Risicoanalyse en bedreigingen

Voor een goede BIO-implementatie is een risicoanalyse noodzakelijk.
Risicoanalyse in de basis.png

Organisatie onderwerpen[bewerken]

Voor u met risicomanagement aan de slag gaat, dient u de volgende onderwerpen te organiseren:

  • Steun en medewerking vanuit de directie
    • Beleggen van taken, rollen en bevoegdheden
    • Risicomanagement integraal onderdeel van business as usual
    • (Laten) vaststellen risk appetite / risico-acceptatiecriteria
    • Sturen op de voortgang
  • Eigenaarschap
    • Op de juiste plek beleggen van verantwoordelijkheden
    • Halen versus brengen van informatiebeveiliging
    • Voorkomen van twee kapiteinen op één schip
    • Voorkomen risico's zonder eigenaar
    • Spreiding van het werk


Stappenplan risicoanalyse[bewerken]

Op hoofdlijnen ziet het stappenplan voor het uitvoeren van een risicoanalyse er als volgt uit: Risicoanalyse op hoofdlijnen.png

Risico-overzicht[bewerken]

Onderstaand treft u een globaal overzicht aan van risico's die uw organisatie loopt. Op basis van deze risico's kunt u beginnen met het implementeren van de BIO en CSIR 3.4 om deze risicogestuurd te beheersen. Overzicht risico.png

Neem dit mee[bewerken]

  • Zorg dat verantwoordelijkheden goed zijn belegd
  • Zorg voor een overzicht van alle bedrijfsinformatie
  • Begin klein bij het invullen van risicomanagement


Zicht op het informatielandschap is het halve werk[bewerken]

  • Welke informatie hebben we in huis?
  • Welke processen worden ondersteund door welke informatie?
  • Waar bevindt die informatie en ondersteunende middelen zich?
  • Wie heeft toegang tot de informatie?
  • Wat gebeurt er met de informatie?
  • Hoe wordt de informatie uitgewisseld?
  • Wie is verantwoordelijk voor die informatie?
  • Wanneer kan de informatie worden verwijderd?


Bedreigingen[bewerken]

De BIO is een afgeleide van de NEN-ISO/IEC 27002:2017. In de NEN-ISO/IEC 27002:2017 is uiteengezet met welke bedreigingen je als organisatie rekening moet houden. Deze zijn hieronder gevisualiseerd.

