Risicoanalyse en bedreigingen
Voor een goede BIO-implementatie is een risicoanalyse noodzakelijk.
Organisatie onderwerpen[bewerken]
Voor u met risicomanagement aan de slag gaat, dient u de volgende onderwerpen te organiseren:
- Steun en medewerking vanuit de directie
- Beleggen van taken, rollen en bevoegdheden
- Risicomanagement integraal onderdeel van business as usual
- (Laten) vaststellen risk appetite / risico-acceptatiecriteria
- Sturen op de voortgang
- Eigenaarschap
- Op de juiste plek beleggen van verantwoordelijkheden
- Halen versus brengen van informatiebeveiliging
- Voorkomen van twee kapiteinen op één schip
- Voorkomen risico's zonder eigenaar
- Spreiding van het werk
Stappenplan risicoanalyse[bewerken]
Op hoofdlijnen ziet het stappenplan voor het uitvoeren van een risicoanalyse er als volgt uit:
Risico-overzicht[bewerken]
Onderstaand treft u een globaal overzicht aan van risico's die uw organisatie loopt. Op basis van deze risico's kunt u beginnen met het implementeren van de BIO en CSIR 2.0 om deze risicogestuurd te beheersen.
Neem dit mee[bewerken]
- Zorg dat verantwoordelijkheden goed zijn belegd
- Zorg voor een overzicht van alle bedrijfsinformatie
- Begin klein bij het invullen van risicomanagement
Zicht op het informatielandschap is het halve werk[bewerken]
- Welke informatie hebben we in huis?
- Welke processen worden ondersteund door welke informatie?
- Waar bevindt die informatie en ondersteunende middelen zich?
- Wie heeft toegang tot de informatie?
- Wat gebeurt er met de informatie?
- Hoe wordt de informatie uitgewisseld?
- Wie is verantwoordelijk voor die informatie?
- Wanneer kan de informatie worden verwijderd?
Bedreigingen[bewerken]
In de Baseline Informatiebeveiliging Overheid (BIO) is uiteengezet met welke bedreigen je als overheid rekening moet houden. Deze zijn hieronder gevisualiseerd. Klik op een bedreiging en zie welke maatregelen genomen kunnen worden om deze te mitigeren.
Maatregelen[bewerken]
De BIO beschrijft ook welke controlemaatregelen je als overheid moet nemen, om deze bedreigingen te mitigeren. Deze zijn geclusterd in domeinen en zijn hieronder beschreven. Klik op een maatregel en zie welke bedreigingen hierdoor gemitigeerd worden.
Element | Beschrijving | Elementtype |
---|---|---|
10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen | Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. | Requirement |
10.1.2 Sleutelbeheer | Er dient beleid te worden ontwikkeld en geiuml;mplementeerd met betrekking tot het gebruik de bescherming en de levensduur van cryptografische sleutels welke de gehele levensduur van de cryptografische sleutels omvat. | Requirement |
11.1.1 Fysieke beveiligingszone | Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. | Requirement |
11.1.2 Fysieke toegangsbeveiliging | Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. | Requirement |
11.1.3 Kantoren ruimten en faciliteiten beveiligen | Voor kantoren ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast. | Requirement |
11.1.4 Beschermen tegen bedreigingen van buitenaf | Tegen natuurrampen kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. | Requirement |
11.1.5 Werken in beveiligde gebieden | Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast. | Requirement |
11.1.6 Laad- en loslocatie | Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden behoren te worden beheerst en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden. | Requirement |
11.2.1 Plaatsing en bescherming van apparatuur | Apparatuur behoort zo te worden geplaatst en beschermd dat risicorsquo;s van bedreigingen en gevaren van buitenaf alsook de kans op onbevoegde toegang worden verkleind. | Requirement |
11.2.2 Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | Requirement |
11.2.3 Beveiliging van bekabeling | Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen behoren te worden beschermd tegen interceptie verstoring of schade. | Requirement |
11.2.4 Onderhoud van apparatuur | Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. | Requirement |
11.2.5 Verwijdering van bedrijfsmiddelen | Apparatuur informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. | Requirement |
11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein | Bedrijfsmiddelen die zich buiten het terrein bevinden behoren te worden beveiligd waarbij rekening behoort te worden gehouden met de verschillende risicorsquo;s van werken buiten het terrein van de organisatie. | Requirement |
11.2.7 Veilig verwijderen of hergebruiken van apparatuur | Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | Requirement |
11.2.8 Onbeheerde gebruikersapparatuur | Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is | Requirement |
11.2.9 Clear desk en clear screenbeleid | Er behoort een clear desk en clear screenbeleid voor papieren documenten en verwijderbare opslagmedia en een lsquo;clear screenrsquo;-beleid voor informatie verwerkende faciliteiten te worden ingesteld. | Requirement |
12.1.1 Gedocumenteerde bedieningsprocedures | Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben. | Requirement |
12.1.2 Wijzigingsbeheer | Veranderingen in de organisatie bedrijfsprocessen informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst. | Requirement |
12.1.3 Capaciteitsbeheer | Het gebruik van middelen behoort te worden gemonitord en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. | Requirement |
