text=
"Doelstelling: Een consistente en doeltrefende aanpak bewerkstel-ligen van het beheer van "
"informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke "
"plekken in de beveiliging.",
fragments=[
Norm(
identifier="16.01.01",
title="Verantwoordelijkheden en procedures",
text=
"Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, "
"doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="16.01.02",
title="Rapportage van informatiebeveiligingsgebeurtenissen",
text=
"Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus "
"te worden gerapporteerd.",
bbn=1,
fragments=[
Verifier(
identifier="16.01.02/01",
title="",
text="Ten behoeve van informatiebeveiliging behoort een reeks "
"beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd "
"aan medewerkers en relevante externe partijen.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is "
"vastgesteld door de leiding van de organisatie en bevat tenminste de volgende punten: <br/>"
"<ol style='list-style-type: lower-alpha;'>"
"<li>de strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor "
"informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene "
"beveiligingsbeleid en het informatievoorzieningsbeleid;</li>"
"<li>de organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, "
"taken en bevoegdheden;</li>"
"<li>de toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan "
"lijnmanagers;</li>"
"<li>de gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van "
"toepassing zijn;</li>"
"<li>de frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd;</li>"
"<li>de bevordering van het beveiligingsbewustzijn.</li>"
"</ol>",
bbn=1,
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
"leveranciers.",
fragments=[
Norm(
identifier="15.01.01",
title="Informatiebeveiligingsbeleid voor leveranciersrelaties",
text=
"Met de leverancier behoren de informatiebeveiligingseisen om risico's te verlagen die verband "
"houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden "
"overeengekomen en gedocumenteerd.",
bbn=1,
fragments=[
Verifier(
identifier="15.01.01/01",
title="",
text=
"Bij offerteaanvragen waar informatie(voorziening) een rol speelt, worden eisen t.a.v. "
"informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. "
"Deze eisen zijn gebaseerd op een expliciete risicoafweging.",
bbn=1,
),
Verifier(
identifier="15.01.01/02",
title="",
text=
"Op basis van een expliciete risicoafweging worden de beheersmaatregelen met betrekking "
"tot leverancierstoegang tot bedrijfsinformatie vastgesteld.",
bbn=2,
),
Verifier(
identifier="15.01.01/03",
title="",
title="Verantwoordelijkheid voor bedrijfsmiddelen",
text=
"Doelstelling: Bedrijfsmiddelen van de organisatie identifceren en passende verantwoordelijkheden "
"ter bescherming definiëren.",
fragments=[
Norm(
identifier="08.01.01",
title="Inventariseren van bedrijfsmiddelen",
text="Informatie, andere bedrijfsmiddelen die samenhangen met "
"informatie en informatieverwerkende faciliteiten behoren te worden geïdentificeerd, en van deze "
"bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="08.01.02",
title="Eigendom van bedrijfsmiddelen",
text=
"Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, "
"behoren een eigenaar te hebben.",
bbn=1,
fragments=[
Verifier(
identifier="08.01.02/01",
title="",
fragments=[
Norm(
identifier="11.01.01",
title="Fysieke beveiligingszone",
text=
"Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die "
"gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.",
bbn=1,
fragments=[
Verifier(
identifier="11.01.01/01",
title="",
text=
"Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van "
"de volgende voorschriften:"
"<ol style='list-style-type: lower-alpha;'>"
"<li>het Kader Rijkstoegangsbeleid (2010);</li>"
"<li>het Normenkader Beveiliging Rijkskantoren (NkBR 2015);</li>"
"<li>het Beveiligingsvoorschrift Rijk (BVR 2013).<li>"
"</ol>",
bbn=1,
),
],
),
Norm(
identifier="11.01.02",
title="Fysieke toegangsbeveiliging",
text=
"Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor "
"te zorgen dat alleen bevoegd personeel toegang krijgt.",
bbn=1,
S1501 = Section(
identifier="15.01",
title="Naleving van wettelijke voorschriften",
fragments=[
Norm(
identifier="15.01.01",
title="Identificatie van toepasselijke wetgeving",
text=
"Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering "
