Eigenschap:Documentation

Denk hierbij aan een gemeente, waterschap, school, veligheidsregio, GGD/GHOR-dienst etc.  +

Bevoegde gezagen maken binnen hun plan- en regelbeheersoftware gebruik van centraal beschikbaar gestelde begrippenkaders, domeinwaardenlijsten en andere metadata.  +

Een vastgestelde omgevingsvisie vormt een richtinggevend kader voor het wijzigen van het omgevingsplan of -verordening.  +

Een vastgestelde omgevingsvisie vormt een richtinggevend kader voor het ontwikkelen van een omgevingsprogramma.  +

Om de doelen die vastgesteld zijn in omgevingsplan of -verordening te bereiken kan een programmatische aanpak gewenst zijn. Die aanpak wordt dan beschreven in een omgevingsprogramma.  +

Door het Rijk vastgestelde AMVB’s en het Omgevingsbesluit zijn kaderstellend bij de het ontwikkelen/wijzigen van omgevingsvisies, omgevingsprogramma’s, projectbesluiten en omgevingsverordeningen/plannen/leggers/peilbesluiten.  +

Ook beleidsdoorwerkende besluiten vormen kaderstellende input voor het ontwikkelen/wijzigen van omgevingsvisies, omgevingsprogramma’s en omgevingsverordeningen/plannen/leggers/peilbesluiten.  +

Ook beleidsdoorwerkende besluiten vormen kaderstellende input voor het ontwikkelen/wijzigen van omgevingsvisies, omgevingsprogramma’s en omgevingsverordeningen/plannen/leggers/peilbesluiten.  +

Vastgesteld beleid en regelgeving vormt aanleiding tot (proactief) voorlichten en (reactief) beantwoorden van vragen over dat beleid c.q. de regelgeving.  +

Ook beschikbaargestelde brondata kan aanleiding vormen voor het stellen van vragen.  +

Wijzigen van informatie over objecten in de fysieke leefomgeving vormt aanleiding voor het proactief aanleveren (van die wijzigingen) aan informatiehuizen.  +

De directie stuurt niet op informatiebeveiliging. Verantwoordelijkheden richting lijnmanagers zijn niet belegd. Een informatiebeveiligingsbeleid enof ISMS ontbreekt.  +

Op beschikbaargestelde brondata kunnen terugmeldingen komen die behandeld moeten worden.  +

Onjuiste configuratie van een applicatie kan leiden tot een verkeerde verwerking van informatie.  +

Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.  +

Er dient beleid te worden ontwikkeld en geiuml;mplementeerd met betrekking tot het gebruik de bescherming en de levensduur van cryptografische sleutels welke de gehele levensduur van de cryptografische sleutels omvat.  +

Uit de behandeling van een terugmelding kan volgen dat de gerelateerde objectinformatie aangepast moet worden.  +

Fouten in software kunnen leiden tot systeemcrashes of het corrupt raken van de in het systeem opgeslagen informatie.  +

Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.  +

Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.  +

Voor kantoren ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast.  +

Tegen natuurrampen kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.  +

Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast.  +

Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden behoren te worden beheerst en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden.  +

Apparatuur behoort zo te worden geplaatst en beschermd dat risicorsquo;s van bedreigingen en gevaren van buitenaf alsook de kans op onbevoegde toegang worden verkleind.  +

Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.  +

Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen behoren te worden beschermd tegen interceptie verstoring of schade.  +

Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.  +

Apparatuur informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring.  +

Bedrijfsmiddelen die zich buiten het terrein bevinden behoren te worden beveiligd waarbij rekening behoort te worden gehouden met de verschillende risicorsquo;s van werken buiten het terrein van de organisatie.  +

Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.  +

Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is  +

Er behoort een clear desk en clear screenbeleid voor papieren documenten en verwijderbare opslagmedia en een lsquo;clear screenrsquo;-beleid voor informatie verwerkende faciliteiten te worden ingesteld.  +

Omgevingsplan of -verordening, (indirect) omgevingsvisie en (deels indirect) omgevingsprogramma’s zijn kaderstellend voor (het verkennen en vergunnen van) initiatieven in de fysieke leefomgeving.  +

In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen.  +

Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.  +

Veranderingen in de organisatie bedrijfsprocessen informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.  +

Het gebruik van middelen behoort te worden gemonitord en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.  +

Ontwikkel- test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.  +

Ter bescherming tegen malware behoren beheersmaatregelen voor detectie preventie en herstel te worden geiuml;mplementeerd in combinatie met een passend bewustzijn van gebruikers.  +

Regelmatig behoren back-upkopieeuml;n van informatie software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.  +

