerde toegang, bijvoorbeeld met encryptie. | Dataherstel | Bescherming van back-upinformatie tegen ongeautoriseerde toegang |
| MDW_U.10.02 | Uitsluitend geautoriseerde personen hebben toegang tot back-upmedia. | Dataherstel | Toegangsbeheersing voor back-upmedia |
| MDW_U.10.03 | Kopieën voor bedrijfs-kritische informatie worden met passende zorg voor betrouwbaarheid, fout-tolerantie en performance gemaakt en beheerd. | Dataherstel | Beheer van kopieën van bedrijfskritische informatie voor betrouwbaarheid en performance |
| MDW_U.10.04 | Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is en wat de maximale hersteltijd is na een incident. | Dataherstel | Risicoafweging voor maximaal toegestaan dataverlies en hersteltijd |
| MDW_U.10.05 | Periodiek (minimaal jaarlijks en na een grote wijziging) wordt getest of herstel van back-updata werkt en of disaster recovery van opslagsystemen functioneert. | Dataherstel | Periodieke tests van herstel van back-updata en disaster recovery |
| MDW_U.11.01 | Er is een verwijderinstructie waarin is opgenomen dat van verwijderbare media die herbruikbaar zijn en die de organisatie verlaten de onnodige inhoud onherstelbaar verwijderd is. | Schonen data en media | Verwijderinstructie voor onherstelbare verwijdering van inhoud op herbruikbare media |
| MDW_U.11.02 |
| Schonen data en media | Onherstelbare verwijdering van data op media conform NBV-richtlijnen |
| MDW_U.12.01 | Er kunnen uitsluitend berichten van en met geauthentiseerde gebruikers en systemen worden uitgewisseld. | Beveiliging berichtenverkeer | Berichtuitwisseling uitsluitend met geauthenticeerde gebruikers en systemen |
| MDW_U.12.02 | De applicaties en systemen die berichten uitwisselen zijn bekend. | Beveiliging berichtenverkeer | Registratie van applicaties en systemen voor berichtuitwisseling |
| MDW_U.12.03 | Fout of onvolledig uitgewisselde data wordt herkend en hersteld. | Beveiliging berichtenverkeer | Herkenning en herstel van fout of onvolledig uitgewisselde data |
| MDW_U.12.04 | Het dataverkeer van of naar de vertrouwde omgeving, wordt bewaakt/geanalyseerd op verdacht verkeer met detectievoorzieningen. | Beveiliging berichtenverkeer | Bewaking en analyse van dataverkeer op verdacht verkeer met detectievoorzieningen |
| MDW_U.12.05 | Geavanceerde en/of gekwalificeerde elektronische handtekeningen moeten voldoen aan de Advanced Electronic Signatures (AdES Baseline Profiles), zoals opgenomen in de Lijst open standaarden van Forum Standaardisatie. | Beveiliging berichtenverkeer | Vereisten voor geavanceerde elektronische handtekeningen conform AdES Baseline Profiles |
| MDW_U.12.06 | Maak bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated-certificaten. Maak bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten kunnen voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving. | Beveiliging berichtenverkeer | Certificaatvereisten voor webverkeer met gevoelige gegevens op basis van risicoanalyse |
| MDW_U.12.07 | Internetfacing-informatiesystemen en e-mail- berichtenverkeer moeten blijvend voldoen aan de verplichte standaarden, zie hiervoor de website van het Forum Standaardisatie. Hierop wordt gestuurd met de metingen van internet.nl. Daarbij dienen alle onderdelen te worden ingesteld zodat een optimale beveiliging wordt bereikt zonder afbreuk te doen aan de functionaliteit van de geboden dienst. | Beveiliging berichtenverkeer | Naleving van verplichte standaarden voor internetfacing-systemen en e-mailverkeer conform Forum Standaardisatie |
| MDW_U.13.01 | De doorvoercapaciteit van de integratievoorziening wordt bewaakt op:
| Capaciteitsbeheer middleware | Bewaking van doorvoercapaciteit en prestaties van de integratievoorziening |
| MDW_U.13.02 | Netwerken waar integratievoorzieningen gebruik van maken, worden bewaakt op DoS- en DDoS-aanvallen. | Capaciteitsbeheer middleware | Monitoring van netwerken op DoS- en DDoS-aanvallen |
| MDW_U.13.03 | De resultaten van monitoractiviteiten worden gereviewd en gepresenteerd aan de eigenaren van de bedrijfsprocessen. (De aanbieder wordt daarbij geacht een plan B te hebben als de limieten van de dienstverlening structureel behaald/overschreden worden.) | Capaciteitsbeheer middleware | Review en rapportage van monitorresultaten aan proceseigenaren |
| PRIV_B.01.01.01 | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht |
| PRIV_B.01.01.02 | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; cyclisch proces |
| PRIV_B.01.01.03 | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; vastgesteld en gecommuniceerd |
| PRIV_B.01.01.04 | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. wet- en regelgeving |
| PRIV_B.01.01.05 | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegeven aan de eisen van de sectorspecifieke wetgeving. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
| PRIV_B.01.01.06 | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. gedragscode |
| PRIV_B.01.02.01 | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijving van privacy by design |
| PRIV_B.01.02.02 | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen |
| PRIV_B.01.02.03 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken |
| PRIV_B.01.02.04 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens |
| PRIV_B.01.02.05 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen |
| PRIV_B.01.02.06 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van transparante verwerking |
| PRIV_B.01.02.07 | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen |
| PRIV_B.01.02.08 | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte |
| PRIV_B.01.02.09 | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking |
| PRIV_B.01.02.10 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk |
| PRIV_B.02.01.01 | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Organieke inbedding | Verdeling taken en verantwoordelijkheden |
| PRIV_B.02.01.02 | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Organieke inbedding | Functionaris Gegevensbescherming |
| PRIV_B.02.01.03 | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Organieke inbedding | Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
| PRIV_B.02.01.04 | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Organieke inbedding | Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
| PRIV_B.02.02.01 | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Organieke inbedding | Benodigde middelen |
| PRIV_B.02.03.01 | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Organieke inbedding | Rapporteringslijnen |