"van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, "
"gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.",
fragments=[
Verifier(
identifier="15.01.01/01",
title="",
text=
"Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de "
"organisatie of organisatieonderdelen.",
),
],
),
Norm(
identifier="15.01.02",
title=
"Intellectuele eigendomsrechten (Intellectual Property Rights)",
text=
"Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan "
"aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van "
"materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur "
"waarop intellectuele eigendomsrechten berusten.",
fragments=[
identifier="06.01",
title="Interne organisatie",
fragments=[
Norm(
identifier="06.01.01",
title="Betrokkenheid van de directie bij beveiliging",
text=
"De directie behoort actief beveiliging binnen de organisatie te ondersteunen door duidelijk "
"richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor "
"informatiebeveiliging toe te kennen en te erkennen.",
fragments=[
Verifier(
identifier="06.01.01/01",
title="",
text=
"Het lijnmanagement waarborgt dat de informatiebeveiligingsdoelstellingen worden "
"vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in "
"de relevante processen. Dit gebeurt door één keer per jaar opzet, bestaan en werking van "
"de IB-maatregelen te bespreken in het overleg van de departementsleiding en hiervan "
"verslag te doen."),
],
),
Norm(
identifier="06.01.02",
title="Coördineren van beveiliging",
text=
"Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers "
"uit verschillende delen van de organisatie met relevante rollen en functies.",
fragments=[
Verifier(
identifier="06.01.02/01",
identifier="14.01",
title="Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer",
fragments=[
Norm(
identifier="14.01.01",
title=
"Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer",
text=
"Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden "
"ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig "
"zijn voor de continuïteit van de bedrijfsvoering.",
fragments=[
Verifier(
identifier="14.01.01/01",
title="",
text=
"Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en "
"testactiviteiten.",
),
],
),
Norm(
identifier="14.01.02",
title="Bedrijfscontinuïteit en risicobeoordeling",
text=
"Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden "
"geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen "
"en hun gevolgen voor informatiebeveiliging.",
fragments=[
Verifier(
identifier="14.01.02/01",
fragments=[
Norm(
identifier="08.01.01",
title="Rollen en verantwoordelijkheden",
text=
"De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten "
"aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid "
"voor informatiebeveiliging van de organisatie.",
fragments=[
Verifier(
identifier="08.01.01/01",
title="",
text=
"""De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de
functiebeschrijving (zie ook de Ambtenarenwet) en worden onderhouden. In de functiebeschrijving
wordt minimaal aandacht besteed aan:
<ul>
<li>uitvoering van het informatiebeveiligingsbeleid</li>
<li>bescherming van bedrijfsmiddelen</li>
<li>rapportage van beveiligingsincidenten</li>
</ul>""",
),
Verifier(
identifier="08.01.01/02",
title="",
text=
"Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun "
"verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk "
"vastgestelde en voor hen geldende regelingen en instructies ten aanzien van "
"informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, "
"worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige "
"Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in "
"overeenstemming met bedrijfseisen en relevante wet- en regelgeving.",
fragments=[
Norm(
identifier="05.01.01",
title="Beleidsregels voor informatiebeveiliging",
text="Ten behoeve van informatiebeveiliging behoort een reeks "
"beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd "
"aan medewerkers en relevante externe partijen.",
bbn=1,
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is "
"vastgesteld door de leiding van de organisatie en bevat tenminste de in het artikel 3 "
"van het VIR genoemde punten.",
bbn=1,
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
text="Het beleid voor informatiebeveiliging behoort "
"met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om "