ArchiMateNote Verantwoordelijkheid Het ontbreekt de medewerkers aan bewustzijn op het gebied van informatiebeveiliging en voelen onvoldoende noodzaak daaraan bij te dragen. (Assessment) 4. Medewerkers handelen onvoldoende naar hetgeen van hen verwacht wordt. Binnen projecten exclusief softwareontwikkeling is onvoldoende aandacht voor beveiliging. Dit heeft negatieve gevolgen voor nieuwe systemen en processen die binnen de organisatie worden geïntroduceerd. (Assessment) 3. Onvoldoende aandacht voor beveiliging binnen projecten. Lijnmanagers zorgen er onvoldoende voor dat informatiebeveiliging binnen hun afdeling op de juiste manier wordt ingevuld. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten. (Assessment) 2. Lijnmanagers nemen hun verantwoordelijkheid voor informatiebeveiliging niet. De directie stuurt niet op informatiebeveiliging. Verantwoordelijkheden richting lijnmanagers zijn niet belegd. Een informatiebeveiligingsbeleid enof ISMS ontbreekt. (Assessment) 1. Gebrek aan sturing op informatiebeveiliging vanuit de directie. ArchiMateNote Continuïteit en betrouwbaarheid van systemen Hardware van onvoldoende kwaliteit kan leiden tot uitval van systemen. (Assessment) 9. Uitval van systemen door hardwarefouten. Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur en andere apparatuur van derden bestaat de kans op bijvoorbeeld besmetting met malware. (Assessment) 8. Aanvallen via systemen die niet in eigen beheer zijn. Onjuiste configuratie van een applicatie kan leiden tot een verkeerde verwerking van informatie. (Assessment) 10. Uitval van systemen door configuratiefouten. Informatie op een systeem is ontoegankelijk gemaakt doordat malware ransomware wipers of een aanvaller deze informatie heeft versleuteld of verwijderd. (Assessment) 6. Toegang tot informatie wordt geblokkeerd. Een netwerkdienst is verminderd beschikbaar door een moedwillige aanval DoS of door onvoorziene toename van de hoeveelheid verzoeken of van de benodigde resources om een verzoek af te handelen. Verzoeken kunnen komen vanuit gebruikers maar ook vanuit andere systemen. (Assessment) 7. Netwerkdiensten raken overbelast. In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen. (Assessment) 12. Fouten als gevolg van wijzigingen in andere systemen. Fouten in software kunnen leiden tot systeemcrashes of het corrupt raken van de in het systeem opgeslagen informatie. (Assessment) 11. Uitval van systemen door softwarefouten. Onvoldoende aandacht voor beveiliging bij het zelf of laten ontwikkelen van software leidt tot inbreuk op de informatiebeveiliging. (Assessment) 5. Onvoldoende aandacht voor beveiliging bij softwareontwikkeling. ArchiMateNote Menselijk handelen Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen. (Assessment) 16. Beleid wordt niet gevolgd door ontbreken van sancties Door onvoldoende controle op medewerkers met bijzondere rechten zoals systeembeheerders bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie. (Assessment) 20. Misbruik van speciale bevoegdheden Door onvoldoende controle op de uitgifte en onjuiste inventarisatie van bedrijfsmiddelen bestaat de kans dat diefstal niet of te laat wordt opgemerkt. (Assessment) 15. Wegnemen van bedrijfsmiddelen Door onvoldoende mogelijkheid op controle op een identiteit kan ongeautoriseerde toegang verkregen worden tot vertrouwelijke informatie. Denk hierbij ook aan social engineering zoals phishing en CEO-fraude. (Assessment) 19. Misbruik van andermans identiteit Het ontbreken van een beleid op bijvoorbeeld het internetgebruik vergroot de kans op misbruik. (Assessment) 14. Systemen worden niet gebruikt waarvoor ze bedoeld zijn. Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie. (Assessment) 18. Verlies van mobiele apparatuur en opslagmedia Onvoldoende kennis of te weinig controle op andermans werk vergroot de kans op menselijke fouten. Gebruikersinterfaces die niet zijn afgestemd op het gebruikersniveau verhogen de kans op fouten. (Assessment) 13. Gebruikersfouten. Het toelaten van externen zoals leveranciers en projectpartners kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is. (Assessment) 17. Toelaten van externen in het pand of op het netwerk Door een ontbrekend onjuist of onduidelijk proces voor het uitdelen en innemen van rechten kan een persoon onbedoeld meer rechten hebben. Deze rechten kunnen door deze persoon zelf of door anderen bijv. via malware misbruikt worden. (Assessment) 21. Onterecht hebben van rechten ArchiMateNote Toegang tot informatie Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd. Denkbij ook aan Bring Your Own Device BYOD. (Assessment) 29. Informatie buiten de beschermde omgeving Gevoelige informatie kan lekken indien opslagmedia of systemen welke opslagmedia bevatten worden weggegooid of ter reparatie aan derden worden aangeboden. (Assessment) 25. Informatie op systemen bij reparatie of verwijdering Door onduidelijkheid over vertrouwelijkheid van informatie van informatie en bevoegdheid van personen bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie. (Assessment) 24. Onduidelijkheid over classificatie en bevoegdheden Doordat externe partijen leveranciers hun informatiebeveiliging niet op orde hebben kunnen inbreuken ontstaan op de informatie waar zij toegang tot hebben (Assessment) 28. Onvoldoende aandacht voor beveiliging bij uitbesteding van werkzaamheden Door het ontbreken van een clear-desk enof clear-screen policy kan toegang verkregen worden tot gevoelige informatie. (Assessment) 23. Onbeheerd achterlaten van werkplekken Zwakheden in de beveiliging van het draadloze netwerk worden misbruikt om toegang te krijgen tot dit netwerk. (Assessment) 27. Misbruiken van zwakheden in netwerkbeveiliging Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen. (Assessment) 22. Slecht wachtwoordgebruik Kwetsbaarheden in applicaties of hardware worden misbruikt exploits om ongeautoriseerde toegang te krijgen tot een applicatie en de daarin opgeslagen informatie. (Assessment) 26. Misbruik van kwetsbaarheden in applicaties of hardware Door middel van keyloggers of netwerktaps wordt gevoelige informatie achterhaald (Assessment) 30. Afluisterapparatuur ArchiMateNote Uitwisselen en bewaren van informatie Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie (Assessment) 31. Onveilig versturen van gevoelige informatie Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger (Assessment) 32. Versturen van gevoelige informatie naar onjuiste persoon Informatie gaat verloren door onleesbaar geraken van medium of gedateerd raken van bestandsformaat (Assessment) 33. Informatieverlies door verlopen van houdbaarheid van opslagwijze Door een onjuist of ontbrekend sleutelbeheer bestaat de kans op misbruik van cryptografische sleutels. Het gebruik van zwakke cryptografische algoritmen biedt schijnveiligheid (Assessment) 35. Misbruik van cryptografische sleutels enof gebruik van zwakke algoritmen Ongewenste handelingen als gevolg van foutieve bedrijfsinformatie of het toegestuurd krijgen van foutieve informatie. Dit kan zijn als gevolg van moedwillig handelen of van een vergissing (Assessment) 34. Foutieve informatie ArchiMateNote Wet- en regelgeving Door wetgeving in sommige landen kan de overheid van zon land inzage krijgen in informatie welke in de cloud ligt opgeslagen (Assessment) 36. Wetgeving over informatie in de cloud Door wetgeving in sommige landen kan de overheid inzage eisen in de gegevens op meegenomen systemen bij een bezoek aan dat land (Assessment) 37. Buitenlandse wetgeving bij het bezoeken van een land Door wetgeving in sommige landen kan de overheid een kopie van cryptografische sleutels opeisen (Assessment) 38. Wetgeving over het gebruik van cryptografie ArchiMateNote Incidentafhandeling Veroorzakers van incidenten worden niet aangesproken op hun handelen. Managers hebben onvoldoende zicht op herhalende incidenten waardoor zij daar niet op sturen (Assessment) 41. Herhaling van incidenten Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren (Assessment) 40. Informatie voor het aanpakken van incidenten ontbreekt De gevolgen van incidenten worden hierdoor onnodig groot. Binnen het bedrijf is er onvoldoende netwerkmonitoring en is er geen centraal meldpunt voor beveiligingsincidenten (Assessment) 39. Incidenten worden niet tijdig opgepakt ArchiMateNote Bedrijfscontinuïteit Het niet meer beschikbaar zijn van diensten van derden door uitval van systemen faillissement ongeplande contractbeïndiging of onacceptabele wijziging in de dienstverlening bijvoorbeeld door bedrijfsovername (Assessment) 49. Niet beschikbaar zijn van diensten van derden Medewerkers die het bedrijf verlaten of door een ongeval voor lange tijd niet inzetbaar zijn bezitten kennis die daardoor niet meer beschikbaar is (Assessment) 51. Kwijtraken van belangrijke kennis bij niet beschikbaar zijn van medewerkers Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties (Assessment) 50. Software wordt niet meer ondersteund door de uitgever ArchiMateNote Fysieke beveiliging Overstroming en wateroverlast kunnen zorgen voor schade aan computers en andere bedrijfsmiddelen (Assessment) 45. Overstroming en wateroverlast Explosies kunnen leiden tot schade aan het gebouw en apparatuur en slachtoffers (Assessment) 44. Explosie Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand (Assessment) 43. Brand Het ontbreken van toegangspasjes zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang (Assessment) 42. Ongeautoriseerde fysieke toegang Schade aan of vernieling van bedrijfseigendommen als gevolg van een ongerichte actie zoals vandalisme of knaagdieren (Assessment) 48. Vandalisme Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen (Assessment) 47. Uitval van facilitaire middelen gas water electra airco Verontreininging van de omgeving kan ertoe leiden dat de organisatie tijdelijk niet meer kan werken (Assessment) 46. Verontreiniging van de omgeving Deze svg is op 14-03-2024 22:06:37 CET gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 14-03-2024 22:06:37 CET


