S1601 = Section(
identifier="16.01",
title="Beheer van informatiebeveiligings-incidenten en -verbeteringen",
text=
"Doelstelling: Een consistente en doeltrefende aanpak bewerkstel-ligen van het beheer van "
"informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke "
"plekken in de beveiliging.",
fragments=[
Norm(
identifier="16.01.01",
title="Verantwoordelijkheden en procedures",
text=
"Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, "
"doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="16.01.02",
title="Rapportage van informatiebeveiligingsgebeurtenissen",
text=
"Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus "
"te worden gerapporteerd.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.02/01",
title="",
text=
"Er is een meldloket waar beveiligingsincidenten kunnen worden gemeld.",
bbn=1,
),
Verifier(
identifier="16.01.02/02",
title="",
text=
"Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan "
"beschreven.",
bbn=1,
),
Verifier(
identifier="16.01.02/03",
title="",
text=
"Alle medewerkers en contractanten hebben aantoonbaar kennis genomen van de "
"meldingsprocedure van incidenten.",
bbn=1,
),
Verifier(
identifier="16.01.02/04",
title="",
text=
"Incidenten worden zo snel als mogelijk, maar in ieder geval binnen 24 uur na bekendwording, "
"gemeld bij het meldloket.",
bbn=1,
),
Verifier(
identifier="16.01.02/05",
title="",
text=
"De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten.",
bbn=1,
),
Verifier(
identifier="16.01.02/06",
title="",
text=
"De opvolging van incidenten wordt maandelijks gerapporteerd aan de verantwoordelijke.",
bbn=1,
),
Verifier(
identifier="16.01.02/07",
title="",
text=
"Informatie afkomstig uit de responsible disclosure procedure zijn onderdeel van de "
"incidentrapportage.",
bbn=1,
),
],
),
Norm(
identifier="16.01.03",
title="Rapportage van zwakke plekken in de informatiebeveiliging",
text=
"Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de "
"organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of "
"vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.03/01",
title="",
text=
"Een responsible disclosure procedure is gepubliceerd en ingericht.",
bbn=1,
),
],
),
Norm(
identifier="16.01.04",
title=
"Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen",
text=
"Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden "
"geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.04/01",
title="",
text=
"Informatiebeveiligingsincidenten die hebben geleid tot een vermoedelijk of mogelijk "
"opzettelijke inbreuk op de beschikbaarheid, vertrouwelijkheid of integriteit van "
"informatieverwerkende systemen, behoren zo snel mogelijk (binnen 72 uur) al dan niet "
"geautomatiseerd te worden gemeld aan het NCSC door of namens het department security "
"contact (DSC, operationele contactpersoon voor het NCSC) of de Chief Information "
"Security Officer (CISO).",
bbn=2,
),
],
),
Norm(
identifier="16.01.05",
title="Respons op informatiebeveiligingsincidenten",
text=
"Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de "
"gedocumenteerde procedures.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.05/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="16.01.06",
title="Lering uit informatiebeveiligingsincidenten",
text=
"Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort "
"te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.",
bbn=2,
fragments=[
Verifier(
identifier="16.01.06/01",
title="",
text=
"Beveiligingsincidenten worden geanalyseerd met als doel te leren en het voorkomen van "
"toekomstige beveiligingsincidenten.",
bbn=2,
),
Verifier(
identifier="16.01.06/02",
title="",
text=
"De analyses van de beveiligingsincidenten worden gedeeld met de relevante partners om "
"herhaling en toekomstige incidenten te voorkomen.",
bbn=2,
),
],
),
Norm(
identifier="16.01.07",
title="Verzamelen van bewijsmateriaal",
text=
"De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, "
"verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.",
bbn=2,
fragments=[
Verifier(
identifier="16.01.07/01",
title="",
text=
"In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de "
"gelogde incidentinformatie minimaal drie jaar.",
bbn=2,
),
],
),
],
)
CH05S01 = Section(
identifier="05.01",
title="Aansturing door de directie van de informatiebeveiliging",
text=
"Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in "
"overeenstemming met bedrijfseisen en relevante wet- en regelgeving.",
fragments=[
Norm(
identifier="05.01.01",
title="Beleidsregels voor informatiebeveiliging",
text="Ten behoeve van informatiebeveiliging behoort een reeks "
"beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd "
"aan medewerkers en relevante externe partijen.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is "
"vastgesteld door de leiding van de organisatie en bevat tenminste de volgende punten: <br/>"
"<ol style='list-style-type: lower-alpha;'>"
"<li>de strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor "
"informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene "
"beveiligingsbeleid en het informatievoorzieningsbeleid;</li>"
"<li>de organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, "
"taken en bevoegdheden;</li>"
"<li>de toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan "
"lijnmanagers;</li>"
"<li>de gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van "
"toepassing zijn;</li>"
"<li>de frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd;</li>"
"<li>de bevordering van het beveiligingsbewustzijn.</li>"
"</ol>",
bbn=1,
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
text="Het beleid voor informatiebeveiliging behoort "
"met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om "
"te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.02/01",
title="",
text=
"Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of bij "
"belangrijke wijzigingen als gevolg van reorganisatie of verandering in de "
"verantwoordelijkheidsverdeling, beoordeeld en zo nodig bijgesteld.",
bbn=1,
),
],
),
],
)
CH15S01 = Section(
identifier="15.01",
title="Informatiebeveiliging in leveranciersrelaties",
text=
"Doelstelling: De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor "
"leveranciers.",
fragments=[
Norm(
identifier="15.01.01",
title="Informatiebeveiligingsbeleid voor leveranciersrelaties",
text=
"Met de leverancier behoren de informatiebeveiligingseisen om risico's te verlagen die verband "
"houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden "
"overeengekomen en gedocumenteerd.",
bbn=1,
fragments=[
Verifier(
identifier="15.01.01/01",
title="",
text=
"Bij offerteaanvragen waar informatie(voorziening) een rol speelt, worden eisen t.a.v. "
"informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. "
"Deze eisen zijn gebaseerd op een expliciete risicoafweging.",
bbn=1,
),
Verifier(
identifier="15.01.01/02",
title="",
text=
"Op basis van een expliciete risicoafweging worden de beheersmaatregelen met betrekking "
"tot leverancierstoegang tot bedrijfsinformatie vastgesteld.",