"te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.",
bbn=1,
fragments=[
Verifier(
identifier="09.01",
title="Bedrijfseisen voor toegangsbeveiliging",
text=
"Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.",
fragments=[
Norm(
identifier="09.01.01",
title="Beleid voor toegangsbeveiliging",
text=
"Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op "
"basis van bedrijfs- en informatiebeveiligingseisen.",
bbn=1,
fragments=[
Verifier(
identifier="09.01.01/01",
title="",
text="- conform norm -",
bbn=1,
)
],
),
Norm(
identifier="09.01.02",
title="Toegang tot netwerken en netwerkdiensten",
text=
"Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij "
"specifiek bevoegd zijn.",
bbn=1,
fragments=[
Verifier(
identifier="09.01.02/01",
title="",
S1301 = Section(
identifier="13.01",
title="Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken",
fragments=[
Norm(
identifier="13.01.01",
title="Rapportage van informatiebeveiligingsgebeurtenissen",
text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus "
"te worden gerapporteerd.",
fragments=[
Verifier(
identifier="13.01.01/01",
title="",
text="Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, "
"in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de "
"handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport "
"van een beveiligingsincident.",
),
Verifier(
identifier="13.01.01/02",
title="",
text="Er is een contactpersoon aangewezen voor het rapporteren van beveiligingsincidenten. "
"Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in "
"ontvangst neemt.",
),
Verifier(
identifier="13.01.01/03",
title="",
text="Vermissing of diefstal van apparatuur of media die gegevens van de Rijksdienst kunnen "
"bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.",
S1001 = Section(
identifier="10.01",
title="Bedieningsprocedures en verantwoordelijkheden",
fragments=[
Norm(
identifier="10.01.01",
title="Gedocumenteerde bedieningsprocedures",
text="Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te "
"worden gesteld aan alle gebruikers die deze nodig hebben.",
fragments=[
Verifier(
identifier="10.01.01/01",
title="",
text="Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-uppen en "
"herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en "
"speciale maatregelen voor beveiliging.",
),
Verifier(
identifier="10.01.01/02",
title="",
text="Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, "
"rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.",
),
],
),
Norm(
identifier="10.01.02",
title="Wijzigingsbeheer",
text="Wijzigingen in IT voorzieningen en informatiesystemen behoren te worden beheerst.",
"zijn voor de rollen waarvoor zij in aanmerking komen.",
fragments=[
Norm(
identifier="07.01.01",
title="Screening",
text="Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te "
"worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen "
"en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe "
"toegang wordt verleend en de vastgestelde risico's te zijn.",
bbn=1,
fragments=[
Verifier(
identifier="07.01.01/01",
title="",
text="Bij indiensttreding overleggen alle medewerkers (intern en extern) een specifiek voor de "
"functie verstrekte Verklaring Omtrent het Gedrag (VOG).",
bbn=1,
),
],
),
Norm(
identifier="07.01.02",
title="Arbeidsvoorwaarden",
text="De contractuele overeenkomst met medewerkers en contractanten behoort hun "
"verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.",
bbn=1,
fragments=[
Verifier(
identifier="07.01.02/01",
S0501 = Section(
identifier="05.01",
title="Informatiebeveiligingsbeleid",
fragments=[
Norm(
identifier="05.01.01",
title="Beleidsdocumenten voor informatiebeveiliging",
text=
"Een document met informatiebeveiligingsbeleid behoort door de directie "
"te worden goedgekeurd en gepubliceerd en kenbaar te worden gemaakt aan "
"alle werknemers en relevante externe partijen.",
fragments=[
Verifier(
identifier="05.01.01/01",
title="",
text=
"Er is beleid voor informatiebeveiliging door het lijnmanagement vastgesteld, "
"gepubliceerd en beoordeeld op basis van inzicht in risico's, kritische bedrijfsprocessen "
"en toewijzing van verantwoordelijkheden en prioriteiten.",
),
],
),
Norm(
identifier="05.01.02",
title="Beoordeling van het informatiebeveiligingsbeleid",
text=
"Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, of "
"zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te "
"bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.",
fragments=[
Verifier(
identifier="05.01.02/01",
S1201 = Section(
identifier="12.01",
title="Bedieningsprocedures en verantwoordelijkheden",
text="Doelstelling: Correcte en veilige bediening van informatie-verwerkende faciliteiten waarborgen.",
fragments=[
Norm(
identifier="12.01.01",
title="Gedocumenteerde bedieningsprocedures",
text="Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle "
"gebruikers die ze nodig hebben.",
bbn=1,
fragments=[
Verifier(
identifier="12.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="12.01.02",
title="Wijzigingsbeheer",
text="Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen "
"die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.",
bbn=1,
fragments=[
Verifier(
identifier="12.01.02/01",
title="",
identifier="06.01",
title="Interne organisatie",
text="Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging "
"binnen de organisatie te initiëren en te beheersen.",
fragments=[
Norm(
identifier="06.01.01",
title="Rollen en verantwoordelijkheden bij informatiebeveiliging",
text="Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.",
bbn=1,
fragments=[
Verifier(
identifier="06.01.01/01",
title="",
text="De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn "
"op het gebied van informatiebeveiliging binnen haar organisatie.",
bbn=1,
),
Verifier(
identifier="06.01.01/02",
title="",
text="De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd "
"op relevante voorschriften en wetten, zoals het VIR, VIR-BI, BVR en AVG.",
bbn=1,
),
Verifier(
identifier="06.01.01/03",
title="",
text="De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn "
"in een CISO-functieprofiel vastgelegd.",
title="Beheer van netwerkbeveiliging",
text=
"Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende "
"faciliteiten waarborgen.",
fragments=[
Norm(
identifier="13.01.01",
title="Beheersmaatregelen voor netwerken",
text=
"Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te "
"beschermen.",
bbn=1,
fragments=[
Verifier(
identifier="13.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="13.01.02",
title="Beveiliging van netwerkdiensten",
text=
"Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren "
"te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt "
"zowel voor diensten die intern worden geleverd als voor uitbestede diensten.",
bbn=1,
fragments=[
Verifier(
identifier="13.01.02/01",
"Doelstelling: Voorkomen van schendingen van wetelijke, statutaire, regelgevende of contractuele "
"verplichtingen betrefende informatiebeveiliging en beveiligingseisen.",
fragments=[
Norm(
identifier="18.01.01",
title=
"Vaststellen van toepasselijke wetgeving en contractuele eisen",
text=
"Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de "
"organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie "
"expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="18.01.02",
title="Intellectuele-eigendomsrechten",
text=
"Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met "
"intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren "
"passende procedures te worden geïmplementeerd.",
bbn=1,
fragments=[
Verifier(
identifier="18.01.02/01",
"gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via "
"openbare netwerken.",
fragments=[
Norm(
identifier="14.01.01",
title="Analyse en specificatie van informatiebeveiligingseisen",
text=
"De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor "
"nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.",
bbn=1,
fragments=[
Verifier(
identifier="14.01.01/01",
title="",
text=
"Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet "
"conform het Voorschrift Informatiebeveiliging Rijksdienst artikel 4 een expliciete "
"risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, "
"uitgaande van de BIR.",
bbn=1,
),
],
),
Norm(
identifier="14.01.02",
title="Toepassingen op openbare netwerken beveiligen",
text="Informatie die deel uitmaakt van uitvoeringsdiensten "
"en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze "
"activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.",
bbn=1,
fragments=[
Verifier(
S0701 = Section(
identifier="07.01",
title="Verantwoordelijkheid voor bedrijfsmiddelen",
fragments=[
Norm(
