S1601 = Section( identifier="16.01", title="Beheer van informatiebeveiligings-incidenten en -verbeteringen", text= "Doelstelling: Een consistente en doeltrefende aanpak bewerkstel-ligen van het beheer van " "informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke " "plekken in de beveiliging.", fragments=[ Norm( identifier="16.01.01", title="Verantwoordelijkheden en procedures", text= "Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, " "doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.", bbn=1, fragments=[ Verifier( identifier="16.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="16.01.02", title="Rapportage van informatiebeveiligingsgebeurtenissen", text= "Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus " "te worden gerapporteerd.", bbn=1, fragments=[ Verifier( identifier="16.01.02/01", title="", text= "Er is een meldloket waar beveiligingsincidenten kunnen worden gemeld.", bbn=1, ), Verifier( identifier="16.01.02/02", title="", text= "Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan " "beschreven.", bbn=1, ), Verifier( identifier="16.01.02/03", title="", text= "Alle medewerkers en contractanten hebben aantoonbaar kennis genomen van de " "meldingsprocedure van incidenten.", bbn=1, ), Verifier( identifier="16.01.02/04", title="", text= "Incidenten worden zo snel als mogelijk, maar in ieder geval binnen 24 uur na bekendwording, " "gemeld bij het meldloket.", bbn=1, ), Verifier( identifier="16.01.02/05", title="", text= "De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten.", bbn=1, ), Verifier( identifier="16.01.02/06", title="", text= "De opvolging van incidenten wordt maandelijks gerapporteerd aan de verantwoordelijke.", bbn=1, ), Verifier( identifier="16.01.02/07", title="", text= "Informatie afkomstig uit de responsible disclosure procedure zijn onderdeel van de " "incidentrapportage.", bbn=1, ), ], ), Norm( identifier="16.01.03", title="Rapportage van zwakke plekken in de informatiebeveiliging", text= "Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de " "organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of " "vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.", bbn=1, fragments=[ Verifier( identifier="16.01.03/01", title="", text= "Een responsible disclosure procedure is gepubliceerd en ingericht.", bbn=1, ), ], ), Norm( identifier="16.01.04", title= "Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen", text= "Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden " "geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten.", bbn=1, fragments=[ Verifier( identifier="16.01.04/01", title="", text= "Informatiebeveiligingsincidenten die hebben geleid tot een vermoedelijk of mogelijk " "opzettelijke inbreuk op de beschikbaarheid, vertrouwelijkheid of integriteit van " "informatieverwerkende systemen, behoren zo snel mogelijk (binnen 72 uur) al dan niet " "geautomatiseerd te worden gemeld aan het NCSC door of namens het department security " "contact (DSC, operationele contactpersoon voor het NCSC) of de Chief Information " "Security Officer (CISO).", bbn=2, ), ], ), Norm( identifier="16.01.05", title="Respons op informatiebeveiligingsincidenten", text= "Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de " "gedocumenteerde procedures.", bbn=1, fragments=[ Verifier( identifier="16.01.05/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="16.01.06", title="Lering uit informatiebeveiligingsincidenten", text= "Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort " "te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.", bbn=2, fragments=[ Verifier( identifier="16.01.06/01", title="", text= "Beveiligingsincidenten worden geanalyseerd met als doel te leren en het voorkomen van " "toekomstige beveiligingsincidenten.", bbn=2, ), Verifier( identifier="16.01.06/02", title="", text= "De analyses van de beveiligingsincidenten worden gedeeld met de relevante partners om " "herhaling en toekomstige incidenten te voorkomen.", bbn=2, ), ], ), Norm( identifier="16.01.07", title="Verzamelen van bewijsmateriaal", text= "De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, " "verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.", bbn=2, fragments=[ Verifier( identifier="16.01.07/01", title="", text= "In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de " "gelogde incidentinformatie minimaal drie jaar.", bbn=2, ), ], ), ], )
