12. Beveiliging bedrijfsvoering
Informatisering & automatisering is een ondersteunende bedrijfsfunctie. Hoofdstuk 12 “Beveiliging bedrijfsvoering” van de BIO is van toepassing op deze bedrijfsfunctie.
Doelstelling[bewerken]
Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
12.1 Bedieningsprocedures en verantwoordelijkheden[bewerken]
| Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
|---|---|---|---|---|
| 12.1.1 Gedocumenteerde bedieningsprocedures | Proceseigenaar | |||
| Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben. | ||||
| 12.1.2 Wijzigingsbeheer | Proceseigenaar | |||
| Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst. | ||||
| 12.1.3 Capaciteitsbeheer | Dienstverlener | |||
| Het gebruik van middelen behoort te worden gemonitord en afgestemd, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. | ||||
| 12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen | Proceseigenaar | |||
| Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. |
Doelstelling[bewerken]
Waarborgen dat informatie en informatie verwerkende faciliteiten beschermd zijn tegen malware.
12.2 Bescherming tegen malware[bewerken]
| Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
|---|---|---|---|---|
| 12.2.1 Beheersmaatregelen tegen malware | Secretaris-directeur | |||
| Ter bescherming tegen malware behoren beheersmaatregelen voor detectie, preventie en herstel te worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers. |
Doelstelling[bewerken]
Beschermen tegen het verlies van gegevens.
12.3 Back-up[bewerken]
| Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
|---|---|---|---|---|
| 12.3.1 Back-up van informatie | Proceseigenaar | |||
| Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. |
Doelstelling[bewerken]
De integriteit van operationele systemen waarborgen.
12.5 Beheersing van operationele software[bewerken]
| Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
|---|---|---|---|---|
| 12.5.1 Software installeren op operationele systemen | Dienstverlener | |||
| Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd. |
Doelstelling[bewerken]
Benutting van technische kwetsbaarheden voorkomen.
12.6 Beheer van technische kwetsbaarheden[bewerken]
| Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
|---|---|---|---|---|
| 12.6.1 Beheer van technische kwetsbaarheden | Dienstverlener | |||
| Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken. | ||||
| 12.6.2 Beperkingen voor het installeren van software | Dienstverlener | |||
| Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. |
Doelstelling[bewerken]
De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken.
12.7 Overwegingen betreffende audits van informatiesystemen[bewerken]
| Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
|---|---|---|---|---|
| 12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen | Dienstverlener | |||
| Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren. |