| PRIV_B.03.01.01 | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, hoog risico |
| PRIV_B.03.01.02 | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, advies van FG |
| PRIV_B.03.01.03 | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, bij wijzigingen |
| PRIV_B.03.01.04 | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, i.r.t. DPIA |
| PRIV_B.03.02.01 | De maatregelen bestaan uit technische en organisatorische maatregelen. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, technisch en organisatorisch |
| PRIV_B.03.02.02 | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, passend |
| PRIV_B.03.02.03 | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, continuïteit |
| PRIV_B.03.02.04 | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen i.r.t. de DPIA |
| PRIV_B.03.03.01 | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Risicomanagement, Privacy by Design en de DPIA | Aantonen onderkende risico's en maatregelen |
| PRIV_B.03.03.02 | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Risicomanagement, Privacy by Design en de DPIA | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten |
| PRIV_B.03.03.03 | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Risicomanagement, Privacy by Design en de DPIA | Aantonen aanpak risicomanagement |
| PRIV_B.03.03.04 | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Risicomanagement, Privacy by Design en de DPIA | Aantonen toepassen DPIA toetsmodel |
| PRIV_B.03.03.05 | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Risicomanagement, Privacy by Design en de DPIA | Aantonen privacy by design |
| PRIV_C.01.01.01 | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Intern toezicht | Toezien op het voldoen aan de wettelijke verplichtingen |
| PRIV_C.01.01.02 | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Intern toezicht | Evaluatierapportage bij niet voldoen |
| PRIV_C.01.01.03 | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Intern toezicht | Planmatige controle op compliancy |
| PRIV_C.01.02.01 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Intern toezicht | Rechtmatigheid van de verwerking aantonen |
| PRIV_C.01.02.02 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Intern toezicht | Rechtmatigheid aangetoond, toereikende verwerking |
| PRIV_C.01.02.03 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Intern toezicht | Rechtmatigheid aantonen |
| PRIV_C.01.02.04 | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Intern toezicht | Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte |
| PRIV_C.01.02.05 | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid). | Intern toezicht | Gewaarborgde bescherming |
| PRIV_C.01.02.06 | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Intern toezicht | Juiste en actuele gegevens |
| PRIV_C.01.02.07 | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Intern toezicht | Aantoonbaar behoorlijke verwerking |
| PRIV_C.01.02.08 | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Intern toezicht | Aantoonbaar transparante verwerking |
| PRIV_C.01.02.09 | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Intern toezicht | Compliancydossier |
| PRIV_C.01.02.10 | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Intern toezicht | Compliancy en compleetheid aantonen met het gegevensregister |
| PRIV_C.02.01.01 | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Toegang gegevensverwerking voor betrokkenen | Informatie aan betrokkene over de verwerking van persoonsgegevens |
| PRIV_C.02.01.02 | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
| Toegang gegevensverwerking voor betrokkenen | Welke informatie wordt verstrekt |
| PRIV_C.02.01.03 | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Toegang gegevensverwerking voor betrokkenen | Geen afbreuk aan rechten en vrijheden van anderen |
| PRIV_C.02.02.01 | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
| Toegang gegevensverwerking voor betrokkenen | Tijdige verstrekking op verzoek van betrokkene |
| PRIV_C.02.02.02 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Toegang gegevensverwerking voor betrokkenen | Tijdig informeren bij geen gevolg aan verzoek van betrokkene |
| PRIV_C.02.03.01 | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Toegang gegevensverwerking voor betrokkenen | Passende, begrijpelijke en toegankelijke wijze van informeren |
| PRIV_C.02.03.02 | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Toegang gegevensverwerking voor betrokkenen | Informatie wordt schriftelijk en/of elektronisch verstrekt |
| PRIV_C.02.03.03 | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Toegang gegevensverwerking voor betrokkenen | Mondelinge informatieverstrekking |
| PRIV_C.02.03.04 | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
| Toegang gegevensverwerking voor betrokkenen | Kosteloos, tenzij onredelijk |
| PRIV_C.02.03.05 | De verantwoordelijke beschikt over gegevens ter identificatie van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatie niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Toegang gegevensverwerking voor betrokkenen | Gegevens ter identificatie van de betrokkene |
| PRIV_C.02.04.01 | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Toegang gegevensverwerking voor betrokkenen | Specifieke uitzonderingsgronden |
| PRIV_C.03.01.01 | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Meldplicht Datalekken | Datalek melden aan de AP |
| PRIV_C.03.01.02 | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
| Meldplicht Datalekken | Eisen aan de melding aan AP |
| PRIV_C.03.01.03 | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Meldplicht Datalekken | Datalek melden aan betrokkene |
| PRIV_C.03.01.04 | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
| Meldplicht Datalekken | Eisen aan de melding aan betrokkene |
| PRIV_C.03.01.05 | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldplicht Datalekken | Duidelijke en eenvoudige taal |
| PRIV_C.03.02.01 | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Meldplicht Datalekken | Inbreuk melden aan verwerkingsverantwoordelijke |
| PRIV_C.03.02.02 | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Meldplicht Datalekken | Termijn voor melden aan AP |
| PRIV_C.03.02.03 | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Meldplicht Datalekken | Motivering bij vertraagde melding |
| PRIV_C.03.02.04 | De melding aan de betrokkene gebeurt onverwijld. | Meldplicht Datalekken | Directe melding aan betrokkene |
| PRIV_C.03.03.01 | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Registratie en documentatie van de inbreuken |