Maatregelen[bewerken]

De BIO beschrijft vervolgens ook welke controlemaatregelen je als overheid moet nemen, om deze bedreigingen te mitigeren. Deze zijn geclusterd in domeinen en zijn hieronder beschreven.

Grouping Beveiliging bedrijfsvoering Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. (Requirement) 12.6.2 Beperkingen voor het installeren van software Ontwikkel- test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. (Requirement) 12.1.4 Scheiding van ontwikkel- test- en productieomgevingen Regelmatig behoren back-upkopieeuml;n van informatie software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. (Requirement) 12.3.1 Back-up van informatie Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren. (Requirement) 12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. (Requirement) 12.4.2 Beschermen van informatie in logbestanden Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken. (Requirement) 12.6.1 Beheer van technische kwetsbaarheden Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben. (Requirement) 12.1.1 Gedocumenteerde bedieningsprocedures Ter bescherming tegen malware behoren beheersmaatregelen voor detectie preventie en herstel te worden geiuml;mplementeerd in combinatie met een passend bewustzijn van gebruikers. (Requirement) 12.2.1 Beheersmaatregelen tegen malware Veranderingen in de organisatie bedrijfsprocessen informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst. (Requirement) 12.1.2 Wijzigingsbeheer Logbestanden van gebeurtenissen die gebruikersactiviteiten uitzonderingen en informatiebeveiligingsgebeurtenissen registreren behoren te worden gemaakt bewaard en regelmatig te worden beoordeeld. (Requirement) 12.4.1 Gebeurtenissen registreren Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd. (Requirement) 12.5.1 Software installeren op operationele systemen Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. (Requirement) 12.4.3 Logbestanden van beheerders en operators Het gebruik van middelen behoort te worden gemonitord en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. (Requirement) 12.1.3 Capaciteitsbeheer De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron. (Requirement) 12.4.4 Kloksynchronisatie Grouping Acquisitie, ontwikkeling en onderhoud van informatiesystemen Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. (Requirement) 14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld gedocumenteerd onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. (Requirement) 14.2.5 Principes voor engineering van beveiligde systemen Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. (Requirement) 14.2.6 Beveiligde ontwikkelomgeving Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht foutieve routering onbevoegd wijzigen van berichten onbevoegd openbaar maken onbevoegd vermenigvuldigen of afspelen. (Requirement) 14.1.3 Transacties van toepassingen beschermen Voor nieuwe informatiesystemen upgrades en nieuwe versies behoren programmarsquo;s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. (Requirement) 14.2.9 Systeemacceptatietests Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest. (Requirement) 14.2.8 Testen van systeembeveiliging Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie. (Requirement) 14.2.7 Uitbestede softwareontwikkeling Uitbestede systeemontwikkeling behoo Testgegevens behoren zorgvuldig te worden gekozen beschermd en gecontroleerd. (Requirement) 14.3.1 Bescherming van testgegevens De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. (Requirement) 14.1.1 Analyse en specificatie van informatiebeveiligingseisen Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld behoort te worden beschermd tegen frauduleuze activiteiten geschillen over contracten en onbevoegde openbaarmaking en wijziging. (Requirement) 14.1.2 Toepassingen op openbare netwerken beveiligen Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. (Requirement) 14.2.1 Beleid voor beveiligd ontwikkelen Als besturingsplatforms zijn veranderd behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. (Requirement) 14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform Grouping Fysieke beveiliging en beveiliging van de omgeving Voor kantoren ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast. (Requirement) 11.1.3 Kantoren ruimten en faciliteiten beveiligen Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. (Requirement) 11.1.2 Fysieke toegangsbeveiliging Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden behoren te worden beheerst en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden. (Requirement) 11.1.6 Laad- en loslocatie Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is (Requirement) 11.2.8 Onbeheerde gebruikersapparatuur Er behoort een clear desk en clear screenbeleid voor papieren documenten en verwijderbare opslagmedia en een lsquo;clear screenrsquo;-beleid voor informatie verwerkende faciliteiten te worden ingesteld. (Requirement) 11.2.9 Clear desk en clear screenbeleid Tegen natuurrampen kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. (Requirement) 11.1.4 Beschermen tegen bedreigingen van buitenaf Apparatuur behoort zo te worden geplaatst en beschermd dat risicorsquo;s van bedreigingen en gevaren van buitenaf alsook de kans op onbevoegde toegang worden verkleind. (Requirement) 11.2.1 Plaatsing en bescherming van apparatuur Bedrijfsmiddelen die zich buiten het terrein bevinden behoren te worden beveiligd waarbij rekening behoort te worden gehouden met de verschillende risicorsquo;s van werken buiten het terrein van de organisatie. (Requirement) 11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. (Requirement) 11.2.2 Nutsvoorzieningen Apparatuur informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. (Requirement) 11.2.5 Verwijdering van bedrijfsmiddelen Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast. (Requirement) 11.1.5 Werken in beveiligde gebieden Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. (Requirement) 11.2.7 Veilig verwijderen of hergebruiken van apparatuur Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. (Requirement) 11.1.1 Fysieke beveiligingszone Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. (Requirement) 11.2.4 Onderhoud van apparatuur Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen behoren te worden beschermd tegen interceptie verstoring of schade. (Requirement) 11.2.3 Beveiliging van bekabeling Grouping Beheer van bedrijfsmiddelen Media die informatie bevatten behoren te worden beschermd tegen onbevoegde toegang misbruik of corruptie tijdens transport. (Requirement) 8.3.3 Media fysiek overdragen Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beïndiging van hun dienstverband contract of overeenkomst terug te geven. (Requirement) 8.1.4 Teruggeven van bedrijfsmiddelen Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden behoren een eigenaar te hebben. (Requirement) 8.1.2 Eigendom van bedrijfsmiddelen Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. (Requirement) 8.2.2 Informatie labelen Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn overeenkomstig formele procedures. (Requirement) 8.3.2 Verwijderen van media Voor het beheren van verwijderbare media behoren procedures te worden