bbn=2,
),
Verifier(
identifier="15.01.01/03",
title="",
text="Met alle leveranciers die als "
"verwerker "
"voor of namens de organisatie persoonsgegevens verwerken, worden verwerkersovereenkomsten "
"gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.",
bbn=2,
),
],
),
Norm(
identifier="15.01.02",
title=
"Opnemen van beveiligingsaspecten in leveranciersovereenkomsten",
text=
"Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke "
"leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de "
"organisatie, of deze verwerkt, opslaat, communiceert of biedt.",
bbn=1,
fragments=[
Verifier(
identifier="15.01.02/01",
title="",
text=
"De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de "
"(inkoop)contracten waar informatie een rol speelt.",
bbn=1,
),
Verifier(
identifier="15.01.02/02",
title="",
text=
"In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende "
"verantwoordingsrapportages opgenomen.",
bbn=1,
),
Verifier(
identifier="15.01.02/03",
title="",
text=
"In situaties waarin contractvoorwaarden worden opgelegd door leveranciers, is voorafgaand "
"aan het tekenen van het contract met een risicoafweging helder gemaakt wat de consequenties "
"hiervan zijn voor de organisatie. Expliciet is gemaakt welke consequenties geaccepteerd "
"worden en welke gemitigeerd moeten zijn bij het aangaan van de overeenkomst.",
bbn=1,
),
Verifier(
identifier="15.01.02/04",
title="",
text=
"Ter waarborging van vertrouwelijkheid of geheimhouding worden bij IT-inkopen "
"standaard voorwaarden "
"voor inkoop "
"gehanteerd.",
bbn=1,
),
Verifier(
identifier="15.01.02/05",
title="",
text=
"Voordat een contract wordt afgesloten wordt in een risicoafweging bepaald of de "
"afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract "
"is een expliciete uitwerking van de exit-strategie.",
bbn=2,
),
Verifier(
identifier="15.01.02/06",
title="",
text=
"In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen "
"waarmee de betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is "
"niet nodig als de contractant d.m.v. certificering aantoont dat de gewenste betrouwbaarheid "
"van de dienst is geborgd.",
bbn=2,
),
],
),
Norm(
identifier="15.01.03",
title=
"Toeleveringsketen van informatie- en communicatietechnologie",
text=
"Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de "
"informatiebeveiligingsrisico's in verband met de toeleveringsketen van de diensten en producten op "
"het gebied van informatie- en communicatietechnologie.",
bbn=1,
fragments=[
Verifier(
identifier="15.01.03/01",
title="",
text=
"Leveranciers moeten hun keten van toeleveranciers bekend maken en transparant zijn over "
"de maatregelen die zij genomen hebben om de aan hun opgelegde eisen ook door te vertalen "
"naar hun toeleveranciers.",
bbn=2,
),
],
),
],
)
S0801 = Section(
identifier="08.01",
title="Verantwoordelijkheid voor bedrijfsmiddelen",
text=
"Doelstelling: Bedrijfsmiddelen van de organisatie identifceren en passende verantwoordelijkheden "
"ter bescherming definiëren.",
fragments=[
Norm(
identifier="08.01.01",
title="Inventariseren van bedrijfsmiddelen",
text="Informatie, andere bedrijfsmiddelen die samenhangen met "
"informatie en informatieverwerkende faciliteiten behoren te worden geïdentificeerd, en van deze "
"bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="08.01.02",
title="Eigendom van bedrijfsmiddelen",
text=
"Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, "
"behoren een eigenaar te hebben.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.02/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="08.01.03",
title="Aanvaardbaar gebruik van bedrijfsmiddelen",
text="Voor het aanvaardbaar gebruik van informatie en van "
"bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten behoren "
"regels te worden geïdentificeerd, gedocumenteerd en geïmplementeerd.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.03/01",
title="",
text=
"Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van "
"bedrijfsmiddelen "
"en de Gedragsregeling voor de digitale werkomgeving",
bbn=1,
),
Verifier(
identifier="08.01.03/02",
title="",
text=
"De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel in het "
"contract vastgelegd overeenkomstig de "
"Gedragsregeling voor de digitale werkomgeving.",
bbn=1,
),
],
),
Norm(
identifier="08.01.04",
title="Teruggeven van bedrijfsmiddelen",
text="Alle medewerkers en externe gebruikers moeten alle "
"bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun "
"dienstverband, contract of overeenkomst terug te geven.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.04/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
],
)
S1101 = Section(
identifier="11.01",
title="Beveiligde gebieden",
text=
"Doelstelling: Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en "
"informatieverwerkende faciliteiten van de organisatie voorkomen.",
fragments=[
Norm(
identifier="11.01.01",
title="Fysieke beveiligingszone",
text=
"Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die "
"gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.",
bbn=1,
fragments=[
Verifier(
identifier="11.01.01/01",
title="",
text=
"Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van "
"de volgende voorschriften:"
"<ol style='list-style-type: lower-alpha;'>"
"<li>het Kader Rijkstoegangsbeleid (2010);</li>"
"<li>het Normenkader Beveiliging Rijkskantoren (NkBR 2015);</li>"
"<li>het Beveiligingsvoorschrift Rijk (BVR 2013).<li>"
"</ol>",
bbn=1,
),
],
),
Norm(
identifier="11.01.02",
title="Fysieke toegangsbeveiliging",
text=
"Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor "
"te zorgen dat alleen bevoegd personeel toegang krijgt.",
bbn=1,
fragments=[
Verifier(
identifier="11.01.02/01",
title="",
text=
"In geval van concrete beveiligingsrisico's worden waarschuwingen, conform onderlinge "
"afspraken, verzonden aan de relevante collega's binnen het beveiligingsdomein van "
"het Rijk.",
bbn=2,
),
],
),
Norm(
identifier="11.01.03",
title="Kantoren, ruimten en faciliteiten beveiligen",
text=
"Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden "
"ontworpen en toegepast.",
bbn=1,
fragments=[
Verifier(
identifier="11.01.03/01",
title="",
text=
"Sleutelbeheer is ingericht op basis van een sleutelplan "
"(NkBR 5.4).",
bbn=1,
),
],
),
Norm(
identifier="11.01.04",
title="Beschermen tegen bedreigingen van buitenaf",
text=
"Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden "
"ontworpen en toegepast.",
bbn=1,
fragments=[
Verifier(
identifier="11.01.04/01",
title="",
text=
"De organisatie heeft geïnventariseerd welke papieren archieven en apparatuur "
"bedrijfskritisch zijn. Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen "
"genomen op basis van een expliciete risicoafweging.",
bbn=1,
),
Verifier(
identifier="11.01.04/02",
title="",
text=
"Bij huisvesting van IT-apparatuur wordt rekening gehouden met de kans op gevolgen van "
"rampen veroorzaakt door de natuur en menselijk handelen.",
bbn=1,
),
],
),
Norm(