| PRIV_C.03.03.02 | De documentatie stelt de AP in staat de naleving te controleren. | Meldplicht Datalekken | Naleving controleren op basis van documentatie |
| PRIV_C.03.03.03 | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Noodzakelijke gegevens in de documentatie |
| PRIV_C.03.03.04 | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Meldplicht Datalekken | Kennisgeving vastleggen |
| PRIV_C.03.04.01 | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Meldplicht Datalekken | Uitzondering op meldplicht aan AP |
| PRIV_C.03.04.02 | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Meldplicht Datalekken | Uitzondering op meldplicht aan betrokkene |
| PRIV_U.01.01.01 | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking |
| PRIV_U.01.01.02 | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid |
| PRIV_U.01.01.03 | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid |
| PRIV_U.01.01.04 | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; SMART |
| PRIV_U.01.02.01 | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doelbinding gegevensverwerking | Doeleinden; toereikend, ter zake dienend en beperkt |
| PRIV_U.01.02.02 | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doelbinding gegevensverwerking | Doeleinden; rechtmatigheid |
| PRIV_U.01.02.03 | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doelbinding gegevensverwerking | Doeleinden; transparant, behoorlijk en veilig |
| PRIV_U.01.03.01 | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Doelbinding gegevensverwerking | Verdere verwerking i.r.t. andere doelen |
| PRIV_U.01.03.02 | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Doelbinding gegevensverwerking | Vooraf in kennis stellen van (voornemen tot) verdere verwerking |
| PRIV_U.01.04.01 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming |
| PRIV_U.01.04.02 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten |
| PRIV_U.01.04.03 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht |
| PRIV_U.01.04.04 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten |
| PRIV_U.01.04.05 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene |
| PRIV_U.01.04.06 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten |
| PRIV_U.01.04.07 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang |
| PRIV_U.01.04.08 | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; gezondheidsgegevens |
| PRIV_U.01.04.09 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg |
| PRIV_U.01.04.10 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid |
| PRIV_U.01.04.11 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang |
| PRIV_U.01.05.01 | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Doelbinding gegevensverwerking | Persoonsgegevens van strafrechtelijke aard |
| PRIV_U.01.05.02 | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Doelbinding gegevensverwerking | Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking |
| PRIV_U.01.05.03 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR | |
| PRIV_U.01.05.04 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt. | |
| PRIV_U.01.05.05 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking | |
| PRIV_U.01.06.01 | Het bepalen van een nummer dat ter identificatie van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Doelbinding gegevensverwerking | Nationaal identificerend nummer |
| PRIV_U.01.07.01 | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming; niet, tenzij |
| PRIV_U.01.07.02 | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen |
| PRIV_U.01.07.03 | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens |
| PRIV_U.01.08.01 | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Doelbinding gegevensverwerking | Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang |
| PRIV_U.01.08.02 | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Doelbinding gegevensverwerking | Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen |
| PRIV_U.02.01.01 | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsactiviteiten | Register van verwerkingsverantwoordelijke |
| PRIV_U.02.01.02 | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Inhoud van het register van verwerkingsactiviteiten |
| PRIV_U.02.01.03 | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerkingsactiviteiten | Register van verwerker, categorieën van verwerkingsactiviteiten |
| PRIV_U.02.01.04 | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Register van verwerker, inhoud van het register |
| PRIV_U.02.01.05 | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerkingsactiviteiten | Register van verwerker, in schriftelijke elektronische vorm |
| PRIV_U.02.01.06 | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerkingsactiviteiten | Register van verwerker, niet bijgehouden als … |
| PRIV_U.02.02.01 | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | Register van verwerkingsactiviteiten | De registers geven een samenhangend beeld |
| PRIV_U.02.02.02 | Op verzoek van de AP wordt middels de registers een actueel beeld gegeven. | Register van verwerkingsactiviteiten | Actueel beeld voor de AP |
| PRIV_U.02.02.03 | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Register van verwerkingsactiviteiten | Beschrijving gegevensstromen |
| PRIV_U.02.02.04 | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Register van verwerkingsactiviteiten | Resultaten DPIA in register |
| PRIV_U.03.01.01 | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Kwaliteitsmanagement | Maatregelen i.r.t. juistheid en nauwkeurigheid |
| PRIV_U.03.01.02 | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Kwaliteitsmanagement | Controle op juistheid en nauwkeurigheid |
| PRIV_U.03.02.01 | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Kwaliteitsmanagement | Rectificatie op verzoek van betrokkene |
| PRIV_U.03.02.02 | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Kwaliteitsmanagement | Aanvulling op verzoek van betrokkene |
| PRIV_U.03.02.03 | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Kwaliteitsmanagement | Gegevens wissen op verzoek van de betrokkene |
| PRIV_U.03.02.04 | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Kwaliteitsmanagement | Staken van de verwerking op verzoek van betrokkene |
| PRIV_U.03.02.05 | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Kwaliteitsmanagement | Maatregelen na openbaarmaking van persoonsgegevens |
| PRIV_U.03.02.06 | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Kwaliteitsmanagement | Beperking van de verwerking op verzoek van de betrokkene |
| PRIV_U.03.02.07 | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Kwaliteitsmanagement | Recht op ongehinderde overdracht van gegevens |
