Norm(
identifier="08.01.01",
title="Rollen en verantwoordelijkheden",
text=
"De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten "
"aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid "
"voor informatiebeveiliging van de organisatie.",
fragments=[
Verifier(
identifier="08.01.01/01",
title="",
text=
"""De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de
functiebeschrijving (zie ook de Ambtenarenwet) en worden onderhouden. In de functiebeschrijving
wordt minimaal aandacht besteed aan:
<ul>
<li>uitvoering van het informatiebeveiligingsbeleid</li>
<li>bescherming van bedrijfsmiddelen</li>
<li>rapportage van beveiligingsincidenten</li>
</ul>""",
),
Verifier(
identifier="08.01.01/02",
title="",
text=
"Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun "
"verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk "
"vastgestelde en voor hen geldende regelingen en instructies ten aanzien van "
"informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, "
"worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige "
"voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de "
"toegankelijkheid van geldende regelingen en instructies.",
),
Verifier(
identifier="08.01.01/03",
title="",
text=
"Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging "
"dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de "
"aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.",
),
Verifier(
identifier="08.01.01/04",
title="",
text=
"De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse "
"verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers "
"bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.",
),
],
),
identifier="05.01",
title="Aansturing door de directie van de informatiebeveiliging",
text=
"Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in "
"overeenstemming met bedrijfseisen en relevante wet- en regelgeving.",
fragments=[
Norm(
identifier="05.01.01",
title="Beleidsregels voor informatiebeveiliging",
text="Ten behoeve van informatiebeveiliging behoort een reeks "
"beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd "
"aan medewerkers en relevante externe partijen.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is "
"vastgesteld door de leiding van de organisatie en bevat tenminste de in het artikel 3 "
"van het VIR genoemde punten.",
bbn=1,
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
text="Het beleid voor informatiebeveiliging behoort "
"met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om "
"te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.",
Norm(
identifier="13.01.01",
title="Rapportage van informatiebeveiligingsgebeurtenissen",
text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus "
"te worden gerapporteerd.",
fragments=[
Verifier(
identifier="13.01.01/01",
title="",
text="Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, "
"in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de "
"handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport "
"van een beveiligingsincident.",
),
Verifier(
identifier="13.01.01/02",
title="",
text="Er is een contactpersoon aangewezen voor het rapporteren van beveiligingsincidenten. "
"Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in "
"ontvangst neemt.",
),
Verifier(
identifier="13.01.01/03",
title="",
text="Vermissing of diefstal van apparatuur of media die gegevens van de Rijksdienst kunnen "
"bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.",
),
Verifier(
identifier="13.01.01/04",
title="",
text="Informatie over de beveiligingsrelevante handelingen van de gebruiker wordt regelmatig "
"nagekeken. De BVA bekijkt maandelijks een samenvatting van de informatie.",
),
],
),
from domain.norm_document.model import Chapter, Section, Norm, Verifier
S0901 = Section(
identifier="09.01",
title="Bedrijfseisen voor toegangsbeveiliging",
text=
"Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.",
fragments=[
Norm(
identifier="09.01.01",
title="Beleid voor toegangsbeveiliging",
text=
"Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op "
"basis van bedrijfs- en informatiebeveiligingseisen.",
bbn=1,
fragments=[
Verifier(
identifier="09.01.01/01",
title="",
text="- conform norm -",
bbn=1,
)
],
),
Norm(
identifier="09.01.02",
title="Toegang tot netwerken en netwerkdiensten",
text=
"Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij "
"specifiek bevoegd zijn.",
bbn=1,
fragments=[
S1301 = Section(
identifier="13.01",
title="Beheer van netwerkbeveiliging",
text=
"Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende "
"faciliteiten waarborgen.",
fragments=[
Norm(
identifier="13.01.01",
title="Beheersmaatregelen voor netwerken",
text=
"Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te "
"beschermen.",
bbn=1,
fragments=[
Verifier(
identifier="13.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="13.01.02",
title="Beveiliging van netwerkdiensten",
text=
"Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren "
"te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt "
"zowel voor diensten die intern worden geleverd als voor uitbestede diensten.",
bbn=1,