identifier="11.01.05",
title="Werken in beveiligde gebieden",
text=
"Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast.",
bbn=2,
fragments=[
Verifier(
identifier="11.01.05/01",
title="",
text="- conform norm -",
bbn=2,
),
],
),
Norm(
identifier="11.01.06",
title="Laad- en loslocatie",
text=
"Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein "
"kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van "
"informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.",
bbn=1,
fragments=[
Verifier(
identifier="11.01.06/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
],
)
S1501 = Section(
identifier="15.01",
title="Naleving van wettelijke voorschriften",
fragments=[
Norm(
identifier="15.01.01",
title="Identificatie van toepasselijke wetgeving",
text=
"Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering "
"van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, "
"gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.",
fragments=[
Verifier(
identifier="15.01.01/01",
title="",
text=
"Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de "
"organisatie of organisatieonderdelen.",
),
],
),
Norm(
identifier="15.01.02",
title=
"Intellectuele eigendomsrechten (Intellectual Property Rights)",
text=
"Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan "
"aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van "
"materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur "
"waarop intellectuele eigendomsrechten berusten.",
fragments=[
Verifier(
identifier="15.01.02/01",
title="",
text=
"Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, "
"auteursrechten en gebruiksrechten.",
),
],
),
Norm(
identifier="15.01.03",
title="Bescherming van bedrijfsdocumenten",
text=
"Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, "
"overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en "
"bedrijfsmatige eisen.",
fragments=[
Verifier(
identifier="15.01.03/01",
title="",
text="- conform norm -",
),
],
),
Norm(
identifier="15.01.04",
title=
"Bescherming van gegevens en geheimhouding van persoonsgegevens",
text=
"De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig "
"relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.",
fragments=[
Verifier(
identifier="15.01.04/01",
title="",
text="- conform norm -",
),
],
),
Norm(
identifier="15.01.05",
title="Voorkomen van misbruik van IT voorzieningen",
text=
"Gebruikers behoren ervan te worden weerhouden IT voorzieningen te gebruiken voor "
"onbevoegde doeleinden.",
fragments=[
Verifier(
identifier="15.01.05/01",
title="",
text=
"Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. "
"Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien.",
),
],
),
Norm(
identifier="15.01.06",
title=
"Voorschriften voor het gebruik van cryptografische beheersmaatregelen",
text=
"Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en "
"voorschriften te worden gebruikt.",
fragments=[
Verifier(
identifier="15.01.06/01",
title="",
text=
"Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van "
"cryptografische technieken moet voldoen.",
),
],
),
],
)
S0601 = Section(
identifier="06.01",
title="Interne organisatie",
fragments=[
Norm(
identifier="06.01.01",
title="Betrokkenheid van de directie bij beveiliging",
text=
"De directie behoort actief beveiliging binnen de organisatie te ondersteunen door duidelijk "
"richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor "
"informatiebeveiliging toe te kennen en te erkennen.",
fragments=[
Verifier(
identifier="06.01.01/01",
title="",
text=
"Het lijnmanagement waarborgt dat de informatiebeveiligingsdoelstellingen worden "
"vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in "
"de relevante processen. Dit gebeurt door één keer per jaar opzet, bestaan en werking van "
"de IB-maatregelen te bespreken in het overleg van de departementsleiding en hiervan "
"verslag te doen."),
],
),
Norm(
identifier="06.01.02",
title="Coördineren van beveiliging",
text=
"Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers "
"uit verschillende delen van de organisatie met relevante rollen en functies.",
fragments=[
Verifier(
identifier="06.01.02/01",
title="",
text=
"De rollen van BVA, BVC en het lijnmanagement zijn beschreven in het "
"Beveiligingsvoorschrift Rijksdienst 2005."),
],
),
Norm(
identifier="06.01.03",
title="Verantwoordelijkheden",
text=
"Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd.",
fragments=[
Verifier(
identifier="06.01.03/01",
title="",
text=
"Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar "
"dienstonderdeel."),
],
),
Norm(
identifier="06.01.04",
title="Goedkeuringsproces voor ICT-voorzieningen",
text=
"Er behoort een goedkeuringsproces voor nieuwe ICT-voorzieningen te worden vastgesteld en "
"geïmplementeerd.",
fragments=[
Verifier(
identifier="06.01.04/01",
title="",
text=
"Er is een goedkeuringsproces voor nieuwe IT-voorzieningen en wijzigingen in "
"IT-voorzieningen."),
],
),
Norm(
identifier="06.01.05",
title="Geheimhoudingsovereenkomst",
text=
"Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte "
"van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te "
"worden beoordeeld.",
fragments=[
Verifier(
identifier="06.01.05/01",
title="",
text=
"De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, "
"lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een "
"geheimhoudingsverklaring te ondertekenen (zie VIRBI); daaronder valt ook de departementaal "
"vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de "
"functie, de betreffende persoon gehouden blijft aan die geheimhouding."
),
],
),
Norm(
identifier="06.01.06",
title="Contact met overheidsinstanties",
text=
"Er behoren geschikte contacten met relevante overheidsinstanties te worden onderhouden.",
fragments=[
Verifier(
identifier="06.01.06/01",
title="",
text=
"Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten "
"(brandweer, toezichthouders, enz.) wordt onderhouden."),
],
),
Norm(
identifier="06.01.07",
title="Contact met speciale belangengroepen",
text=
"Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms "
"voor beveiliging en professionele organisaties te worden onderhouden.",
fragments=[
Verifier(
identifier="06.01.07/01",
title="",
text=
"IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, "
"software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren."
),
],
),
Norm(
identifier="06.01.08",
title="Beoordeling van het informatiebeveiligingsbeleid",
text=
"De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie "
"daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor "
"informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of "
"zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging.",
fragments=[
Verifier(
identifier="06.01.08/01",
title="",
text=
"Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie jaar geëvalueerd "
"(door een onafhankelijke deskundige) en desgewenst bijgesteld."
),
Verifier(
identifier="06.01.08/02",
title="",
text=
"Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement."