CH05S01 = Section( identifier="05.01", title="Aansturing door de directie van de informatiebeveiliging", text= "Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in " "overeenstemming met bedrijfseisen en relevante wet- en regelgeving.", fragments=[ Norm( identifier="05.01.01", title="Beleidsregels voor informatiebeveiliging", text="Ten behoeve van informatiebeveiliging behoort een reeks " "beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd " "aan medewerkers en relevante externe partijen.", bbn=1, fragments=[ Verifier( identifier="05.01.01/01", title="", text= "Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is " "vastgesteld door de leiding van de organisatie en bevat tenminste de volgende punten: <br/>" "<ol style='list-style-type: lower-alpha;'>" "<li>de strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor " "informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene " "beveiligingsbeleid en het informatievoorzieningsbeleid;</li>" "<li>de organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, " "taken en bevoegdheden;</li>" "<li>de toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan " "lijnmanagers;</li>" "<li>de gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van " "toepassing zijn;</li>" "<li>de frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd;</li>" "<li>de bevordering van het beveiligingsbewustzijn.</li>" "</ol>", bbn=1, ), ], ), Norm( identifier="05.01.02", title="Beoordeling van het informatiebeveiligingsbeleid", text="Het beleid voor informatiebeveiliging behoort " "met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om " "te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.", bbn=1, fragments=[ Verifier( identifier="05.01.02/01", title="", text= "Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of bij " "belangrijke wijzigingen als gevolg van reorganisatie of verandering in de " "verantwoordelijkheidsverdeling, beoordeeld en zo nodig bijgesteld.", bbn=1, ), ], ), ], )
CH15S01 = Section( identifier="15.01", title="Informatiebeveiliging in leveranciersrelaties", text= "Doelstelling: De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor " "leveranciers.", fragments=[ Norm( identifier="15.01.01", title="Informatiebeveiligingsbeleid voor leveranciersrelaties", text= "Met de leverancier behoren de informatiebeveiligingseisen om risico's te verlagen die verband " "houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden " "overeengekomen en gedocumenteerd.", bbn=1, fragments=[ Verifier( identifier="15.01.01/01", title="", text= "Bij offerteaanvragen waar informatie(voorziening) een rol speelt, worden eisen t.a.v. " "informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. " "Deze eisen zijn gebaseerd op een expliciete risicoafweging.", bbn=1, ), Verifier( identifier="15.01.01/02", title="", text= "Op basis van een expliciete risicoafweging worden de beheersmaatregelen met betrekking " "tot leverancierstoegang tot bedrijfsinformatie vastgesteld.", bbn=2, ), Verifier( identifier="15.01.01/03", title="", text="Met alle leveranciers die als " "verwerker " "voor of namens de organisatie persoonsgegevens verwerken, worden verwerkersovereenkomsten " "gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.", bbn=2, ), ], ), Norm( identifier="15.01.02", title= "Opnemen van beveiligingsaspecten in leveranciersovereenkomsten", text= "Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke " "leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de " "organisatie, of deze verwerkt, opslaat, communiceert of biedt.", bbn=1, fragments=[ Verifier( identifier="15.01.02/01", title="", text= "De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de " "(inkoop)contracten waar informatie een rol speelt.", bbn=1, ), Verifier( identifier="15.01.02/02", title="", text= "In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende " "verantwoordingsrapportages opgenomen.", bbn=1, ), Verifier( identifier="15.01.02/03", title="", text= "In situaties waarin contractvoorwaarden worden opgelegd door leveranciers, is voorafgaand " "aan het tekenen van het contract met een risicoafweging helder gemaakt wat de consequenties " "hiervan zijn voor de organisatie. Expliciet is gemaakt welke consequenties geaccepteerd " "worden en welke gemitigeerd moeten zijn bij het aangaan van de overeenkomst.", bbn=1, ), Verifier( identifier="15.01.02/04", title="", text= "Ter waarborging van vertrouwelijkheid of geheimhouding worden bij IT-inkopen " "standaard voorwaarden " "voor inkoop " "gehanteerd.", bbn=1, ), Verifier( identifier="15.01.02/05", title="", text= "Voordat een contract wordt afgesloten wordt in een risicoafweging bepaald of de " "afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract " "is een expliciete uitwerking van de exit-strategie.", bbn=2, ), Verifier( identifier="15.01.02/06", title="", text= "In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen " "waarmee de betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is " "niet nodig als de contractant d.m.v. certificering aantoont dat de gewenste betrouwbaarheid " "van de dienst is geborgd.", bbn=2, ), ], ), Norm( identifier="15.01.03", title= "Toeleveringsketen van informatie- en communicatietechnologie", text= "Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de " "informatiebeveiligingsrisico's in verband met de toeleveringsketen van de diensten en producten op " "het gebied van informatie- en communicatietechnologie.", bbn=1, fragments=[ Verifier( identifier="15.01.03/01", title="", text= "Leveranciers moeten hun keten van toeleveranciers bekend maken en transparant zijn over " "de maatregelen die zij genomen hebben om de aan hun opgelegde eisen ook door te vertalen " "naar hun toeleveranciers.", bbn=2, ), ], ), ], )