| PRIV_U.03.02.08 | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Kwaliteitsmanagement | Rechtstreekse overdracht |
| PRIV_U.03.03.01 | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Kwaliteitsmanagement | Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking |
| PRIV_U.03.03.02 | Kwaliteitsmanagement | Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt | |
| PRIV_U.03.03.03 | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Kwaliteitsmanagement | Informatie over afwikkeling correctieverzoek |
| PRIV_U.03.03.04 | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Kwaliteitsmanagement | Elektronische verwerking van het verzoek |
| PRIV_U.03.03.05 | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Kwaliteitsmanagement | Geïnformeerd, schriftelijk of op andere wijze |
| PRIV_U.03.03.06 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Kwaliteitsmanagement | Informatie over geen gevolg geven aan het correctieverzoek |
| PRIV_U.03.03.07 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Kwaliteitsmanagement | Identificatie van betrokkene |
| PRIV_U.04.01.01 | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Beveiligen van de verwerking van persoonsgegevens | Toegang wordt beperkt |
| PRIV_U.04.01.02 | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Beveiligen van de verwerking van persoonsgegevens | Fysieke beveiliging, wijze van verzamelen |
| PRIV_U.04.01.03 | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Beveiligen van de verwerking van persoonsgegevens | Organisatorische beveiliging, planmatig, aantoonbaar |
| PRIV_U.04.01.04 | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Beveiligen van de verwerking van persoonsgegevens | Passend beveiligingsniveau |
| PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Beveiligen van de verwerking van persoonsgegevens | Passend beschermingsniveau, proportioneel en subsidiair |
| PRIV_U.04.02.02 | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Beveiligen van de verwerking van persoonsgegevens | Risicoanalyse |
| PRIV_U.04.02.03 | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Beveiligen van de verwerking van persoonsgegevens | Gedragscode, certificering |
| PRIV_U.05.01.01 | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming van de betrokkene vooraf |
| PRIV_U.05.01.02 | Informatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie over niet van betrokkene verkregen persoonsgegevens |
| PRIV_U.05.02.01 | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatievereisten bij verzoek om toestemming |
| PRIV_U.05.02.02 | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie aan betrokkene |
| PRIV_U.05.02.03 | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie aan betrokkene indien andere bron |
| PRIV_U.05.03.01 | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informeren bij toestemming soms niet verplicht |
| PRIV_U.05.04.01 | De toestemming moet door de betrokkene vrijelijk gegeven kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming vrijelijk gegeven |
| PRIV_U.05.04.02 | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming indien kind jonger is dan 16 jaar |
| PRIV_U.06.01.01 | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Bewaren van persoonsgegevens | Maatregelen na verlopen bewaartermijn |
| PRIV_U.06.01.02 | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaren van persoonsgegevens | Bewaking van de noodzaak tot bewaren |
| PRIV_U.06.02.01 | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaren van persoonsgegevens | Bewaartermijnen worden vastgesteld en bekrachtigd |
| PRIV_U.06.02.02 | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Bewaren van persoonsgegevens | Maximale bewaartermijn |
| PRIV_U.06.02.03 | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Bewaren van persoonsgegevens | Sectorspecifieke bewaartermijnen |
| PRIV_U.06.02.04 | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Bewaren van persoonsgegevens | Langere opslagperiode voor specifieke doelen (onderzoek, statistiek) |
| PRIV_U.07.01.01 | Bij doorgifte aan een andere verantwoordelijke zijn:
| Doorgifte persoonsgegevens | De onderlinge verantwoordelijkheden |
| PRIV_U.07.02.01 | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Doorgifte persoonsgegevens | Afdoende garanties formeel vastgelegd |
| PRIV_U.07.02.02 | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Doorgifte persoonsgegevens | Bepalingen overeengekomen met de verwerker |
| PRIV_U.07.02.03 | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Doorgifte persoonsgegevens | Schriftelijk vastleggen |
| PRIV_U.07.03.01 | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Doorgifte persoonsgegevens | Vertegenwoordiger in de EU |
| PRIV_U.07.03.02 | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Doorgifte persoonsgegevens | Afdoende garanties voor passende maatregelen |
| PRIV_U.07.03.03 | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Doorgifte persoonsgegevens | Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking |
| PRIV_U.07.04.01 | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Doorgifte persoonsgegevens | Uitzonderingsgrond voor de verwerking |
| PRIV_U.07.04.02 | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Doorgifte persoonsgegevens | Uitzonderingsgrond voor doorgifte |
| PRIV_U.07.05.01 | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Doorgifte persoonsgegevens | Adequaatheidsbesluit |
| PRIV_U.07.06.01 | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Doorgifte persoonsgegevens | Passende waarborgen bij afwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.02 | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Doorgifte persoonsgegevens | Passende waarborgen bij aanwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.03 | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Doorgifte persoonsgegevens | Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene |
| PRIV_U.07.07.01 | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Doorgifte persoonsgegevens | Afwijking voor een specifieke situatie |
| SVP_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server |
| SVP_B.01.02 | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud |
| SVP_B.02.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers. | Inrichtingsprincipes voor serverplatform | Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers |
| SVP_B.02.02 | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Inrichtingsprincipes voor serverplatform | Beveiligingsprincipes voor het beveiligd inrichten van servers |