identifier="07.01.01",
title="Inventarisatie van bedrijfsmiddelen",
text=
"Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van "
"alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.",
fragments=[
Verifier(
identifier="07.01.01/01",
title="",
text=
"Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang "
"vertegenwoordigen zoals informatie(verzamelingen), software, hardware, diensten, mensen en "
"hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste "
"beschermingsniveau en de verantwoordelijke lijnmanager bekend.",
),
],
),
Norm(
identifier="07.01.02",
title="Eigendom van bedrijfsmiddelen",
text=
"Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen behoren een eigenaar "
"te hebben in de vorm van een aangewezen deel van de organisatie.",
fragments=[
Verifier(
identifier="07.01.02/01",
identifier="10.01.01",
title=
"Beleid inzake het gebruik van cryptografische beheersmaatregelen",
text=
"Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische "
"beheersmaatregelen te worden ontwikkeld en geïmplementeerd.",
bbn=2,
fragments=[
Verifier(
identifier="10.01.01/01",
title="",
text=
"In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:"
"<ol style='list-style-type: lower-alpha;'>"
"<li>wanneer cryptografie ingezet wordt;</li>"
"<li>wie verantwoordelijk is voor de implementatie;</li>"
"<li>wie verantwoordelijk is voor het sleutelbeheer;</li>"
"<li>welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het "
"forum standaardisatie worden toegepast;</li>"
"<li>de wijze waarop het beschermingsniveau vastgesteld wordt;</li>"
"<li>bij inter-organisatie communicatie wordt het beleid onderling vastgesteld.</li>"
"</ol>",
bbn=2,
),
Verifier(
identifier="10.01.01/02",
title="",
text=
"Crypografische toepassingen voldoen aan passende standaarden.",
bbn=2,
),
],
text=
"Doelstelling: Informatiebeveiligingscontinuïteit behoort te worden ingebed in de systemen van het "
"bedrijfscontinuïteitsbeheer van de organisatie.",
fragments=[
Norm(
identifier="17.01.01",
title="Informatiebeveiligingscontinuïteit plannen",
text=
"De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het "
"informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vast te "
"stellen.",
bbn=1,
fragments=[
Verifier(
identifier="17.01.01/01",
title="",
text="- conform norm -",
bbn=1,
),
],
),
Norm(
identifier="17.01.02",
title="Informatiebeveiligingscontinuïteit implementeren",
text=
"De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te "
"documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor "
"informatiebeveiliging tijdens een ongunstige situatie te waarborgen.",
bbn=1,
fragments=[
Verifier(
identifier="17.01.02/01",
S0901 = Section(
identifier="09.01",
title="Beveiligde ruimten",
fragments=[
Norm(
identifier="09.01.01",
title="Fysieke beveiliging van de omgeving",
text=
"Er behoren toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een "
"bemande receptie) te worden aangebracht om ruimten te beschermen waar zich informatie en "
"ICT-voorzieningen bevinden.",
fragments=[
Verifier(
identifier="09.01.01/01",
title="",
text=
"Voor iedere locatie is een beveiligingsplan opgesteld op basis van een risicoafweging.",
),
Verifier(
identifier="09.01.01/02",
title="",
text=
"Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen "
"bepaald.",
),
Verifier(
identifier="09.01.01/03",
title="",
text=
"Gebouwen bieden voldoende weerstand (bepaald op basis van een risicoafweging) bij "
"gewelddadige aanvallen zoals inbraak en IT-gericht vandalisme.",
S1201 = Section(
identifier="12.01",
title="Beveiligingseisen voor informatiesystemen",
fragments=[
Norm(
identifier="12.01.01",
title="Analyse en specificatie van beveiligingseisen",
text=
"In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen "
"behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.",
fragments=[
Verifier(
identifier="12.01.01/01",
title="",
text=
"In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen "
"als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties "
"meegenomen.",
),
Verifier(
identifier="12.01.01/02",
title="",
text=
"In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt "
"structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt "
"gemaakt van bestaande richtlijnen (bijv. secure coding guidelines).",
),
Verifier(
identifier="12.01.01/03",
title="",
text=