S0801 = Section( identifier="08.01", title="Verantwoordelijkheid voor bedrijfsmiddelen", text= "Doelstelling: Bedrijfsmiddelen van de organisatie identifceren en passende verantwoordelijkheden " "ter bescherming definiëren.", fragments=[ Norm( identifier="08.01.01", title="Inventariseren van bedrijfsmiddelen", text="Informatie, andere bedrijfsmiddelen die samenhangen met " "informatie en informatieverwerkende faciliteiten behoren te worden geïdentificeerd, en van deze " "bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.", bbn=1, fragments=[ Verifier( identifier="08.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="08.01.02", title="Eigendom van bedrijfsmiddelen", text= "Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, " "behoren een eigenaar te hebben.", bbn=1, fragments=[ Verifier( identifier="08.01.02/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="08.01.03", title="Aanvaardbaar gebruik van bedrijfsmiddelen", text="Voor het aanvaardbaar gebruik van informatie en van " "bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten behoren " "regels te worden geïdentificeerd, gedocumenteerd en geïmplementeerd.", bbn=1, fragments=[ Verifier( identifier="08.01.03/01", title="", text= "Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van " "bedrijfsmiddelen " "en de Gedragsregeling voor de digitale werkomgeving", bbn=1, ), Verifier( identifier="08.01.03/02", title="", text= "De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel in het " "contract vastgelegd overeenkomstig de " "Gedragsregeling voor de digitale werkomgeving.", bbn=1, ), ], ), Norm( identifier="08.01.04", title="Teruggeven van bedrijfsmiddelen", text="Alle medewerkers en externe gebruikers moeten alle " "bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun " "dienstverband, contract of overeenkomst terug te geven.", bbn=1, fragments=[ Verifier( identifier="08.01.04/01", title="", text="- conform norm -", bbn=1, ), ], ), ], )
S1101 = Section( identifier="11.01", title="Beveiligde gebieden", text= "Doelstelling: Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en " "informatieverwerkende faciliteiten van de organisatie voorkomen.", fragments=[ Norm( identifier="11.01.01", title="Fysieke beveiligingszone", text= "Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die " "gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.", bbn=1, fragments=[ Verifier( identifier="11.01.01/01", title="", text= "Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van " "de volgende voorschriften:" "<ol style='list-style-type: lower-alpha;'>" "<li>het Kader Rijkstoegangsbeleid (2010);</li>" "<li>het Normenkader Beveiliging Rijkskantoren (NkBR 2015);</li>" "<li>het Beveiligingsvoorschrift Rijk (BVR 2013).<li>" "</ol>", bbn=1, ), ], ), Norm( identifier="11.01.02", title="Fysieke toegangsbeveiliging", text= "Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor " "te zorgen dat alleen bevoegd personeel toegang krijgt.", bbn=1, fragments=[ Verifier( identifier="11.01.02/01", title="", text= "In geval van concrete beveiligingsrisico's worden waarschuwingen, conform onderlinge " "afspraken, verzonden aan de relevante collega's binnen het beveiligingsdomein van " "het Rijk.", bbn=2, ), ], ), Norm( identifier="11.01.03", title="Kantoren, ruimten en faciliteiten beveiligen", text= "Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden " "ontworpen en toegepast.", bbn=1, fragments=[ Verifier( identifier="11.01.03/01", title="", text= "Sleutelbeheer is ingericht op basis van een sleutelplan " "(NkBR 5.4).", bbn=1, ), ], ), Norm( identifier="11.01.04", title="Beschermen tegen bedreigingen van buitenaf", text= "Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden " "ontworpen en toegepast.", bbn=1, fragments=[ Verifier( identifier="11.01.04/01", title="", text= "De organisatie heeft geïnventariseerd welke papieren archieven en apparatuur " "bedrijfskritisch zijn. Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen " "genomen op basis van een expliciete risicoafweging.", bbn=1, ), Verifier( identifier="11.01.04/02", title="", text= "Bij huisvesting van IT-apparatuur wordt rekening gehouden met de kans op gevolgen van " "rampen veroorzaakt door de natuur en menselijk handelen.", bbn=1, ), ], ), Norm( identifier="11.01.05", title="Werken in beveiligde gebieden", text= "Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast.", bbn=2, fragments=[ Verifier( identifier="11.01.05/01", title="", text="- conform norm -", bbn=2, ), ], ), Norm( identifier="11.01.06", title="Laad- en loslocatie", text= "Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein " "kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van " "informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.", bbn=1, fragments=[ Verifier( identifier="11.01.06/01", title="", text="- conform norm -", bbn=1, ), ], ), ], )