| SVP_B.03.01 | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document:
| Serverplatform-architectuur | Eisen aan het architectuurdocument van het in te richten van het serverplatform |
| SVP_B.03.02 | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms. | Serverplatform-architectuur | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen |
| SVP_C.01.01 | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Richtlijn evaluatie ontwikkelactiviteiten | Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen |
| SVP_C.01.02 | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten. | Richtlijn evaluatie ontwikkelactiviteiten | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| SVP_C.01.03 | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Richtlijn evaluatie ontwikkelactiviteiten | Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie |
| SVP_C.01.04 | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd. | Richtlijn evaluatie ontwikkelactiviteiten | De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd |
| SVP_C.02.01 | Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Eisen aan het vervaardigen en interpreteren van technische naleving |
| SVP_C.02.02 | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen |
| SVP_C.02.03 | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar |
| SVP_C.02.04 | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Eisen aan het beoordelen van technische naleving |
| SVP_C.03.01 | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Logbestanden beheerders | Eisen aan het beschermen van de logbestanden |
| SVP_C.03.02 | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheeractiviteiten. | Logbestanden beheerders | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten |
| SVP_C.04.01 | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Logging | Eisen aan de inhoud van de logbestanden van gebeurtenissen |
| SVP_C.05.01 | De verantwoordelijke functionaris analyseert periodiek:
| Monitoring | Eisen aan de periodieke beoordeling van de logbestanden |
| SVP_C.05.02 | De verzamelde log-informatie wordt in samenhang geanalyseerd. | Monitoring | De verzamelde loginformatie wordt in samenhang geanalyseerd |
| SVP_C.05.03 | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoring | Eisen aan de periodieke rapportage over de analyse van de logbestanden |
| SVP_C.05.04 | De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd. | Monitoring | Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s |
| SVP_C.05.05 | De analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management. | Monitoring | Eisen aan de inhoud en verspreiding van de loganalyse |
| SVP_C.05.06 | De eindrapportage bevat, op basis van analyses, verbetervoorstellen. | Monitoring | De eindrapportage bevat verbeteringsvoorstellen op basis van analyses |
| SVP_C.06.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Beheersorganisatie servers en serverplatforms | Activiteiten van de beveiligingsfunctionaris |
| SVP_C.06.02 | Het beveiligingsbeleid geeft onder andere inzicht in:
| Beheersorganisatie servers en serverplatforms | Inhoud van het beveiligingsbeleid |
| SVP_U.01.01 | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedure | Gedocumenteerde procedures voor bedieningsactiviteiten |
| SVP_U.01.02 | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd. | Bedieningsprocedure | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten |
| SVP_U.01.03 | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedure | In de bedieningsprocedures opgenomen bedieningsvoorschriften |
| SVP_U.02.01 | De documentatie conform de standaarden omvat:
| Standaarden voor serverconfiguratie | Eisen aan de "gedocumenteerde standaarden" |
| SVP_U.03.01 | Een formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden. | Malwareprotectie serverplatform | In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software |
| SVP_U.03.02 | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie serverplatform | Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links |
| SVP_U.03.03 | Severs zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt. | Malwareprotectie serverplatform | Het downloaden van bestanden is beheerst en beperkt |
| SVP_U.03.04 | Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie serverplatform | Servers zijn voorzien van up-to-date anti-malware |
| SVP_U.03.05 | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en het principe ‘need-of-use’. | Malwareprotectie serverplatform | Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd |
| SVP_U.03.06 | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server moeten worden opgeslagen. | Malwareprotectie serverplatform | Servers en hiervoor gebruikte media worden routinematig gescand op malware |
| SVP_U.03.07 | De malware-scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie serverplatform | De malware scan wordt op alle omgevingen uitgevoerd |
| SVP_U.03.08 | De gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates. | Malwareprotectie serverplatform | De anti-malware software wordt regelmatig geüpdate |
| SVP_U.04.01 | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer serverplatform | Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen |
| SVP_U.04.02 | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:
| Technische kwetsbaarhedenbeheer serverplatform | Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse |
| SVP_U.04.03 | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Technische kwetsbaarhedenbeheer serverplatform | Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren |
| SVP_U.04.04 | Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces. | Technische kwetsbaarhedenbeheer serverplatform | De activiteiten zijn afgestemd op het incident |
| SVP_U.04.05 | Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor:
| Technische kwetsbaarhedenbeheer serverplatform | Het kwetsbaarheden beheerproces |
| SVP_U.04.06 | Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld. | Technische kwetsbaarhedenbeheer serverplatform | Procesmatig herstel van technische kwetsbaarheden |
| SVP_U.04.07 | Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd. | Technische kwetsbaarhedenbeheer serverplatform | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd |
| SVP_U.05.01 | Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement serverplatform | Patchmanagement is beschreven, goedgekeurd en toegekend |
| SVP_U.05.02 | Een technisch mechanisme zorgt voor (semi-)automatische updates. | Patchmanagement serverplatform | Een technisch mechanisme zorgt voor (semi-)automatische updates |