Logbestanden van gebeurtenissen die gebruikersactiviteiten uitzonderingen en informatiebeveiligingsgebeurtenissen registreren behoren te worden gemaakt bewaard en regelmatig te worden beoordeeld.  +

Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.  +

Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.  +

De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron.  +

Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd.  +

Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken.  +

Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.  +

Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.  +

Uit het verkennen van een initiatief kan volgen dat de initiatiefnemer kan volstaan met het doen van een melding van de voorgenomen activiteit.  +

Onvoldoende kennis of te weinig controle op andermans werk vergroot de kans op menselijke fouten. Gebruikersinterfaces die niet zijn afgestemd op het gebruikersniveau verhogen de kans op fouten.  +

Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.  +

Beveiligingsmechanismen dienstverleningsniveaus en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.  +

Groepen van informatiediensten -gebruikers en -systemen behoren in netwerken te worden gescheiden.  +

Ter bescherming van het informatietransport dat via alle soorten communicatiefaciliteiten verloopt behoren formele beleidsregels procedures en beheersmaatregelen voor transport van kracht te zijn.  +

Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.  +

Informatie die is opgenomen in elektronische berichten behoord passend te zijn beschermd.  +

Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld regelmatig te worden beoordeeld en gedocumenteerd.  +

Uit het verkennen van een initiatief kan volgen dat een vergunning moet worden aangevraagd, waarbij eventueel een afwijkende omgevingsactiviteit wordt vergund.  +

Het ontbreken van een beleid op bijvoorbeeld het internetgebruik vergroot de kans op misbruik.  +

De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.  +

Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld behoort te worden beschermd tegen frauduleuze activiteiten geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht foutieve routering onbevoegd wijzigen van berichten onbevoegd openbaar maken onbevoegd vermenigvuldigen of afspelen.  +

Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.  +

Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.  +

Als besturingsplatforms zijn veranderd behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.  +

Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld gedocumenteerd onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.  +

Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.  +

Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie.  +

Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest.  +

Voor nieuwe informatiesystemen upgrades en nieuwe versies behoren programmarsquo;s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.  +

Testgegevens behoren zorgvuldig te worden gekozen beschermd en gecontroleerd.  +

Bij het behandelen van een melding kan blijken dat toch een vergunningaanvraag nodig is. Het omgekeerde is overigens ook mogelijk.  +

Door onvoldoende controle op de uitgifte en onjuiste inventarisatie van bedrijfsmiddelen bestaat de kans dat diefstal niet of te laat wordt opgemerkt.  +

Met de leverancier behoren de informatiebeveiligingseisen om risicorsquo;s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie te worden overeengekomen en gedocumenteerd.  +

Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT- infrastructuurelementen ten behoeve van de informatie van de organisatie of deze verwerkt opslaat communiceert of biedt.  +

Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisicorsquo;s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie.  +

Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren te beoordelen en te auditen.  +

Veranderingen in de dienstverlening van leveranciers met inbegrip van handhaving en verbetering van bestaande beleidslijnen procedures en beheersmaatregelen voor informatiebeveiliging behoren te worden beheerd rekening houdend met de kritikaliteit van bedrijfsinformatie betrokken systemen en processen en herbeoordeling van risicorsquo;s.  +

Uit de verkenning of vergunningsprocedure kan volgen dat aanpassing van de kaders (m.n. omgevingsplan of -verordening) gewenst is om het initiatief mogelijk te maken.  +

Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen.  +

Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.  +

Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.  +

Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geeuml;ist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.  +

Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten  +

Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.  +

Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.  +

De organisatie behoort procedures te definiëren en toe te passen voor het identificeren verzamelen verkrijgen en bewaren van informatie die als bewijs kan dienen.  +

Meldingen van een activiteit en verleende (of geweigerde) vergunningen vormen aanleiding tot toezicht en handhaving.  +

Het toelaten van externen zoals leveranciers en projectpartners kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is.  +

De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties bijv. een crisis of een ramp vast te stellen.  +

De organisatie behoort processen procedures en beheersmaatregelen vast te stellen te documenteren te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.  +

De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geiuml;mplementeerde beheersmaatregelen regelmatig te verifieuml;ren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.  +

Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.  +

Het melden van overlast c.q. doen van een handhavingsverzoek kan voor de gemeente aanleiding zijn tot opsporen wanneer strafbare feiten worden vermoed.  +

Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie.  +

Alle relevante wettelijke statutaire regelgevende contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld gedocumenteerd en actueel gehouden.  +

Om de naleving van wettelijke regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.  +

Registraties behoren in overeenstemming met wettelijke regelgevende contractuele en bedrijfseisen te worden beschermd tegen verlies vernietiging vervalsing onbevoegde toegang en onbevoegde vrijgave.  +

Privacy en bescherming van persoonsgegevens behoren voor zover van toepassing te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.  +