S1501 = Section( identifier="15.01", title="Naleving van wettelijke voorschriften", fragments=[ Norm( identifier="15.01.01", title="Identificatie van toepasselijke wetgeving", text= "Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering " "van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, " "gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.", fragments=[ Verifier( identifier="15.01.01/01", title="", text= "Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de " "organisatie of organisatieonderdelen.", ), ], ), Norm( identifier="15.01.02", title= "Intellectuele eigendomsrechten (Intellectual Property Rights)", text= "Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan " "aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van " "materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur " "waarop intellectuele eigendomsrechten berusten.", fragments=[ Verifier( identifier="15.01.02/01", title="", text= "Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, " "auteursrechten en gebruiksrechten.", ), ], ), Norm( identifier="15.01.03", title="Bescherming van bedrijfsdocumenten", text= "Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, " "overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en " "bedrijfsmatige eisen.", fragments=[ Verifier( identifier="15.01.03/01", title="", text="- conform norm -", ), ], ), Norm( identifier="15.01.04", title= "Bescherming van gegevens en geheimhouding van persoonsgegevens", text= "De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig " "relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.", fragments=[ Verifier( identifier="15.01.04/01", title="", text="- conform norm -", ), ], ), Norm( identifier="15.01.05", title="Voorkomen van misbruik van IT voorzieningen", text= "Gebruikers behoren ervan te worden weerhouden IT voorzieningen te gebruiken voor " "onbevoegde doeleinden.", fragments=[ Verifier( identifier="15.01.05/01", title="", text= "Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. " "Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien.", ), ], ), Norm( identifier="15.01.06", title= "Voorschriften voor het gebruik van cryptografische beheersmaatregelen", text= "Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en " "voorschriften te worden gebruikt.", fragments=[ Verifier( identifier="15.01.06/01", title="", text= "Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van " "cryptografische technieken moet voldoen.", ), ], ), ], )
S0601 = Section( identifier="06.01", title="Interne organisatie", fragments=[ Norm( identifier="06.01.01", title="Betrokkenheid van de directie bij beveiliging", text= "De directie behoort actief beveiliging binnen de organisatie te ondersteunen door duidelijk " "richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor " "informatiebeveiliging toe te kennen en te erkennen.", fragments=[ Verifier( identifier="06.01.01/01", title="", text= "Het lijnmanagement waarborgt dat de informatiebeveiligingsdoelstellingen worden " "vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in " "de relevante processen. Dit gebeurt door één keer per jaar opzet, bestaan en werking van " "de IB-maatregelen te bespreken in het overleg van de departementsleiding en hiervan " "verslag te doen."), ], ), Norm( identifier="06.01.02", title="Coördineren van beveiliging", text= "Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers " "uit verschillende delen van de organisatie met relevante rollen en functies.", fragments=[ Verifier( identifier="06.01.02/01", title="", text= "De rollen van BVA, BVC en het lijnmanagement zijn beschreven in het " "Beveiligingsvoorschrift Rijksdienst 2005."), ], ), Norm( identifier="06.01.03", title="Verantwoordelijkheden", text= "Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd.", fragments=[ Verifier( identifier="06.01.03/01", title="", text= "Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar " "dienstonderdeel."), ], ), Norm( identifier="06.01.04", title="Goedkeuringsproces voor ICT-voorzieningen", text= "Er behoort een goedkeuringsproces voor nieuwe ICT-voorzieningen te worden vastgesteld en " "geïmplementeerd.", fragments=[ Verifier( identifier="06.01.04/01", title="", text= "Er is een goedkeuringsproces voor nieuwe IT-voorzieningen en wijzigingen in " "IT-voorzieningen."), ], ), Norm( identifier="06.01.05", title="Geheimhoudingsovereenkomst", text= "Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte " "van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te " "worden beoordeeld.", fragments=[ Verifier( identifier="06.01.05/01", title="", text= "De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, " "lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een " "geheimhoudingsverklaring te ondertekenen (zie VIRBI); daaronder valt ook de departementaal " "vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de " "functie, de betreffende persoon gehouden blijft aan die geheimhouding." ), ], ), Norm( identifier="06.01.06", title="Contact met overheidsinstanties", text= "Er behoren geschikte contacten met relevante overheidsinstanties te worden onderhouden.", fragments=[ Verifier( identifier="06.01.06/01", title="", text= "Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten " "(brandweer, toezichthouders, enz.) wordt onderhouden."), ], ), Norm( identifier="06.01.07", title="Contact met speciale belangengroepen", text= "Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms " "voor beveiliging en professionele organisaties te worden onderhouden.", fragments=[ Verifier( identifier="06.01.07/01", title="", text= "IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, " "software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren." ), ], ), Norm( identifier="06.01.08", title="Beoordeling van het informatiebeveiligingsbeleid", text= "De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie " "daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor " "informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of " "zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging.", fragments=[ Verifier( identifier="06.01.08/01", title="", text= "Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie jaar geëvalueerd " "(door een onafhankelijke deskundige) en desgewenst bijgesteld." ), Verifier( identifier="06.01.08/02", title="", text= "Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement." ), Verifier( identifier="06.01.08/03", title="", text= "Over het functioneren van de informatiebeveiliging wordt, conform de P&C cyclus, " "jaarlijks gerapporteerd aan het lijnmanagement."), ], ), ], )
S1401 = Section( identifier="14.01", title="Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer", fragments=[ Norm( identifier="14.01.01", title= "Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer", text= "Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden " "ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig " "zijn voor de continuïteit van de bedrijfsvoering.", fragments=[ Verifier( identifier="14.01.01/01", title="", text= "Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en " "testactiviteiten.", ), ], ), Norm( identifier="14.01.02", title="Bedrijfscontinuïteit en risicobeoordeling", text= "Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden " "geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen " "en hun gevolgen voor informatiebeveiliging.", fragments=[ Verifier( identifier="14.01.02/01", title="", text= "Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd " "die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een " "risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in " "kaart gebracht in termen van tijd, schade en herstelperiode.", ), ], ), Norm( identifier="14.01.03", title= "continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging", text= "Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven " "of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste " "tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.", fragments=[ Verifier( identifier="14.01.03/01", title="", text= """In de continuïteitsplannen wordt minimaal aandacht besteed aan: <ul> <li>Identificatie van essentiële procedures voor bedrijfscontinuïteit.</li> <li>Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie).</li> <li>Prioriteiten en volgorde van herstel en reconstructie.</li> <li>Documentatie van systemen en processen.</li> <li>Kennis en kundigheid van personeel om de processen weer op te starten.</li> </ul>""", ), ], ), Norm( identifier="14.01.04", title="Kader voor de bedrijfscontinuïteitsplanning", text= "Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te " "bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op " "consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.", fragments=[ Verifier( identifier="14.01.04/01", title="", text="- conform norm -", ), ], ), Norm( identifier="14.01.05", title= "Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen", text= "Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geüpdate, om te bewerkstelligen " "dat ze actueel en doeltreffend blijven.", fragments=[ Verifier( identifier="14.01.05/01", title="", text= "Er worden minimaal jaarlijks oefeningen en testen gehouden om de " "bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen " "(opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld " "en wordt de organisatie bijgeschoold.", ), ], ), ], )