geiuml;mplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld (Requirement) 8.3.1 Beheer van verwijderbare media Informatie andere bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geiuml;dentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden. (Requirement) 8.1.1 Inventariseren van bedrijfsmiddelen Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen waarde belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. (Requirement) 8.2.1 Classificatie van informatie Procedures voor het behandelen van bedrijfsmiddelen behoren te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. (Requirement) 8.2.3 Behandelen van bedrijfsmiddelen Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren regels te worden geïdentificeerd gedocumenteerd en geiuml;mplementeerd. (Requirement) 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen Grouping Informatiebeveiligingsbeleid Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd goedgekeurd door de directie gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. (Requirement) 5.1.1 Aansturing door de directie van de informatiebeveiliging Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen te worden beoordeeld om te waarborgen dat het voortdurend passend adequaat en doeltreffend is. (Requirement) 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Grouping Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. (Requirement) 17.2.1 Beschikbaarheid van informatie verwerkende faciliteiten De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties bijv. een crisis of een ramp vast te stellen. (Requirement) 17.1.1 Informatiebeveiligingscontinuïeit plannen De organisatie behoort processen procedures en beheersmaatregelen vast te stellen te documenteren te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen. (Requirement) 17.1.2 Informatiebeveiligingscontinuïteit implementeren De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geiuml;mplementeerde beheersmaatregelen regelmatig te verifieuml;ren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties. (Requirement) 17.1.3 Informatiebeveiligingscontinuiuml;t- eit verifieuml;ren beoordelen en evalueren Grouping Organiseren van informatiebeveiliging Requirement 6.1.4 Vervallen Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. (Requirement) 6.1.2 Scheiding van taken Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. (Requirement) 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden. (Requirement) 6.1.3 Contact met overheidsinstanties Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd verwerkt of opgeslagen (Requirement) 6.2.2 Telewerken Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risicorsquo;s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. (Requirement) 6.2.1 Beleid voor mobiele apparatuur Informatiebeveiliging behoort aan de orde te komen in projectbeheer ongeacht het soort project. (Requirement) 6.1.5 Informatiebeveiliging in projectbeheer Grouping Cryptografie Er dient beleid te worden ontwikkeld en geiuml;mplementeerd met betrekking tot het gebruik de bescherming en de levensduur van cryptografische sleutels welke de gehele levensduur van de cryptografische sleutels omvat. (Requirement) 10.1.2 Sleutelbeheer Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. (Requirement) 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen Grouping Beheer van informatiebeveiligingsincidenten Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. (Requirement) 16.1.6 Lering uit informatiebeveiligingsincidenten Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures. (Requirement) 16.1.5 Respons op informatiebeveiligingsincidenten Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geeuml;ist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren. (Requirement) 16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. (Requirement) 16.1.2 Rapportage van informatiebeveiligingsgebeurteniss- en Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen. (Requirement) 16.1.1 Verantwoordelijkheden en procedures De organisatie behoort procedures te definiëren en toe te passen voor het identificeren verzamelen verkrijgen en bewaren van informatie die als bewijs kan dienen. (Requirement) 16.1.7 Verzamelen van bewijsmateriaal Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten (Requirement) 16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurteniss- en Grouping Naleving De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels normen en andere eisen betreffende beveiliging. (Requirement) 18.2.2 Naleving van beveiligingsbeleid en -normen Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten wet- en regelgeving. (Requirement) 18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen Alle relevante wettelijke statutaire regelgevende contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld gedocumenteerd en actueel gehouden. (Requirement) 18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. (Requirement) 18.2.3 Beoordeling van technische naleving De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan bijv. beheerdoelstellingen beheersmaatregelen beleidsregels processen en procedures voor informatiebeveiliging behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld. (Requirement) 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging Om de naleving van wettelijke regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd. (Requirement) 18.1.2 Intellectuele- eigendomsrechten Registraties behoren in overeenstemming met wettelijke regelgevende contractuele en bedrijfseisen te worden beschermd tegen verlies vernietiging vervalsing onbevoegde toegang en onbevoegde vrijgave. (Requirement) 18.1.3 Beschermen van registraties Privacy en bescherming van persoonsgegevens behoren voor zover van toepassing te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. (Requirement) 18.1.4 Privacy en bescherming van persoonsgegevens Grouping Veilig personeel De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden. (Requirement) 7.1.2 Arbeidsvoorwaarden De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. (Requirement) 7.2.1 Directieverantwoordelijkheden Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging. (Requirement) 7.2.3 Disciplinaire procedure Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beeuml;indiging of wijziging van het dienstverband behoren te worden gedefinieerd gecommuniceerd aan de medewerker of contractant en ten uitvoer gebracht. (Requirement) 7.3.1 Beïndiging of wijziging van verantwoordelijkheden van het dienstverband Alle medewerkers van de organisatie en voor zover relevant contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie voor zover relevant voor hun functie. (Requirement) 7.2.2 Bewustzijn opleiding en training ten aanzien van informatiebeveiliging Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's te zijn. (Requirement) 7.1.1 Screening Grouping Toegangsbeveiliging Indien het beleid voor toegangsbeveiliging dit vereist behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. (Requirement) 9.4.2 Beveiligde inlogprocedures Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. (Requirement) 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beïndiging van hun dienstverband contract of overeenkomst te worden verwijderd en bij wijzigingen behoren ze te worden