),
Verifier(
identifier="06.01.08/03",
title="",
text=
"Over het functioneren van de informatiebeveiliging wordt, conform de P&C cyclus, "
"jaarlijks gerapporteerd aan het lijnmanagement."),
],
),
],
)
S1401 = Section(
identifier="14.01",
title="Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer",
fragments=[
Norm(
identifier="14.01.01",
title=
"Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer",
text=
"Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden "
"ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig "
"zijn voor de continuïteit van de bedrijfsvoering.",
fragments=[
Verifier(
identifier="14.01.01/01",
title="",
text=
"Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en "
"testactiviteiten.",
),
],
),
Norm(
identifier="14.01.02",
title="Bedrijfscontinuïteit en risicobeoordeling",
text=
"Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden "
"geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen "
"en hun gevolgen voor informatiebeveiliging.",
fragments=[
Verifier(
identifier="14.01.02/01",
title="",
text=
"Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd "
"die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een "
"risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in "
"kaart gebracht in termen van tijd, schade en herstelperiode.",
),
],
),
Norm(
identifier="14.01.03",
title=
"continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging",
text=
"Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven "
"of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste "
"tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.",
fragments=[
Verifier(
identifier="14.01.03/01",
title="",
text=
"""In de continuïteitsplannen wordt minimaal aandacht besteed aan:
<ul>
<li>Identificatie van essentiële procedures voor bedrijfscontinuïteit.</li>
<li>Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie).</li>
<li>Prioriteiten en volgorde van herstel en reconstructie.</li>
<li>Documentatie van systemen en processen.</li>
<li>Kennis en kundigheid van personeel om de processen weer op te starten.</li>
</ul>""",
),
],
),
Norm(
identifier="14.01.04",
title="Kader voor de bedrijfscontinuïteitsplanning",
text=
"Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te "
"bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op "
"consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.",
fragments=[
Verifier(
identifier="14.01.04/01",
title="",
text="- conform norm -",
),
],
),
Norm(
identifier="14.01.05",
title=
"Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen",
text=
"Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geüpdate, om te bewerkstelligen "
"dat ze actueel en doeltreffend blijven.",
fragments=[
Verifier(
identifier="14.01.05/01",
title="",
text=
"Er worden minimaal jaarlijks oefeningen en testen gehouden om de "
"bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen "
"(opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld "
"en wordt de organisatie bijgeschoold.",
),
],
),
],
)
S0801 = Section(
identifier="08.01",
title="Beveiligen van personeel",
fragments=[
Norm(
identifier="08.01.01",
title="Rollen en verantwoordelijkheden",
text=
"De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten "
"aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid "
"voor informatiebeveiliging van de organisatie.",
fragments=[
Verifier(
identifier="08.01.01/01",
title="",
text=
"""De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de
functiebeschrijving (zie ook de Ambtenarenwet) en worden onderhouden. In de functiebeschrijving
wordt minimaal aandacht besteed aan:
<ul>
<li>uitvoering van het informatiebeveiligingsbeleid</li>
<li>bescherming van bedrijfsmiddelen</li>
<li>rapportage van beveiligingsincidenten</li>
</ul>""",
),
Verifier(
identifier="08.01.01/02",
title="",
text=
"Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun "
"verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk "
"vastgestelde en voor hen geldende regelingen en instructies ten aanzien van "
"informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, "
"worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige "
"voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de "
"toegankelijkheid van geldende regelingen en instructies.",
),
Verifier(
identifier="08.01.01/03",
title="",
text=
"Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging "
"dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de "
"aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.",
),
Verifier(
identifier="08.01.01/04",
title="",
text=
"De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse "
"verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers "
"bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.",
),
],
),
Norm(
identifier="08.01.02",
title="Screening",
text=
"Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en "
"externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en "
"ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de "
"informatie waartoe toegang wordt verleend, en de waargenomen risico's.",
fragments=[
Verifier(
identifier="08.01.02/01",
title="",
text=
"Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een relevante "
"Verklaring Omtrent het Gedrag (VOG) vereist. Indien het een vertrouwensfunctie betreft "
"wordt ook een veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd.",
),
Verifier(
identifier="08.01.02/02",
title="",
text=
"Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt over zijn "
"arbeidsverleden en scholing geverifieerd.",
),
],
),
Norm(
identifier="08.01.03",
title="Arbeidsvoorwaarden",
text=
"Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe "
"gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin "
"hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging behoren "
"te zijn vastgelegd.",
fragments=[
Verifier(
identifier="08.01.03/01",
title="",
text="- conform norm -",
),
],
),
],
)
S0501 = Section(
identifier="05.01",
title="Aansturing door de directie van de informatiebeveiliging",
text=
"Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in "
"overeenstemming met bedrijfseisen en relevante wet- en regelgeving.",
fragments=[
Norm(
identifier="05.01.01",
title="Beleidsregels voor informatiebeveiliging",
text="Ten behoeve van informatiebeveiliging behoort een reeks "
"beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd "
"aan medewerkers en relevante externe partijen.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is "
"vastgesteld door de leiding van de organisatie en bevat tenminste de in het artikel 3 "
"van het VIR genoemde punten.",
bbn=1,
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
text="Het beleid voor informatiebeveiliging behoort "
"met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om "
"te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.02/01",
title="",
text=
"Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of bij "
"belangrijke wijzigingen als gevolg van reorganisatie of verandering in de "
"verantwoordelijkheidsverdeling, beoordeeld en zo nodig bijgesteld (VIR, artikel 3).",
bbn=1,
),
],
),
],
)
S0901 = Section(
identifier="09.01",
title="Bedrijfseisen voor toegangsbeveiliging",
text=
"Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.",
fragments=[
Norm(
identifier="09.01.01",
title="Beleid voor toegangsbeveiliging",
text=
"Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op "
"basis van bedrijfs- en informatiebeveiligingseisen.",
bbn=1,
fragments=[
Verifier(
identifier="09.01.01/01",
title="",
text="- conform norm -",
bbn=1,
)
],
),
Norm(
identifier="09.01.02",
title="Toegang tot netwerken en netwerkdiensten",
text=
"Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij "
"specifiek bevoegd zijn.",
bbn=1,
fragments=[
Verifier(
identifier="09.01.02/01",
title="",
text=
"Alleen geauthenticeerde apparatuur kan toegang krijgen tot een vertrouwde zone.",
bbn=1,
),
Verifier(
identifier="09.01.02/02",
title="",
text=
"Gebruikers met eigen of ongeauthenticeerde apparatuur (Bring Your Own Device) krijgen "