| SVP_U.05.03 | Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht. | Patchmanagement serverplatform | Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht |
| SVP_U.05.04 | Het patchbeheerproces bevat methoden om:
| Patchmanagement serverplatform | Eisen aan het Patchmanagement |
| SVP_U.05.05 | De patchmanagementprocedure is actueel en beschikbaar. | Patchmanagement serverplatform | De Patchmanagement procedure is actueel en beschikbaar |
| SVP_U.05.06 | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement serverplatform | De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld |
| SVP_U.05.07 | De volgende aspecten van een patch worden geregistreerd:
| Patchmanagement serverplatform | Registratie van de aspecten van een patch |
| SVP_U.05.08 | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement serverplatform | Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd. |
| SVP_U.05.09 | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement serverplatform | Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd |
| SVP_U.05.10 | De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch). | Patchmanagement serverplatform | De risico’s verbonden aan het installeren van de patch worden beoordeeld |
| SVP_U.05.11 | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement serverplatform | Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen |
| SVP_U.06.01 | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door:
| Beheer op afstand | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd |
| SVP_U.06.02 | Het op afstand onderhouden van servers wordt strikt beheerd door:
| Beheer op afstand | Het op afstand onderhouden van servers wordt strikt beheerd |
| SVP_U.06.03 | Het serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd |
| SVP_U.06.04 | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd |
| SVP_U.06.05 | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Alle externe toegang tot servers vindt versleuteld plaats |
| SVP_U.07.01 | Het onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen:
| Server-onderhoud | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen |
| SVP_U.08.01 | Van de server(s):
| Verwijderen of hergebruiken serverapparatuur | Niet meer benodigde opslagmedia en informatie van servers worden vernietigd |
| SVP_U.08.02 | Voorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Verwijderen of hergebruiken serverapparatuur | Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat |
| SVP_U.09.01 | Een servers is zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen server | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld |
| SVP_U.09.02 | Een servers is zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen server | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt |
| SVP_U.09.03 | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen server | Servers worden beschermd tegen ongeoorloofde toegang |
| SVP_U.10.01 | De servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op:
| Serverconfiguratie | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures |
| SVP_U.10.02 | De servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage |
| SVP_U.10.03 | Toegang tot serverparameterinstellingen en krachtige beheerinstrumenten zijn:
| Serverconfiguratie | Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt |
| SVP_U.11.01 | Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen:
| Virtualisatie serverplatform | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd |
| SVP_U.11.02 | Hypervisors worden geconfigureerd om:
| Virtualisatie serverplatform | Hypervisors worden geconfigureerd |
| SVP_U.11.03 | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Virtualisatie serverplatform | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures |
| SVP_U.11.04 | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Virtualisatie serverplatform | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors |
| SVP_U.12.01 | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist). | Beperking software-installatie serverplatform | Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan |
| SVP_U.12.02 | De organisatie past een strikt beleid toe voor het installeren en gebruiken van software. | Beperking software-installatie serverplatform | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. |
| SVP_U.12.03 | Het principe van least-privilege wordt toegepast. | Beperking software-installatie serverplatform | Het principe van least-privilege wordt toegepast |
| SVP_U.12.04 | De rechten van beheerders worden verleend op basis van rollen. | Beperking software-installatie serverplatform | De rechten van beheerders worden verleend op basis van rollen |
| SVP_U.13.01 | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd |
| SVP_U.13.02 | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd. |
| SVP_U.14.01 | Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is:
| Ontwerpdocument | Het ontwerp van elk serverplatform en elke server is gedocumenteerd |
| SWP_B.01.01 | In het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:
| Verwervingsbeleid softwarepakketten | Regels voor beleid bij verwerving softwarepakketten |
| SWP_B.01.02 | De verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:
| Verwervingsbeleid softwarepakketten | Verwerven softwarepakket met business case |
| SWP_B.01.03 | Verwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen. | Verwervingsbeleid softwarepakketten | Verwerven softwarepakket met functioneel ontwerp |
| SWP_B.01.04 | Leveranciers zijn ISO 27001-gecertificeerd. | Verwervingsbeleid softwarepakketten | Leveranciers zijn gecertificeerd |
| SWP_B.02.01 | De overeenkomsten en documentatie omvatten afspraken over:
| Informatiebeveiligingsbeleid voor leveranciersrelaties | Overeenkomsten en documentatie omvatten afspraken |
| SWP_B.03.01 | De klant legt in de overeenkomst bepalingen over exit vast dat:
| Exit-strategie softwarepakketten | Vastleggen exit-bepalingen in overeenkomst |
| SWP_B.03.02 | De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie softwarepakketten | Besluiten over te gaan tot exit |
| SWP_B.04.01 | Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken. | Bedrijfs- en beveiligingsfuncties | Betrekken stakeholders bij afleiden bedrijfsfuncties |
| SWP_B.04.02 | Voor het afleiden van bedrijfs- en beveiligingsfuncties worden formele methoden voor een gegevensimpactanalyse toegepast, zoals een (Business Impact Analyse) BIA en Data Protection Impact Assessment (DPIA) en wordt rekening gehouden met het informatieclassificatie-beleid. | Bedrijfs- en beveiligingsfuncties | Toepassen methoden voor gegevensimpactanalyse |