aangepast. (Requirement) 9.2.6 Toegangsrechten intrekken of aanpassen Een formele gebruikerstoegangsverleningsprocedure behoort te worden geiuml;mplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. (Requirement) 9.2.2 Gebruikers toegang verlenen Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. (Requirement) 9.4.1 Beperking toegang tot informatie Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd. (Requirement) 9.4.4 Speciale systeemhulpmiddelen gebruiken Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen. (Requirement) 9.4.3 Systeem voor wachtwoordbeheer Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. (Requirement) 9.2.3 Beheren van speciale toegangsrechten Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. (Requirement) 9.2.5 Beoordeling van toegangsrechten van gebruikers Toegang tot de programmabroncode behoort te worden beperkt. (Requirement) 9.4.5 Toegangsbeveiliging op programmabroncode Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie. (Requirement) 9.3.1 Geheime authenticatie- informatie gebruiken Een formele registratie- en afmeldingsprocedure behoort te worden geiuml;mplementeerd om toewijzing van toegangsrechten mogelijk te maken. (Requirement) 9.2.1 Registratie en afmelden van gebruikers Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. (Requirement) 9.1.2 Toegang tot netwerken en netwerkdiensten Een beleid voor toegangsbeveiliging behoort te worden vastgesteld gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen. (Requirement) 9.1.1 Beleid voor toegangsbeveiliging Grouping Communicatiebeveiliging Beveiligingsmechanismen dienstverleningsniveaus en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. (Requirement) 13.1.2 Beveiliging van netwerkdiensten Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. (Requirement) 13.2.2 Overeenkomsten over informatietransport Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. (Requirement) 13.1.1 Beheersmaatregelen voor netwerken Groepen van informatiediensten -gebruikers en -systemen behoren in netwerken te worden gescheiden. (Requirement) 13.1.3 Scheiding in netwerken Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld regelmatig te worden beoordeeld en gedocumenteerd. (Requirement) 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst Ter bescherming van het informatietransport dat via alle soorten communicatiefaciliteiten verloopt behoren formele beleidsregels procedures en beheersmaatregelen voor transport van kracht te zijn. (Requirement) 13.2.1 Beleid en procedures voor informatietransport Informatie die is opgenomen in elektronische berichten behoord passend te zijn beschermd. (Requirement) 13.2.3 Elektronische berichten Grouping Leveranciersrelaties Veranderingen in de dienstverlening van leveranciers met inbegrip van handhaving en verbetering van bestaande beleidslijnen procedures en beheersmaatregelen voor informatiebeveiliging behoren te worden beheerd rekening houdend met de kritikaliteit van bedrijfsinformatie betrokken systemen en processen en herbeoordeling van risicorsquo;s. (Requirement) 15.2.2 Beheer van veranderingen in dienstverlening van leveranciers Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisicorsquo;s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. (Requirement) 15.1.3 Toeleveringsketen van informatie- en communicatietechnologie Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren te beoordelen en te auditen. (Requirement) 15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers Met de leverancier behoren de informatiebeveiligingseisen om risicorsquo;s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie te worden overeengekomen en gedocumenteerd. (Requirement) 15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT- infrastructuurelementen ten behoeve van de informatie van de organisatie of deze verwerkt opslaat communiceert of biedt. (Requirement) 15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Deze svg is op 14-03-2024 22:06:42 CET gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 14-03-2024 22:06:42 CET
Element Beschrijving Elementtype
10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Requirement
10.1.2 Sleutelbeheer Er dient beleid te worden ontwikkeld en geiuml;mplementeerd met betrekking tot het gebruik de bescherming en de levensduur van cryptografische sleutels welke de gehele levensduur van de cryptografische sleutels omvat.Requirement
11.1.1 Fysieke beveiligingszone Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.Requirement
11.1.2 Fysieke toegangsbeveiliging Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.Requirement
11.1.3 Kantoren ruimten en faciliteiten beveiligen Voor kantoren ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast.Requirement
11.1.4 Beschermen tegen bedreigingen van buitenaf Tegen natuurrampen kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.Requirement
11.1.5 Werken in beveiligde gebieden Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast.Requirement
11.1.6 Laad- en loslocatie Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden behoren te worden beheerst en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden.Requirement
11.2.1 Plaatsing en bescherming van apparatuur Apparatuur behoort zo te worden geplaatst en beschermd dat risicorsquo;s van bedreigingen en gevaren van buitenaf alsook de kans op onbevoegde toegang worden verkleind.Requirement
11.2.2 Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.Requirement
11.2.3 Beveiliging van bekabeling Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen behoren te worden beschermd tegen interceptie verstoring of schade.Requirement
11.2.4 Onderhoud van apparatuur Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.Requirement
11.2.5 Verwijdering van bedrijfsmiddelen Apparatuur informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring.Requirement
11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Bedrijfsmiddelen die zich buiten het terrein bevinden behoren te worden beveiligd waarbij rekening behoort te worden gehouden met de verschillende risicorsquo;s van werken buiten het terrein van de organisatie.Requirement
11.2.7 Veilig verwijderen of hergebruiken van apparatuur Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Requirement
11.2.8 Onbeheerde gebruikersapparatuur Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd isRequirement
11.2.9 Clear desk en clear screenbeleid Er behoort een clear desk en clear screenbeleid voor papieren documenten en verwijderbare opslagmedia en een lsquo;clear screenrsquo;-beleid voor informatie verwerkende faciliteiten te worden ingesteld.Requirement
12.1.1 Gedocumenteerde bedieningsprocedures Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.Requirement
12.1.2 Wijzigingsbeheer Veranderingen in de organisatie bedrijfsprocessen informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.Requirement
12.1.3 Capaciteitsbeheer Het gebruik van middelen behoort te worden gemonitord en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.Requirement
12.1.4 Scheiding van ontwikkel- test- en productieomgevingen Ontwikkel- test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.Requirement