"alleen toegang tot een onvertrouwde zone.",
bbn=1,
),
],
),
],
)
S1301 = Section(
identifier="13.01",
title="Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken",
fragments=[
Norm(
identifier="13.01.01",
title="Rapportage van informatiebeveiligingsgebeurtenissen",
text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus "
"te worden gerapporteerd.",
fragments=[
Verifier(
identifier="13.01.01/01",
title="",
text="Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, "
"in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de "
"handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport "
"van een beveiligingsincident.",
),
Verifier(
identifier="13.01.01/02",
title="",
text="Er is een contactpersoon aangewezen voor het rapporteren van beveiligingsincidenten. "
"Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in "
"ontvangst neemt.",
),
Verifier(
identifier="13.01.01/03",
title="",
text="Vermissing of diefstal van apparatuur of media die gegevens van de Rijksdienst kunnen "
"bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.",
),
Verifier(
identifier="13.01.01/04",
title="",
text="Informatie over de beveiligingsrelevante handelingen van de gebruiker wordt regelmatig "
"nagekeken. De BVA bekijkt maandelijks een samenvatting van de informatie.",
),
],
),
Norm(
identifier="13.01.02",
title="Rapportage van zwakke plekken in de beveiliging",
text="Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en -diensten "
"behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of "
"diensten registreren en rapporteren.",
fragments=[
Verifier(
identifier="13.01.02/01",
title="",
text="Er is een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de "
"beveiliging te melden.",
),
],
),
],
)
S1001 = Section(
identifier="10.01",
title="Bedieningsprocedures en verantwoordelijkheden",
fragments=[
Norm(
identifier="10.01.01",
title="Gedocumenteerde bedieningsprocedures",
text="Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te "
"worden gesteld aan alle gebruikers die deze nodig hebben.",
fragments=[
Verifier(
identifier="10.01.01/01",
title="",
text="Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-uppen en "
"herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en "
"speciale maatregelen voor beveiliging.",
),
Verifier(
identifier="10.01.01/02",
title="",
text="Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, "
"rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.",
),
],
),
Norm(
identifier="10.01.02",
title="Wijzigingsbeheer",
text="Wijzigingen in IT voorzieningen en informatiesystemen behoren te worden beheerst.",
fragments=[
Verifier(
identifier="10.01.02/01",
title="",
text="""In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan:
<ul>
<li>het administreren van significante wijzigingen</li>
<li>impactanalyse van mogelijke gevolgen van de wijzigingen</li>
<li>goedkeuringsprocedure voor wijzigingen</li>
</ul>""",
),
Verifier(
identifier="10.01.02/02",
title="",
text="Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak "
"tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen "
"gecontroleerd.",
),
],
),
Norm(
identifier="10.01.03",
title="Functiescheiding",
text="Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde "
"of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.",
fragments=[
Verifier(
identifier="10.01.03/01",
title="",
text="Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele "
"cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met "
"het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie "
"schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.",
),
Verifier(
identifier="10.01.03/02",
title="",
text="Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerswerkzaamheden "
"worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen "
"wanneer ingelogd als gebruiker.",
),
Verifier(
identifier="10.01.03/03",
title="",
text="Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke "
"informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon "
"geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden.",
),
Verifier(
identifier="10.01.03/04",
title="",
text="Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende "
"informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke "
"(beheerders)rol.",
),
],
),
Norm(
identifier="10.01.04",
title="Scheiding van faciliteiten voor ontwikkeling, testen en productie",
text="Faciliteiten voor ontwikkeling, testen en productie behoren te zijn gescheiden om het risico van "
"onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen.",
fragments=[
Verifier(
identifier="10.01.04/01",
title="",
text="Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en "
"Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en "
"applicaties in andere zones niet.",
),
Verifier(
identifier="10.01.04/02",
title="",
text="Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en "
"Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar "
"zijn in welk systeem gewerkt wordt.",
),
Verifier(
identifier="10.01.04/03",
title="",
text="Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de "
"productieomgeving.",
),
],
),
],
)
S0701 = Section(
identifier="07.01",
title="Voorafgaand aan het dienstverband",
text="Doelstelling: waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt "
"zijn voor de rollen waarvoor zij in aanmerking komen.",
fragments=[
Norm(
identifier="07.01.01",
title="Screening",
text="Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te "
"worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen "
"en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe "
"toegang wordt verleend en de vastgestelde risico's te zijn.",
bbn=1,
fragments=[
Verifier(
identifier="07.01.01/01",
title="",
text="Bij indiensttreding overleggen alle medewerkers (intern en extern) een specifiek voor de "
"functie verstrekte Verklaring Omtrent het Gedrag (VOG).",
bbn=1,
),
],
),
Norm(
identifier="07.01.02",
title="Arbeidsvoorwaarden",
text="De contractuele overeenkomst met medewerkers en contractanten behoort hun "
"verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.",
bbn=1,
fragments=[
Verifier(
identifier="07.01.02/01",
title="",
text="Alle medewerkers (intern en extern) zijn bij hun aanstelling of functiewisseling gewezen "
"op hun verantwoordelijkheden ten aanzien van informatiebeveiliging. De voor hen geldende "
"regelingen en instructies ten aanzien van informatiebeveiliging zijn eenvoudig "
"toegankelijk.",
bbn=1,
),
],
),
],
)
S0501 = Section(
identifier="05.01",
title="Informatiebeveiligingsbeleid",
fragments=[
Norm(
identifier="05.01.01",
title="Beleidsdocumenten voor informatiebeveiliging",
text=
"Een document met informatiebeveiligingsbeleid behoort door de directie "
"te worden goedgekeurd en gepubliceerd en kenbaar te worden gemaakt aan "
"alle werknemers en relevante externe partijen.",
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is beleid voor informatiebeveiliging door het lijnmanagement vastgesteld, "
"gepubliceerd en beoordeeld op basis van inzicht in risico's, kritische bedrijfsprocessen "
"en toewijzing van verantwoordelijkheden en prioriteiten.",
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
text=
"Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, of "
"zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te "
"bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.",
fragments=[
Verifier(
identifier="05.01.02/01",
title="",
text=
"Het informatiebeveiligingsbeleid wordt minimaal een keer per drie jaar, of "
"zodra zich belangrijke wijzigingen voordoen, beoordeeld en zonodig bijgesteld.",
),
],
),
],
)
S1201 = Section(
identifier="12.01",
title="Bedieningsprocedures en verantwoordelijkheden",
text="Doelstelling: Correcte en veilige bediening van informatie-verwerkende faciliteiten waarborgen.",
fragments=[
Norm(
identifier="12.01.01",
title="Gedocumenteerde bedieningsprocedures",
text="Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle "
"gebruikers die ze nodig hebben.",
bbn=1,
fragments=[
Verifier(