| SWP_B.04.03 | Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen:
| Bedrijfs- en beveiligingsfuncties | Afdekken organisatie-eisen voor softwarepakketten |
| SWP_B.04.04 | Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden. | Bedrijfs- en beveiligingsfuncties | Bieden veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties |
| SWP_B.04.05 | De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten. | Bedrijfs- en beveiligingsfuncties | Beschrijven componenten voor beveiligingsfuncties |
| SWP_B.05.01 | Communicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling. | Cryptografie Softwarepakketten | Passende gegevensclassificatie bij informatiecommunicatie en -opslag |
| SWP_B.05.02 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografie Softwarepakketten | Uitwerken cryptografiebeleid |
| SWP_B.06.01 | De beveiligingsarchitectuur ondersteunt een bedrijfsbreed proces voor het implementeren van samenhangende beveiligingsmechanismen en tot stand brengen van gemeenschappelijke gebruikersinterfaces en Application Programming Interfaces (API’s), als onderdeel van softwarepakketten. | Beveiligingsarchitectuur | Ondersteunen proces voor beveilgingsmechnismen |
| SWP_B.06.02 | Er zijn beveiligingsprincipes voorgeschreven waaraan een te verwerven softwarepakket getoetst moet worden, zoals:
| Beveiligingsarchitectuur | Voorschrijven beveiligingsprincipes |
| SWP_C.01.01 | De mate waarin de leveranciersovereenkomsten worden nageleefd, wordt geverifieerd. | Evaluatie leveranciersdienstverlening | Verifiëren mate van naleving leveranciersovereenkomsten |
| SWP_C.01.02 | De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst. | Evaluatie leveranciersdienstverlening | Beoordelen rapporten over dienstverlening |
| SWP_C.01.03 | Leveranciersaudits worden uitgevoerd in samenhang met rapportages over de dienstverlening. | Evaluatie leveranciersdienstverlening | Uitvoeren leveranciersaudits |
| SWP_C.01.04 | Er wordt inzicht gegeven in de complete verslaglegging van leveranciersaudits. | Evaluatie leveranciersdienstverlening | Geven inzicht in verslaglegging leveranciersaudits |
| SWP_C.01.05 | Vastgestelde problemen worden opgelost en beheerd. | Evaluatie leveranciersdienstverlening | Oplossen en beheren problemen |
| SWP_C.02.01 | De leverancier heeft versiebeheer adequaat geregeld en stelt de klant tijdig op de hoogte van de actueel te gebruiken versies. | Versiebeheer softwarepakketten | Regelen adequaat versiebeheer |
| SWP_C.02.02 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiebeheer softwarepakketten | Ondersteunen versiebeheer met procedures en werkinstructies |
| SWP_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement softwarepakketten | Beschrijven, vaststellen en bekendmaken patchmanagementproces en -procedures |
| SWP_C.03.02 | Het beheer van technische kwetsbaarheden in code omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement softwarepakketten | Technisch kwetsbaarheden beheer omvat minimaal risicoanalyse |
| SWP_C.03.03 | Actualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd. | Patchmanagement softwarepakketten | Installeren patches voor kwetsbaarheden |
| SWP_U.01.01 | Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack. | Levenscyclusmanagement softwarepakketten | Afspreken procedure voor tijdig actualiseren verouderde software |
| SWP_U.01.02 | De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software. | Levenscyclusmanagement softwarepakketten | Onderhouden registratie gebruikte softwarestack |
| SWP_U.01.03 | Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie. | Levenscyclusmanagement softwarepakketten | Communiceren technologische innovaties van softwarepakketten |
| SWP_U.02.01 | Bij nieuwe softwarepakketten en bij wijzigingen op bestaande softwarepakketten moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Beperking wijziging softwarepakket | Uitvoeren expliciete risicoafweging bij nieuwe software |
| SWP_U.02.02 | Wijzigingen in, door leveranciers geleverde, softwarepakketten worden, voor zover mogelijk en haalbaar, ongewijzigd gebruikt. | Beperking wijziging softwarepakket | Ongewijzigd gebruiken gewijzigde softwarepakketten |
| SWP_U.02.03 | Indien vereist worden de wijzigingen door een onafhankelijke beoordelingsinstantie getest en gevalideerd (dit geldt waarvoor mogelijk ook voor software in de cloud). | Beperking wijziging softwarepakket | Testen en valideren van wijzigingen |
| SWP_U.03.01 | Een adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning:
| Bedrijfscontinuïteit | Adequate risicobeheersing |
| SWP_U.03.02 | De data behorende bij het softwarepakket en de beoogde bedrijfsmatige bewerking van de gegevens kan worden hersteld binnen de overeengekomen maximale uitvalsduur. | Bedrijfscontinuïteit | Herstellen data softwarepakket en bedrijfsmatige bewerking gegevens |
| SWP_U.03.03 | Periodiek wordt de beoogde werking van de disaster recovery herstelprocedures in de praktijk getest. Met cloud-leveranciers worden continuïteitsgaranties overeengekomen. | Bedrijfscontinuïteit | Testen werking herstelprocedures voor disaster recovery |
| SWP_U.04.01 | Het softwarepakket zorgt dat de invoer in een gestandaardiseerde vorm komt, zodat deze herkend en gevalideerd kan worden. | Input-/output-validatie | Zorgen voor gestandaardiseerde vorm |
| SWP_U.04.02 | Foute, ongeldige of verboden invoer wordt geweigerd of onschadelijk gemaakt. Het softwarepakket (of Software as a Service (SaaS)) voert deze controle van de invoer uit aan de serverzijde en vertrouwt niet op maatregelen aan de clientzijde. | Input-/output-validatie | Weigeren foute, ongeldige of verboden invoer |
| SWP_U.04.03 | Het softwarepakket (of Software as a Service (SaaS)) valideert alle invoer die de gebruiker aan het softwarepakket verstrekt. | Input-/output-validatie | Valideren verstrekte invoer aan softwarepakket |
| SWP_U.04.04 | Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, zogenaamde ‘ingesloten’ aanvallen te detecteren. | Input-/output-validatie | Ingebouwde mechnismen om aanvallen te detecteren |
| SWP_U.04.05 | Alle uitvoer wordt naar een veilig formaat geconverteerd. | Input-/output-validatie | Uitvoer naar veilig formaat converteren |
| SWP_U.05.01 | Softwarepakketten hergebruiken nooit sessie-tokens in URL-parameters of foutberichten. | Sessiebeheer | Niet hergebruiken token-sessies |
| SWP_U.05.02 | Softwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie. | Sessiebeheer | Genereren nieuwe sessie met gebruikersauthenticatie |