12.2.1 Beheersmaatregelen tegen malware Ter bescherming tegen malware behoren beheersmaatregelen voor detectie preventie en herstel te worden geiuml;mplementeerd in combinatie met een passend bewustzijn van gebruikers.Requirement
12.3.1 Back-up van informatie Regelmatig behoren back-upkopieeuml;n van informatie software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.Requirement
12.4.1 Gebeurtenissen registreren Logbestanden van gebeurtenissen die gebruikersactiviteiten uitzonderingen en informatiebeveiligingsgebeurtenissen registreren behoren te worden gemaakt bewaard en regelmatig te worden beoordeeld.Requirement
12.4.2 Beschermen van informatie in logbestanden Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.Requirement
12.4.3 Logbestanden van beheerders en operators Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.Requirement
12.4.4 Kloksynchronisatie De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron.Requirement
12.5.1 Software installeren op operationele systemen Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd.Requirement
12.6.1 Beheer van technische kwetsbaarheden Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken.Requirement
12.6.2 Beperkingen voor het installeren van software Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.Requirement
12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.Requirement
13.1.1 Beheersmaatregelen voor netwerken Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.Requirement
13.1.2 Beveiliging van netwerkdiensten Beveiligingsmechanismen dienstverleningsniveaus en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.Requirement
13.1.3 Scheiding in netwerken Groepen van informatiediensten -gebruikers en -systemen behoren in netwerken te worden gescheiden.Requirement
13.2.1 Beleid en procedures voor informatietransport Ter bescherming van het informatietransport dat via alle soorten communicatiefaciliteiten verloopt behoren formele beleidsregels procedures en beheersmaatregelen voor transport van kracht te zijn.Requirement
13.2.2 Overeenkomsten over informatietransport Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.Requirement
13.2.3 Elektronische berichten Informatie die is opgenomen in elektronische berichten behoord passend te zijn beschermd.Requirement
13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld regelmatig te worden beoordeeld en gedocumenteerd.Requirement
14.1.1 Analyse en specificatie van informatiebeveiligingseisen De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.Requirement
14.1.2 Toepassingen op openbare netwerken beveiligen Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld behoort te worden beschermd tegen frauduleuze activiteiten geschillen over contracten en onbevoegde openbaarmaking en wijziging.Requirement
14.1.3 Transacties van toepassingen beschermen Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht foutieve routering onbevoegd wijzigen van berichten onbevoegd openbaar maken onbevoegd vermenigvuldigen of afspelen.Requirement
14.2.1 Beleid voor beveiligd ontwikkelen Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.Requirement
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.Requirement
14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform Als besturingsplatforms zijn veranderd behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.Requirement
14.2.5 Principes voor engineering van beveiligde systemen Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld gedocumenteerd onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.Requirement
14.2.6 Beveiligde ontwikkelomgeving Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.Requirement
14.2.7 Uitbestede softwareontwikkeling Uitbestede systeemontwikkeling behoo Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie.Requirement
14.2.8 Testen van systeembeveiliging Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest.Requirement
14.2.9 Systeemacceptatietests Voor nieuwe informatiesystemen upgrades en nieuwe versies behoren programmarsquo;s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.Requirement
14.3.1 Bescherming van testgegevens Testgegevens behoren zorgvuldig te worden gekozen beschermd en gecontroleerd.Requirement
15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties Met de leverancier behoren de informatiebeveiligingseisen om risicorsquo;s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie te worden overeengekomen en gedocumenteerd.Requirement
15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT- infrastructuurelementen ten behoeve van de informatie van de organisatie of deze verwerkt opslaat communiceert of biedt.Requirement
15.1.3 Toeleveringsketen van informatie- en communicatietechnologie Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisicorsquo;s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie.Requirement
15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren te beoordelen en te auditen.Requirement
15.2.2 Beheer van veranderingen in dienstverlening van leveranciers Veranderingen in de dienstverlening van leveranciers met inbegrip van handhaving en verbetering van bestaande beleidslijnen procedures en beheersmaatregelen voor informatiebeveiliging behoren te worden beheerd rekening houdend met de kritikaliteit van bedrijfsinformatie betrokken systemen en processen en herbeoordeling van risicorsquo;s.Requirement
16.1.1 Verantwoordelijkheden en procedures Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.Requirement
16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.Requirement
16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geeuml;ist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.Requirement
16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidentenRequirement
16.1.5 Respons op informatiebeveiligingsincidenten Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.Requirement
16.1.6 Lering uit informatiebeveiligingsincidenten Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.Requirement
16.1.7 Verzamelen van bewijsmateriaal De organisatie behoort procedures te definiëren en toe te passen voor het identificeren verzamelen verkrijgen en bewaren van informatie die als bewijs kan dienen.Requirement
17.1.1 Informatiebeveiligingscontinuïeit plannen De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties bijv. een crisis of een ramp vast te stellen.Requirement
17.1.2 Informatiebeveiligingscontinuïteit implementeren De organisatie behoort processen procedures en beheersmaatregelen vast te stellen te documenteren te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.Requirement
17.1.3 Informatiebeveiligingscontinuiuml;teit verifieuml;ren beoordelen en evalueren De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geiuml;mplementeerde beheersmaatregelen regelmatig te verifieuml;ren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.Requirement
17.2.1 Beschikbaarheid van informatie verwerkende faciliteiten Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.Requirement
18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen Alle relevante wettelijke statutaire regelgevende contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld gedocumenteerd en actueel gehouden.Requirement
18.1.2 Intellectuele-eigendomsrechten Om de naleving van wettelijke regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.Requirement