identifier="12.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="12.01.02",
title="Wijzigingsbeheer",
text="Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen "
"die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.",
bbn=1,
fragments=[
Verifier(
identifier="12.01.02/01",
title="",
text="In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: "
"<ol style='list-style-type: lower-alpha;'>"
"<li>het administreren van wijzigingen;</li>"
"<li>risicoafweging van mogelijke gevolgen van de wijzigingen;</li>"
"<li>goedkeuringsprocedure voor wijzigingen.</li>"
"</ol>",
bbn=1,
),
],
),
Norm(
identifier="12.01.03",
title="Capaciteitsbeheer",
text="Het gebruik van middelen behoort te worden gemonitord en afgestemd, en er behoren verwachtingen te "
"worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.",
bbn=1,
fragments=[
Verifier(
identifier="12.01.03/01",
title="",
text="In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke "
"aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden "
"(bijv. DDoS attacks, Distributed Denial of Service) "
"te signaleren en hierop te reageren.",
bbn=1,
),
],
),
Norm(
identifier="12.01.04",
title="Scheiding van ontwikkel-, test- en productieomgevingen",
text="Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde "
"toegang tot of veranderingen aan de productieomgeving te verlagen.",
bbn=1,
fragments=[
Verifier(
identifier="12.01.04/01",
title="",
text="In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de "
"proceseigenaar en schriftelijke vastlegging hiervan, kan hierop worden afgeweken.",
bbn=2,
),
Verifier(
identifier="12.01.04/02",
title="",
text="Wijzigingen op de productieomgeving worden altijd getest voordat zij in productie "
"gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar en "
"schriftelijke vastlegging hiervan, kan hierop worden afgeweken.",
bbn=2,
),
],
),
],
)
S0601 = Section(
identifier="06.01",
title="Interne organisatie",
text="Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging "
"binnen de organisatie te initiëren en te beheersen.",
fragments=[
Norm(
identifier="06.01.01",
title="Rollen en verantwoordelijkheden bij informatiebeveiliging",
text="Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.",
bbn=1,
fragments=[
Verifier(
identifier="06.01.01/01",
title="",
text="De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn "
"op het gebied van informatiebeveiliging binnen haar organisatie.",
bbn=1,
),
Verifier(
identifier="06.01.01/02",
title="",
text="De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd "
"op relevante voorschriften en wetten, zoals het VIR, VIR-BI, BVR en AVG.",
bbn=1,
),
Verifier(
identifier="06.01.01/03",
title="",
text="De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn "
"in een CISO-functieprofiel vastgelegd.",
bbn=1,
),
Verifier(
identifier="06.01.01/04",
title="",
text="Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel.",
bbn=1,
),
],
),
Norm(
identifier="06.01.02",
title="Scheiding van taken",
text="Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om "
"de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie "
"te verminderen.",
bbn=1,
fragments=[
Verifier(
identifier="06.01.02/01",
title="",
text="Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot "
"bedrijfsmiddelen waarnemen of voorkomen.",
bbn=1,
),
],
),
Norm(
identifier="06.01.03",
title="Contact met overheidsinstanties",
text="Er behoren passende contacten met relevante overheidsinstanties "
"te worden onderhouden.",
bbn=2,
fragments=[
Verifier(
identifier="06.01.03/01",
title="",
text="Er is door de organisatie uitgewerkt wie met welke (overheids)instanties en "
"toezichthouders contact heeft ten aanzien van informatiebeveiligingsaangelegenheden "
"(vergunningen/incidenten/calamiteiten) en welke eisen voor deze aangelegenheden relevant "
"zijn.",
bbn=2,
),
Verifier(
identifier="06.01.03/02",
title="",
text="Het contactoverzicht wordt jaarlijks geactualiseerd.",
bbn=2,
),
],
),
Norm(
identifier="06.01.04",
title=" ",
text="(Vervallen)",
fragments=[
],
),
Norm(
identifier="06.01.05",
title="Informatiebeveiliging in projectbeheer",
text="Informatiebeveiliging behoort aan de orde te komen in "
"projectbeheer, ongeacht het soort project.",
bbn=2,
fragments=[
Verifier(
identifier="06.01.05/01",
title="",
text="- conform norm -",
bbn=2,
),
],
),
],
)
CH13S01 = Section(
identifier="13.01",
title="Beheer van netwerkbeveiliging",
text=
"Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende "
"faciliteiten waarborgen.",
fragments=[
Norm(
identifier="13.01.01",
title="Beheersmaatregelen voor netwerken",
text=
"Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te "
"beschermen.",
bbn=1,
fragments=[
Verifier(
identifier="13.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="13.01.02",
title="Beveiliging van netwerkdiensten",
text=
"Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren "
"te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt "
"zowel voor diensten die intern worden geleverd als voor uitbestede diensten.",
bbn=1,
fragments=[
Verifier(
identifier="13.01.02/01",
title="",
text=
"Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt / geanalyseerd op "
"kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn "
"voor implementatie van detectie-oplossingen), zoals het "
"Nationaal Detectie Netwerk (alleen voor rijksoverheidsorganisaties) of GDI, "
"die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van "
"de te beschermen gegevens en informatiesystemen.",
bbn=2,
),
Verifier(
identifier="13.01.02/02",
title="",
text=
"Bij ontdekte nieuwe dreigingen vanuit 13.01.02/01 worden deze, rekening houdend met "
"de geldende juridische kaders, "
"verplicht "
"gedeeld binnen de overheid, waaronder met het "
"NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT, "
"bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).",
bbn=2,
),
Verifier(
identifier="13.01.02/03",
title="",
text=
"Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten "
"het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor "
"het NBV een positief inzetadvies heeft afgegeven.",
bbn=2,
),
],
),
Norm(
identifier="13.01.03",
title="Scheiding in netwerken",
text=
"Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden.",
bbn=1,
fragments=[
Verifier(
identifier="13.01.03/01",
title="",
text=
"Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.",
bbn=2,
),
],
),
],
)
S1801 = Section(
identifier="18.01",
title="Naleving van wetelijke en contractuele eisen",
text=
"Doelstelling: Voorkomen van schendingen van wetelijke, statutaire, regelgevende of contractuele "
"verplichtingen betrefende informatiebeveiliging en beveiligingseisen.",
fragments=[
Norm(
identifier="18.01.01",
title=
"Vaststellen van toepasselijke wetgeving en contractuele eisen",
text=
"Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de "
"organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie "
"expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="18.01.02",
title="Intellectuele-eigendomsrechten",
text=
"Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met "
"intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren "
"passende procedures te worden geïmplementeerd.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.02/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="18.01.03",
title="Beschermen van registraties",
text=
"Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen "
"te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde "
"vrijgave.",
bbn=2,
fragments=[
Verifier(
identifier="18.01.03/01",
title="",
text=
"De proceseigenaar heeft per soort informatie inzichtelijk gemaakt wat de bewaartermijn is.",
bbn=2,
),
],
),
Norm(
identifier="18.01.04",
title="Privacy en bescherming van persoonsgegevens",
text=
"Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden "
"gewaarborgd in overeenstemming met relevante wet- en regelgeving.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.04/01",
title="",
text=
"In overeenstemming met de AVG heeft iedere organisatie een Functionaris Gegevensbescherming "