12.1.4 Scheiding van ontwikkel- test- en productieomgevingen | Ontwikkel- test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. | Requirement |
12.2.1 Beheersmaatregelen tegen malware | Ter bescherming tegen malware behoren beheersmaatregelen voor detectie preventie en herstel te worden geiuml;mplementeerd in combinatie met een passend bewustzijn van gebruikers. | Requirement |
12.3.1 Back-up van informatie | Regelmatig behoren back-upkopieeuml;n van informatie software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. | Requirement |
12.4.1 Gebeurtenissen registreren | Logbestanden van gebeurtenissen die gebruikersactiviteiten uitzonderingen en informatiebeveiligingsgebeurtenissen registreren behoren te worden gemaakt bewaard en regelmatig te worden beoordeeld. | Requirement |
12.4.2 Beschermen van informatie in logbestanden | Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. | Requirement |
12.4.3 Logbestanden van beheerders en operators | Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. | Requirement |
12.4.4 Kloksynchronisatie | De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron. | Requirement |
12.5.1 Software installeren op operationele systemen | Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd. | Requirement |
12.6.1 Beheer van technische kwetsbaarheden | Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken. | Requirement |
12.6.2 Beperkingen voor het installeren van software | Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | Requirement |
12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen | Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren. | Requirement |
13.1.1 Beheersmaatregelen voor netwerken | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. | Requirement |
13.1.2 Beveiliging van netwerkdiensten | Beveiligingsmechanismen dienstverleningsniveaus en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. | Requirement |
13.1.3 Scheiding in netwerken | Groepen van informatiediensten -gebruikers en -systemen behoren in netwerken te worden gescheiden. | Requirement |
13.2.1 Beleid en procedures voor informatietransport | Ter bescherming van het informatietransport dat via alle soorten communicatiefaciliteiten verloopt behoren formele beleidsregels procedures en beheersmaatregelen voor transport van kracht te zijn. | Requirement |
13.2.2 Overeenkomsten over informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. | Requirement |
13.2.3 Elektronische berichten | Informatie die is opgenomen in elektronische berichten behoord passend te zijn beschermd. | Requirement |
13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst | Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld regelmatig te worden beoordeeld en gedocumenteerd. | Requirement |
14.1.1 Analyse en specificatie van informatiebeveiligingseisen | De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. | Requirement |
14.1.2 Toepassingen op openbare netwerken beveiligen | Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld behoort te worden beschermd tegen frauduleuze activiteiten geschillen over contracten en onbevoegde openbaarmaking en wijziging. | Requirement |
14.1.3 Transacties van toepassingen beschermen | Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht foutieve routering onbevoegd wijzigen van berichten onbevoegd openbaar maken onbevoegd vermenigvuldigen of afspelen. | Requirement |
14.2.1 Beleid voor beveiligd ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. | Requirement |
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. | Requirement |
14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform | Als besturingsplatforms zijn veranderd behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. | Requirement |
14.2.5 Principes voor engineering van beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld gedocumenteerd onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | Requirement |
14.2.6 Beveiligde ontwikkelomgeving | Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | Requirement |
14.2.7 Uitbestede softwareontwikkeling Uitbestede systeemontwikkeling behoo | Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie. | Requirement |
14.2.8 Testen van systeembeveiliging | Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest. | Requirement |
14.2.9 Systeemacceptatietests | Voor nieuwe informatiesystemen upgrades en nieuwe versies behoren programmarsquo;s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. | Requirement |
14.3.1 Bescherming van testgegevens | Testgegevens behoren zorgvuldig te worden gekozen beschermd en gecontroleerd. | Requirement |
15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties | Met de leverancier behoren de informatiebeveiligingseisen om risicorsquo;s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie te worden overeengekomen en gedocumenteerd. | Requirement |
15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten | Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT- infrastructuurelementen ten behoeve van de informatie van de organisatie of deze verwerkt opslaat communiceert of biedt. | Requirement |
15.1.3 Toeleveringsketen van informatie- en communicatietechnologie | Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisicorsquo;s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. | Requirement |