S1001 = Section(
identifier="10.01",
title="Bedieningsprocedures en verantwoordelijkheden",
fragments=[
Norm(
identifier="10.01.01",
title="Gedocumenteerde bedieningsprocedures",
text="Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te "
"worden gesteld aan alle gebruikers die deze nodig hebben.",
fragments=[
Verifier(
identifier="10.01.01/01",
title="",
text="Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-uppen en "
"herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en "
"speciale maatregelen voor beveiliging.",
),
Verifier(
identifier="10.01.01/02",
title="",
text="Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, "
"rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.",
),
],
),
Norm(
identifier="10.01.02",
title="Wijzigingsbeheer",
text="Wijzigingen in IT voorzieningen en informatiesystemen behoren te worden beheerst.",
fragments=[
Norm(
identifier="06.01.01",
title="Rollen en verantwoordelijkheden bij informatiebeveiliging",
text=
"Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.",
bbn=1,
fragments=[
Verifier(
identifier="06.01.01/01",
title="",
text=
"De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn "
"op het gebied van informatiebeveiliging binnen haar organisatie.",
bbn=1,
),
Verifier(
identifier="06.01.01/02",
title="",
text=
"De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd "
"op relevante voorschriften en wetten.",
bbn=1,
),
Verifier(
identifier="06.01.01/03",
title="",
text=
"De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn "
"in een CISO-functieprofiel vastgelegd.",
bbn=1,
),
Verifier(
identifier="06.01.01/04",
title="",
text=
"Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel.",
bbn=1,
),
],
),
S0801 = Section(
identifier="08.01",
title="Verantwoordelijkheid voor bedrijfsmiddelen",
text=
"Doelstelling: Bedrijfsmiddelen van de organisatie identifceren en passende verantwoordelijkheden "
"ter bescherming definiëren.",
fragments=[
Norm(
identifier="08.01.01",
title="Inventariseren van bedrijfsmiddelen",
text="Informatie, andere bedrijfsmiddelen die samenhangen met "
"informatie en informatieverwerkende faciliteiten behoren te worden geïdentificeerd, en van deze "
"bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="08.01.02",
title="Eigendom van bedrijfsmiddelen",
text=
"Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, "
"behoren een eigenaar te hebben.",
bbn=1,
fragments=[
Norm(
identifier="12.01.01",
title="Analyse en specificatie van beveiligingseisen",
text=
"In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen "
"behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.",
fragments=[
Verifier(
identifier="12.01.01/01",
title="",
text=
"In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen "
"als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties "
"meegenomen.",
),
Verifier(
identifier="12.01.01/02",
title="",
text=
"In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt "
"structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt "
"gemaakt van bestaande richtlijnen (bijv. secure coding guidelines).",
),
Verifier(
identifier="12.01.01/03",
title="",
text=
"Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is "
"van de specificatie.",
),
Verifier(
identifier="12.01.01/04",
title="",
text=
"Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product "
"verantwoord onderbouwd.",
),
Verifier(
identifier="12.01.01/05",
title="",
text=
"Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan "
"geaccepteerde beveiligingscriteria zoals NBV-goedkeuring of certificering volgens "
"ISO/IEC 15408 (common criteria).",
),
],
),
CH18S01 = Section(
identifier="18.01",
title="Naleving van wetelijke en contractuele eisen",
text=
"Doelstelling: Voorkomen van schendingen van wetelijke, statutaire, regelgevende of contractuele "
"verplichtingen betrefende informatiebeveiliging en beveiligingseisen.",
fragments=[
Norm(
identifier="18.01.01",
title=
"Vaststellen van toepasselijke wetgeving en contractuele eisen",
text=
"Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de "
"organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie "
"expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="18.01.02",
title="Intellectuele-eigendomsrechten",
text=
"Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met "
"intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren "
"passende procedures te worden geïmplementeerd.",
CH16S01 = Section(
identifier="16.01",
title="Beheer van informatiebeveiligings-incidenten en -verbeteringen",
text="Doelstelling: Een consistente en doeltrefende aanpak bewerkstel-ligen van het beheer van "
"informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke "
"plekken in de beveiliging.",
fragments=[
Norm(
identifier="16.01.01",
title="Verantwoordelijkheden en procedures",
text="Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, "
"doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="16.01.02",
title="Rapportage van informatiebeveiligingsgebeurtenissen",
text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus "
"te worden gerapporteerd.",
bbn=1,
fragments=[