"(FG) met voldoende mandaat om zijn/haar functie uit te voeren.",
bbn=1,
),
Verifier(
identifier="18.01.04/02",
title="",
text=
"Organisaties controleren regelmatig de naleving van de privacy regels en "
"informatieverwerking en ?procedures binnen haar verantwoordelijkheidsgebied aan de hand van "
"de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.",
bbn=2,
),
],
),
Norm(
identifier="18.01.05",
title=
"Voorschriften voor het gebruik van cryptografische beheersmaatregelen",
text=
"Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle "
"relevante overeenkomsten, wet- en regelgeving.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.05/01",
title="",
text=
"Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de "
"pas-toe-of-leg-uit lijst van het forum standaardisatie.",
bbn=1,
),
],
),
],
)
S1401 = Section(
identifier="14.01",
title="Beveiligingseisen voor informatiesystemen",
text=
"Doelstelling: Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de "
"gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via "
"openbare netwerken.",
fragments=[
Norm(
identifier="14.01.01",
title="Analyse en specificatie van informatiebeveiligingseisen",
text=
"De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor "
"nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.",
bbn=1,
fragments=[
Verifier(
identifier="14.01.01/01",
title="",
text=
"Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet "
"conform het Voorschrift Informatiebeveiliging Rijksdienst artikel 4 een expliciete "
"risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, "
"uitgaande van de BIR.",
bbn=1,
),
],
),
Norm(
identifier="14.01.02",
title="Toepassingen op openbare netwerken beveiligen",
text="Informatie die deel uitmaakt van uitvoeringsdiensten "
"en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze "
"activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.",
bbn=1,
fragments=[
Verifier(
identifier="14.01.02/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="14.01.03",
title="Transacties van toepassingen beschermen",
text=
"Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter "
"voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, "
"onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.",
bbn=1,
fragments=[
Verifier(
identifier="14.01.03/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
],
)
S0701 = Section(
identifier="07.01",
title="Verantwoordelijkheid voor bedrijfsmiddelen",
fragments=[
Norm(
identifier="07.01.01",
title="Inventarisatie van bedrijfsmiddelen",
text=
"Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van "
"alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.",
fragments=[
Verifier(
identifier="07.01.01/01",
title="",
text=
"Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang "
"vertegenwoordigen zoals informatie(verzamelingen), software, hardware, diensten, mensen en "
"hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste "
"beschermingsniveau en de verantwoordelijke lijnmanager bekend.",
),
],
),
Norm(
identifier="07.01.02",
title="Eigendom van bedrijfsmiddelen",
text=
"Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen behoren een eigenaar "
"te hebben in de vorm van een aangewezen deel van de organisatie.",
fragments=[
Verifier(
identifier="07.01.02/01",
title="",
text=
"Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit is een "
"verantwoordelijke lijnmanager benoemd.",
),
],
),
Norm(
identifier="07.01.03",
title="Aanvaardbaar gebruik van bedrijfsmiddelen",
text=
"Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar "
"gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen.",
fragments=[
Verifier(
identifier="07.01.03/01",
title="",
text=
"Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en "
"mobiele apparatuur). Het ARAR verplicht ambtenaren zich hieraan te houden. Voor extern "
"personeel is dit in het contract vastgelegd.",
),
Verifier(
identifier="07.01.03/02",
title="",
text="Gebruikers hebben kennis van de regels.",
),
Verifier(
identifier="07.01.03/03",
title="",
text=
"Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming "
"vooraf van de locatie worden meegenomen. De toestemming kan generiek geregeld worden in "
"het kader van de functieafspraken tussen manager en medewerker.",
),
Verifier(
identifier="07.01.03/04",
title="",
text=
"Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar "
"kan komen voor onbevoegde personen.",
),
],
),
],
)
CH10S01 = Section(
identifier="10.01",
title="Cryptografsche beheersmaatregelen",
text=
"Doelstelling: Zorgen voor correct en doeltreffend gebruik van cryptografie om de verrtrouwelijkheid, "
"authenticiteit en/of integriteit van informatie te beschermen.",
fragments=[
Norm(
identifier="10.01.01",
title=
"Beleid inzake het gebruik van cryptografische beheersmaatregelen",
text=
"Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische "
"beheersmaatregelen te worden ontwikkeld en geïmplementeerd.",
bbn=2,
fragments=[
Verifier(
identifier="10.01.01/01",
title="",
text=
"In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:"
"<ol style='list-style-type: lower-alpha;'>"
"<li>wanneer cryptografie ingezet wordt;</li>"
"<li>wie verantwoordelijk is voor de implementatie;</li>"
"<li>wie verantwoordelijk is voor het sleutelbeheer;</li>"
"<li>welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het "
"forum standaardisatie worden toegepast;</li>"
"<li>de wijze waarop het beschermingsniveau vastgesteld wordt;</li>"
"<li>bij inter-organisatie communicatie wordt het beleid onderling vastgesteld.</li>"
"</ol>",
bbn=2,
),
Verifier(
identifier="10.01.01/02",
title="",
text=
"Crypografische toepassingen voldoen aan passende standaarden.",
bbn=2,
),
],
),
Norm(
identifier="10.01.02",
title="Sleutelbeheer",
text=
"Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels "
"behoort tijdens hun gehele levenscyclus een beleid te worden ontwikkeld en geïmplementeerd.",
bbn=1,
fragments=[
Verifier(
identifier="10.01.02/01",
title="",
text=
"Ingeval van PKI-overheid certificaten: hanteer de PKI-Overheid-eisen t.a.v. het "
"sleutelbeheer.<br/>"
"In overige situaties: hanteer de standaard ISO-11770 voor het beheer van "
"cryptografische sleutels.",
bbn=2,
),
Verifier(
identifier="10.01.02/02",
title="",
text=
"Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier "
"als uit risicoafweging blijkt dat deze noodzakelijk zijn.",
bbn=2,
),
],
),
],
)
S1701 = Section(
identifier="17.01",
title="Informatiebeveiligingscontinuïteit",
text=
"Doelstelling: Informatiebeveiligingscontinuïteit behoort te worden ingebed in de systemen van het "
"bedrijfscontinuïteitsbeheer van de organisatie.",
fragments=[
Norm(
identifier="17.01.01",
title="Informatiebeveiligingscontinuïteit plannen",
text=
"De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het "
"informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vast te "
"stellen.",
bbn=1,
fragments=[
Verifier(
identifier="17.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="17.01.02",
title="Informatiebeveiligingscontinuïteit implementeren",
text=
"De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te "
"documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor "
"informatiebeveiliging tijdens een ongunstige situatie te waarborgen.",
bbn=1,
fragments=[
Verifier(
identifier="17.01.02/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="17.01.03",
title=
"Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren",
text=
"De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en "
"geïmplementeerde beheersmaatregelen regelmatig te verifiëren om te waarborgen dat ze "
"deugdelijk en doeltreffend zijn tijdens ongunstige situaties.",
bbn=1,
fragments=[
Verifier(
identifier="17.01.03/01",
title="",
text=
"Continuïteitsplannen worden jaarlijks getest op geldigheid en bruikbaarheid.",
bbn=2,
),
Verifier(
identifier="17.01.03/02",
title="",
text=
"Door het uitvoeren van een expliciete risicoafweging worden de bedrijfskritische "
"procesonderdelen met hun bijbehorende betrouwbaarheidseisen geïdentificeerd.",