15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers | Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren te beoordelen en te auditen. | Requirement |
15.2.2 Beheer van veranderingen in dienstverlening van leveranciers | Veranderingen in de dienstverlening van leveranciers met inbegrip van handhaving en verbetering van bestaande beleidslijnen procedures en beheersmaatregelen voor informatiebeveiliging behoren te worden beheerd rekening houdend met de kritikaliteit van bedrijfsinformatie betrokken systemen en processen en herbeoordeling van risicorsquo;s. | Requirement |
16.1.1 Verantwoordelijkheden en procedures | Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen. | Requirement |
16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen | Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. | Requirement |
16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging | Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geeuml;ist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren. | Requirement |
16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen | Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten | Requirement |
16.1.5 Respons op informatiebeveiligingsincidenten | Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures. | Requirement |
16.1.6 Lering uit informatiebeveiligingsincidenten | Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. | Requirement |
16.1.7 Verzamelen van bewijsmateriaal | De organisatie behoort procedures te definiëren en toe te passen voor het identificeren verzamelen verkrijgen en bewaren van informatie die als bewijs kan dienen. | Requirement |
17.1.1 Informatiebeveiligingscontinuïeit plannen | De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties bijv. een crisis of een ramp vast te stellen. | Requirement |
17.1.2 Informatiebeveiligingscontinuïteit implementeren | De organisatie behoort processen procedures en beheersmaatregelen vast te stellen te documenteren te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen. | Requirement |
17.1.3 Informatiebeveiligingscontinuiuml;teit verifieuml;ren beoordelen en evalueren | De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geiuml;mplementeerde beheersmaatregelen regelmatig te verifieuml;ren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties. | Requirement |
17.2.1 Beschikbaarheid van informatie verwerkende faciliteiten | Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. | Requirement |
18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen | Alle relevante wettelijke statutaire regelgevende contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld gedocumenteerd en actueel gehouden. | Requirement |
18.1.2 Intellectuele-eigendomsrechten | Om de naleving van wettelijke regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd. | Requirement |
18.1.3 Beschermen van registraties | Registraties behoren in overeenstemming met wettelijke regelgevende contractuele en bedrijfseisen te worden beschermd tegen verlies vernietiging vervalsing onbevoegde toegang en onbevoegde vrijgave. | Requirement |
18.1.4 Privacy en bescherming van persoonsgegevens | Privacy en bescherming van persoonsgegevens behoren voor zover van toepassing te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. | Requirement |
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen | Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten wet- en regelgeving. | Requirement |
18.2.1 Onafhankelijke beoordeling van informatiebeveiliging | De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan bijv. beheerdoelstellingen beheersmaatregelen beleidsregels processen en procedures voor informatiebeveiliging behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld. | Requirement |
18.2.2 Naleving van beveiligingsbeleid en -normen | De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels normen en andere eisen betreffende beveiliging. | Requirement |
18.2.3 Beoordeling van technische naleving | Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. | Requirement |
5.1.1 Aansturing door de directie van de informatiebeveiliging | Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd goedgekeurd door de directie gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. | Requirement |
5.1.2 Beoordeling van het informatiebeveiligingsbeleid | Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen te worden beoordeeld om te waarborgen dat het voortdurend passend adequaat en doeltreffend is. | Requirement |
6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging | Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. | Requirement |
6.1.2 Scheiding van taken | Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. | Requirement |
6.1.3 Contact met overheidsinstanties | Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden. | Requirement |
6.1.4 Vervallen | Requirement | |
6.1.5 Informatiebeveiliging in projectbeheer | Informatiebeveiliging behoort aan de orde te komen in projectbeheer ongeacht het soort project. | Requirement |
6.2.1 Beleid voor mobiele apparatuur | Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risicorsquo;s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. | Requirement |
6.2.2 Telewerken | Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd verwerkt of opgeslagen | Requirement |