| SWP_U.05.03 | Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
| Sessiebeheer | Automatisch ongeldig maken sessies |
| SWP_U.06.01 | De opdrachtgever specificeert de classificatie van gegevens. | Gegevensopslag | Specificeren gegevensclassificatie |
| SWP_U.06.02 | Indien van een gegeven niet de classificatie van vertrouwelijkheid is vastgesteld, wordt het gegeven per default veilig opgeslagen. | Gegevensopslag | Per default velig opslaan gegeven |
| SWP_U.06.03 | Het softwarepakket voorkomt dat wachtwoorden in leesbare vorm worden opgeslagen door gebruik van hashing in combinatie met salts en minimaal 10.000 rounds of hashing. | Gegevensopslag | Voorkomen opslag wachtwoorden in leesbare vorm |
| SWP_U.06.04 | Gegevens worden door het softwarepakket deugdelijk versleuteld opgeslagen met passende standaarden voor cryptografie, tenzij door de gegevenseigenaar is gedocumenteerd dat dit niet noodzakelijk is. Cryptografische toepassingen voldoen aan passende standaarden. | Gegevensopslag | Versleuteld opslaan van gegevens met cryptografiestandaarden |
| SWP_U.06.05 | Te beschermen gegevens worden door het softwarepakket alleen opgeslagen als dat nodig is voor het doel en voor de kortst mogelijke tijd, zijnde de kortste periode tussen het vervullen van de toepassing en de door wet- of regelgeving verplichte periode. | Gegevensopslag | Opslag gegevens als nodig voor doel en korste tijd |
| SWP_U.07.01 | Cryptografische toepassingen voldoen aan passende standaarden. | Communicatie | Voldoen aan passende standaarden |
| SWP_U.07.02 | Het platform waarop het softwarepakket draait, zorgt voor de versleuteling van communicatie tussen de applicatieserver en webserver en tussen de applicatie en database. De webserver forceert versleuteling tussen de webserver en client. | Communicatie | Versleutelen communicatie tussen applicatie- en webserver |
| SWP_U.07.03 | De opdrachtgever specificeert de classificatie van de gegevens die worden uitgewisseld en waarvoor versleuteling plaatsvindt. | Communicatie | Specificeren classificatie van uit te wisselen gegevens |
| SWP_U.07.04 | Het softwarepakket zorgt waar mogelijk voor verificatie dat het certificaat:
| Communicatie | Zorgen voor certificaatverificatie |
| SWP_U.07.05 | De versleutelde communicatie van het softwarepakket kan zodanig worden geconfigureerd, dat er geen terugval naar niet of onvoldoende versleutelde communicatie ontstaat. | Communicatie | Configureren versleutelde communicatie softwarepakket |
| SWP_U.08.01 | De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
| Authenticatie | Bereiken authenticiteit |
| SWP_U.08.02 | De configuratie van de identificatie- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is. | Authenticatie | Waarborgen dat geauthentiseerde persoon de geïdentificeerde persoon is |
| SWP_U.08.03 | Het inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden). | Authenticatie | Robuust zijn tegen wachtwoorden raden |
| SWP_U.09.01 | Het softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Toegangsautorisatie | Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak |
| SWP_U.09.02 | Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen. | Toegangsautorisatie | Beschermen beheer(ders)functies |
| SWP_U.10.01 | De rechten voor toegang tot gegevens en functies in het softwarepakket zijn op een beheersbare wijze geordend, gebruik makend van autorisatiegroepen. | Autorisatiebeheer | Ordenen rechten voor toegang tot gegevens en functies |
| SWP_U.10.02 | Met taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd. | Autorisatiebeheer | Identificeren verenigbare taken en autorisaties |
| SWP_U.11.01 | In de architectuur van het softwarepakket zijn detectiemechanismen actief voor het detecteren van aanvallen. | Logging | Actief zijn van detectiemechanismen |
| SWP_U.11.02 | De te registreren acties worden centraal opgeslagen. | Logging | Centraal opslaan te registreren acties |
| SWP_U.11.03 | Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden). | Logging | Bepalen acties bij uitval loggingsmechanismen |
| SWP_U.11.04 | De (online of offline) bewaartermijn voor logging is vastgesteld en komt tot uitdrukking in de configuratie-instellingen van binnen het softwarepakket. | Logging | Vaststellen bewaartermijn voor logging |
| SWP_U.12.01 | Het softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt. | Application Programming Interface (API) | Gebruik maken van veilige API's tijdens verwerking |
| SWP_U.12.02 | Application Programming Interface (API)-URL’s geven geen gevoelige informatie, zoals de API-sleutel, sessie-tokens enz. weer. | Application Programming Interface (API) | Niet weergegeven van gevoelige informatie |
| SWP_U.12.03 | Het softwarepakket maakt gebruik van veilige Application Programming Interfaces (API’s), die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals Structured Query Language (SQL) injection en Cross-Site Scripting (XSS) te voorkomen. | Application Programming Interface (API) | Gebruik maken van veilige API's die gebruikersdata scheiden |
| SWP_U.12.04 | Het softwarepakket gebruikt veilige Application Programming Interfaces (API’s) die bufferlengtes controleren, waarmee kwetsbaarheden als Buffer- en Integer overflow worden voorkomen. | Application Programming Interface (API) | Veilige API's gebruiken |
| SWP_U.13.01 | Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen. | Gegevensimport | Bieden flexibel quotummechanisme |
| SWP_U.13.02 | Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren. | Gegevensimport | Beveiligingsmechanismen inbouwen voor detectie ingesloten aanvallen |
| SWP_U.13.03 | Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken. | Gegevensimport | Geen grote bestanden accepteren |
| SWP_U10.03 | Er bestaat een proces voor het definiëren en onderhouden van de autorisaties. | Autorisatiebeheer | Proces voor definiëren en onderhouden van autorisaties |
| TBV_B.01.01 | De regels om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen worden vastgesteld, gedocumenteerd en onderhouden in een toegangsbeveiligingsbeleid. | Toegangsbeveiligingsbeleid | Eisen aan het Toegangvoorzieningsbeleid |
| TBV_B.01.02 | Bij de bescherming van logische- en fysieke toegang wordt rekening gehouden met relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten. | Toegangsbeveiligingsbeleid | Aandacht voor wetgeving en verplichtingen |
| ... meer resultaten | |||
Gewijzigd:
3 april 2026 10:11:33
Verplichting: Informatief
Beheerregime:
Fase: Reviewfase
2 december 2022 09:04:02
3 april 2026 10:11:33
3
Informatief
3 april 2026