bbn=2,
),
Verifier(
identifier="17.01.03/03",
title="",
text=
"De dienstverlening van de bedrijfskritische onderdelen wordt bij calamiteiten minimaal "
"binnen een week hersteld.",
bbn=2,
),
],
),
],
)
S0901 = Section(
identifier="09.01",
title="Beveiligde ruimten",
fragments=[
Norm(
identifier="09.01.01",
title="Fysieke beveiliging van de omgeving",
text=
"Er behoren toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een "
"bemande receptie) te worden aangebracht om ruimten te beschermen waar zich informatie en "
"ICT-voorzieningen bevinden.",
fragments=[
Verifier(
identifier="09.01.01/01",
title="",
text=
"Voor iedere locatie is een beveiligingsplan opgesteld op basis van een risicoafweging.",
),
Verifier(
identifier="09.01.01/02",
title="",
text=
"Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen "
"bepaald.",
),
Verifier(
identifier="09.01.01/03",
title="",
text=
"Gebouwen bieden voldoende weerstand (bepaald op basis van een risicoafweging) bij "
"gewelddadige aanvallen zoals inbraak en IT-gericht vandalisme.",
),
Verifier(
identifier="09.01.01/04",
title="",
text=
"Er is 24-uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld aan alarmcentrale is "
"het minimum.",
),
Verifier(
identifier="09.01.01/05",
title="",
text=
"Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij voldoen aan de wettelijke "
"eisen gesteld in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus. Deze "
"verificatie wordt minimaal jaarlijks herhaald.",
),
Verifier(
identifier="09.01.01/06",
title="",
text=
"In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan "
"wordt een registratie bijhouden.",
),
],
),
Norm(
identifier="09.01.02",
title="Fysieke toegangsbeveiliging",
text=
"Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te "
"bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.",
fragments=[
Verifier(
identifier="09.01.02/01",
title="",
text=
"Toegang tot gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe.",
),
Verifier(
identifier="09.01.02/02",
title="",
text=
"De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht conform het Kader "
"Rijkstoegangsbeleid.",
),
Verifier(
identifier="09.01.02/03",
title="",
text=
"In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan "
"wordt een registratie bijhouden.",
),
Verifier(
identifier="09.01.02/04",
title="",
text=
"De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd "
"op de zonering.",
),
Verifier(
identifier="09.01.02/05",
title="",
text=
"De uitgifte van toegangsmiddelen wordt geregistreerd.",
),
Verifier(
identifier="09.01.02/06",
title="",
text=
"Niet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd opbergmiddel.",
),
Verifier(
identifier="09.01.02/07",
title="",
text=
"Apparatuur en bekabeling in kabelverdeelruimtes en patchruimtes voldoen aan dezelfde eisen "
"t.a.v. toegangbeveiliging zoals die worden gesteld aan computerruimtes.",
),
Verifier(
identifier="09.01.02/08",
title="",
text=
"Er vindt minimaal één keer per half jaar een periodieke controle/evaluatie plaats op de "
"autorisaties voor fysieke toegang.",
),
],
),
Norm(
identifier="09.01.03",
title="Beveiliging van kantoren, ruimten en faciliteiten",
text=
"Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en "
"toegepast.",
fragments=[
Verifier(
identifier="09.01.03/01",
title="",
text=
"Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten "
"worden beveiligd opgeslagen.",
),
Verifier(
identifier="09.01.03/02",
title="",
text=
"Er is actief beheer van sloten en kluizen met procedures voor wijziging van combinaties "
"door middel van een sleutelplan. Ten behoeve van opslag van gerubriceerde informatie.",
),
Verifier(
identifier="09.01.03/03",
title="",
text=
"Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in "
"lijn met geldende best practices.",
),
],
),
Norm(
identifier="09.01.04",
title="Bescherming tegen bedreigingen van buitenaf",
text=
"Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, "
"oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en "
"toegepast.",
fragments=[
Verifier(
identifier="09.01.04/01",
title="",
text=
"Bij maatregelen is rekening gehouden met specifieke bedreigingen van aangrenzende panden "
"of terreinen.",
),
Verifier(
identifier="09.01.04/02",
title="",
text=
"Reserve apparatuur en back-ups zijn op een zodanige afstand ondergebracht dat één en "
"dezelfde calamiteit er niet voor kan zorgen dat zowel de hoofdlocatie als de "
"back-up/reserve locatie niet meer toegankelijk zijn.",
),
Verifier(
identifier="09.01.04/03",
title="",
text=
"Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt zijn voldoende "
"beveiligd tegen wateroverlast.",
),
Verifier(
identifier="09.01.04/04",
title="",
text=
"Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen waarbij rekening wordt "
"gehouden met de kans op en de gevolgen van natuurrampen en door mensen veroorzaakte rampen.",
),
Verifier(
identifier="09.01.04/05",
title="",
text=
"Gevaarlijke of brandbare materialen zijn op een zodanige afstand van een beveiligde ruimte "
"opgeslagen dat een calamiteit met deze materialen geen invloed heeft op de beveiligde "
"ruimte.",
),
Verifier(
identifier="09.01.04/06",
title="",
text=
"Er is door de brandweer goedgekeurde en voor de situatie geschikte brandblusapparatuur "
"geplaatst en aangesloten. Dit wordt jaarlijks gecontroleerd.",
),
],
),
Norm(
identifier="09.01.05",
title="Werken in beveiligde ruimten",
text=
"Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden "
"ontworpen en toegepast.",
fragments=[
Verifier(
identifier="09.01.05/01",
title="",
text=
"Medewerkers die zelf niet geautoriseerd zijn mogen alleen onder begeleiding van bevoegd "
"personeel en als er een duidelijke noodzaak voor is toegang krijgen tot fysiek beveiligde "
"ruimten waarin IT voorzieningen zijn geplaatst of waarin met vertrouwelijke informatie "
"wordt gewerkt.",
),
Verifier(
identifier="09.01.05/02",
title="",
text=
"Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen personen bevinden "
"zijn afgesloten en worden regelmatig gecontroleerd.",
),
Verifier(
identifier="09.01.05/03",
title="",
text=
"Zonder expliciete toestemming mogen binnen beveiligde ruimten geen opnames (foto, video of "
"geluid) worden gemaakt.",
),
],
),
Norm(
identifier="09.01.06",
title="Openbare toegang en gebieden voor laden en lossen",
text=
"Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein "
"kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van "
"IT-voorzieningen, om onbevoegde toegang te voorkomen.",
fragments=[
Verifier(
identifier="09.01.06/01",
title="",
text=
"Er bestaat een procedure voor het omgaan met verdachte pakketten en brieven in postkamers "
"en laad- en losruimten.",
),
],
),
],
)
S1201 = Section(
identifier="12.01",
title="Beveiligingseisen voor informatiesystemen",
fragments=[
Norm(
identifier="12.01.01",
title="Analyse en specificatie van beveiligingseisen",
text=
"In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen "
"behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.",
fragments=[
Verifier(
identifier="12.01.01/01",
title="",
text=
"In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen "
"als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties "
"meegenomen.",
),
Verifier(
identifier="12.01.01/02",
title="",
text=
"In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt "
"structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt "
"gemaakt van bestaande richtlijnen (bijv. secure coding guidelines).",
),
Verifier(
identifier="12.01.01/03",
title="",
text=
"Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is "
"van de specificatie.",
),
Verifier(
identifier="12.01.01/04",
title="",
text=
"Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product "
"verantwoord onderbouwd.",
),
Verifier(
identifier="12.01.01/05",
title="",
text=
"Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan "
"geaccepteerde beveiligingscriteria zoals NBV-goedkeuring of certificering volgens "
"ISO/IEC 15408 (common criteria).",
),
],
),
],
)