7.1.1 Screening | Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's te zijn. | Requirement |
7.1.2 Arbeidsvoorwaarden | De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden. | Requirement |
7.2.1 Directieverantwoordelijkheden | De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. | Requirement |
7.2.2 Bewustzijn opleiding en training ten aanzien van informatiebeveiliging | Alle medewerkers van de organisatie en voor zover relevant contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie voor zover relevant voor hun functie. | Requirement |
7.2.3 Disciplinaire procedure | Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging. | Requirement |
7.3.1 Beïndiging of wijziging van verantwoordelijkheden van het dienstverband | Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beeuml;indiging of wijziging van het dienstverband behoren te worden gedefinieerd gecommuniceerd aan de medewerker of contractant en ten uitvoer gebracht. | Requirement |
8.1.1 Inventariseren van bedrijfsmiddelen | Informatie andere bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geiuml;dentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden. | Requirement |
8.1.2 Eigendom van bedrijfsmiddelen | Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden behoren een eigenaar te hebben. | Requirement |
8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen | Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren regels te worden geïdentificeerd gedocumenteerd en geiuml;mplementeerd. | Requirement |
8.1.4 Teruggeven van bedrijfsmiddelen | Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beïndiging van hun dienstverband contract of overeenkomst terug te geven. | Requirement |
8.2.1 Classificatie van informatie | Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen waarde belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. | Requirement |
8.2.2 Informatie labelen | Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. | Requirement |
8.2.3 Behandelen van bedrijfsmiddelen | Procedures voor het behandelen van bedrijfsmiddelen behoren te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. | Requirement |
8.3.1 Beheer van verwijderbare media | Voor het beheren van verwijderbare media behoren procedures te worden geiuml;mplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld | Requirement |
8.3.2 Verwijderen van media | Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn overeenkomstig formele procedures. | Requirement |
8.3.3 Media fysiek overdragen | Media die informatie bevatten behoren te worden beschermd tegen onbevoegde toegang misbruik of corruptie tijdens transport. | Requirement |
9.1.1 Beleid voor toegangsbeveiliging | Een beleid voor toegangsbeveiliging behoort te worden vastgesteld gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen. | Requirement |
9.1.2 Toegang tot netwerken en netwerkdiensten | Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. | Requirement |
9.2.1 Registratie en afmelden van gebruikers | Een formele registratie- en afmeldingsprocedure behoort te worden geiuml;mplementeerd om toewijzing van toegangsrechten mogelijk te maken. | Requirement |
9.2.2 Gebruikers toegang verlenen | Een formele gebruikerstoegangsverleningsprocedure behoort te worden geiuml;mplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. | Requirement |
9.2.3 Beheren van speciale toegangsrechten | Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. | Requirement |
9.2.4 Beheer van geheime authenticatie-informatie van gebruikers | Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. | Requirement |
9.2.5 Beoordeling van toegangsrechten van gebruikers | Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. | Requirement |
9.2.6 Toegangsrechten intrekken of aanpassen | De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beïndiging van hun dienstverband contract of overeenkomst te worden verwijderd en bij wijzigingen behoren ze te worden aangepast. | Requirement |
9.3.1 Geheime authenticatie-informatie gebruiken | Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie. | Requirement |
9.4.1 Beperking toegang tot informatie | Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. | Requirement |
9.4.2 Beveiligde inlogprocedures | Indien het beleid voor toegangsbeveiliging dit vereist behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. | Requirement |
9.4.3 Systeem voor wachtwoordbeheer | Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen. | Requirement |
9.4.4 Speciale systeemhulpmiddelen gebruiken | Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd. | Requirement |
9.4.5 Toegangsbeveiliging op programmabroncode | Toegang tot de programmabroncode behoort te worden beperkt. | Requirement |
Acquisitie, ontwikkeling en onderhoud van informatiesystemen | Grouping | |
Beheer van bedrijfsmiddelen | Grouping | |
Beheer van informatiebeveiligingsincidenten | Grouping | |
Beveiliging bedrijfsvoering | Grouping | |
Communicatiebeveiliging | Grouping | |
Cryptografie | Grouping | |
Fysieke beveiliging en beveiliging van de omgeving | Grouping | |
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer | Grouping | |
Informatiebeveiligingsbeleid | Grouping | |
Leveranciersrelaties | Grouping | |
Naleving | Grouping | |
Organiseren van informatiebeveiliging | Grouping | |
Toegangsbeveiliging | Grouping | |
Veilig personeel | Grouping |