18.1.3 Beschermen van registraties Registraties behoren in overeenstemming met wettelijke regelgevende contractuele en bedrijfseisen te worden beschermd tegen verlies vernietiging vervalsing onbevoegde toegang en onbevoegde vrijgave.Requirement
18.1.4 Privacy en bescherming van persoonsgegevens Privacy en bescherming van persoonsgegevens behoren voor zover van toepassing te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.Requirement
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten wet- en regelgeving.Requirement
18.2.1 Onafhankelijke beoordeling van informatiebeveiliging De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan bijv. beheerdoelstellingen beheersmaatregelen beleidsregels processen en procedures voor informatiebeveiliging behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld.Requirement
18.2.2 Naleving van beveiligingsbeleid en -normen De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels normen en andere eisen betreffende beveiliging.Requirement
18.2.3 Beoordeling van technische naleving Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.Requirement
5.1.1 Aansturing door de directie van de informatiebeveiliging Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd goedgekeurd door de directie gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.Requirement
5.1.2 Beoordeling van het informatiebeveiligingsbeleid Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen te worden beoordeeld om te waarborgen dat het voortdurend passend adequaat en doeltreffend is.Requirement
6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.Requirement
6.1.2 Scheiding van taken Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.Requirement
6.1.3 Contact met overheidsinstanties Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden.Requirement
6.1.4 Vervallen Requirement
6.1.5 Informatiebeveiliging in projectbeheer Informatiebeveiliging behoort aan de orde te komen in projectbeheer ongeacht het soort project.Requirement
6.2.1 Beleid voor mobiele apparatuur Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risicorsquo;s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.Requirement
6.2.2 Telewerken Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd verwerkt of opgeslagenRequirement
7.1.1 Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's te zijn.Requirement
7.1.2 Arbeidsvoorwaarden De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.Requirement
7.2.1 Directieverantwoordelijkheden De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.Requirement
7.2.2 Bewustzijn opleiding en training ten aanzien van informatiebeveiliging Alle medewerkers van de organisatie en voor zover relevant contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie voor zover relevant voor hun functie.Requirement
7.2.3 Disciplinaire procedure Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging.Requirement
7.3.1 Beïndiging of wijziging van verantwoordelijkheden van het dienstverband Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beeuml;indiging of wijziging van het dienstverband behoren te worden gedefinieerd gecommuniceerd aan de medewerker of contractant en ten uitvoer gebracht.Requirement
8.1.1 Inventariseren van bedrijfsmiddelen Informatie andere bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geiuml;dentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.Requirement
8.1.2 Eigendom van bedrijfsmiddelen Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden behoren een eigenaar te hebben.Requirement
8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren regels te worden geïdentificeerd gedocumenteerd en geiuml;mplementeerd.Requirement
8.1.4 Teruggeven van bedrijfsmiddelen Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beïndiging van hun dienstverband contract of overeenkomst terug te geven.Requirement
8.2.1 Classificatie van informatie Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen waarde belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.Requirement
8.2.2 Informatie labelen Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.Requirement
8.2.3 Behandelen van bedrijfsmiddelen Procedures voor het behandelen van bedrijfsmiddelen behoren te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.Requirement
8.3.1 Beheer van verwijderbare media Voor het beheren van verwijderbare media behoren procedures te worden geiuml;mplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteldRequirement
8.3.2 Verwijderen van media Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn overeenkomstig formele procedures.Requirement
8.3.3 Media fysiek overdragen Media die informatie bevatten behoren te worden beschermd tegen onbevoegde toegang misbruik of corruptie tijdens transport.Requirement
9.1.1 Beleid voor toegangsbeveiliging Een beleid voor toegangsbeveiliging behoort te worden vastgesteld gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.Requirement
9.1.2 Toegang tot netwerken en netwerkdiensten Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.Requirement
9.2.1 Registratie en afmelden van gebruikers Een formele registratie- en afmeldingsprocedure behoort te worden geiuml;mplementeerd om toewijzing van toegangsrechten mogelijk te maken.Requirement
9.2.2 Gebruikers toegang verlenen Een formele gebruikerstoegangsverleningsprocedure behoort te worden geiuml;mplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.Requirement
9.2.3 Beheren van speciale toegangsrechten Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.Requirement
9.2.4 Beheer van geheime authenticatie-informatie van gebruikers Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.Requirement
9.2.5 Beoordeling van toegangsrechten van gebruikers Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.Requirement
9.2.6 Toegangsrechten intrekken of aanpassen De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beïndiging van hun dienstverband contract of overeenkomst te worden verwijderd en bij wijzigingen behoren ze te worden aangepast.Requirement
9.3.1 Geheime authenticatie-informatie gebruiken Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.Requirement
9.4.1 Beperking toegang tot informatie Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.Requirement
9.4.2 Beveiligde inlogprocedures Indien het beleid voor toegangsbeveiliging dit vereist behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.Requirement
9.4.3 Systeem voor wachtwoordbeheer Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.Requirement
9.4.4 Speciale systeemhulpmiddelen gebruiken Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd.Requirement
9.4.5 Toegangsbeveiliging op programmabroncode Toegang tot de programmabroncode behoort te worden beperkt.Requirement
Acquisitie, ontwikkeling en onderhoud van informatiesystemen Grouping
Beheer van bedrijfsmiddelen Grouping
Beheer van informatiebeveiligingsincidenten Grouping
Beveiliging bedrijfsvoering Grouping
Communicatiebeveiliging Grouping
Cryptografie Grouping
Fysieke beveiliging en beveiliging van de omgeving Grouping
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Grouping
Informatiebeveiligingsbeleid Grouping
Leveranciersrelaties Grouping
Naleving Grouping
Organiseren van informatiebeveiliging Grouping
Toegangsbeveiliging Grouping
Veilig personeel Grouping