S0801 = Section( identifier="08.01", title="Beveiligen van personeel", fragments=[ Norm( identifier="08.01.01", title="Rollen en verantwoordelijkheden", text= "De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten " "aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid " "voor informatiebeveiliging van de organisatie.", fragments=[ Verifier( identifier="08.01.01/01", title="", text= """De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de functiebeschrijving (zie ook de Ambtenarenwet) en worden onderhouden. In de functiebeschrijving wordt minimaal aandacht besteed aan: <ul> <li>uitvoering van het informatiebeveiligingsbeleid</li> <li>bescherming van bedrijfsmiddelen</li> <li>rapportage van beveiligingsincidenten</li> </ul>""", ), Verifier( identifier="08.01.01/02", title="", text= "Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun " "verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk " "vastgestelde en voor hen geldende regelingen en instructies ten aanzien van " "informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, " "worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige " "voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de " "toegankelijkheid van geldende regelingen en instructies.", ), Verifier( identifier="08.01.01/03", title="", text= "Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging " "dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de " "aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.", ), Verifier( identifier="08.01.01/04", title="", text= "De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse " "verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers " "bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.", ), ], ), Norm( identifier="08.01.02", title="Screening", text= "Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en " "externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en " "ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de " "informatie waartoe toegang wordt verleend, en de waargenomen risico's.", fragments=[ Verifier( identifier="08.01.02/01", title="", text= "Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een relevante " "Verklaring Omtrent het Gedrag (VOG) vereist. Indien het een vertrouwensfunctie betreft " "wordt ook een veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd.", ), Verifier( identifier="08.01.02/02", title="", text= "Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt over zijn " "arbeidsverleden en scholing geverifieerd.", ), ], ), Norm( identifier="08.01.03", title="Arbeidsvoorwaarden", text= "Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe " "gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin " "hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging behoren " "te zijn vastgelegd.", fragments=[ Verifier( identifier="08.01.03/01", title="", text="- conform norm -", ), ], ), ], )
S0501 = Section( identifier="05.01", title="Aansturing door de directie van de informatiebeveiliging", text= "Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in " "overeenstemming met bedrijfseisen en relevante wet- en regelgeving.", fragments=[ Norm( identifier="05.01.01", title="Beleidsregels voor informatiebeveiliging", text="Ten behoeve van informatiebeveiliging behoort een reeks " "beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd " "aan medewerkers en relevante externe partijen.", bbn=1, fragments=[ Verifier( identifier="05.01.01/01", title="", text= "Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is " "vastgesteld door de leiding van de organisatie en bevat tenminste de in het artikel 3 " "van het VIR genoemde punten.", bbn=1, ), ], ), Norm( identifier="05.01.02", title="Beoordeling van het informatiebeveiligingsbeleid", text="Het beleid voor informatiebeveiliging behoort " "met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om " "te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.", bbn=1, fragments=[ Verifier( identifier="05.01.02/01", title="", text= "Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of bij " "belangrijke wijzigingen als gevolg van reorganisatie of verandering in de " "verantwoordelijkheidsverdeling, beoordeeld en zo nodig bijgesteld (VIR, artikel 3).", bbn=1, ), ], ), ], )
S0901 = Section( identifier="09.01", title="Bedrijfseisen voor toegangsbeveiliging", text= "Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.", fragments=[ Norm( identifier="09.01.01", title="Beleid voor toegangsbeveiliging", text= "Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op " "basis van bedrijfs- en informatiebeveiligingseisen.", bbn=1, fragments=[ Verifier( identifier="09.01.01/01", title="", text="- conform norm -", bbn=1, ) ], ), Norm( identifier="09.01.02", title="Toegang tot netwerken en netwerkdiensten", text= "Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij " "specifiek bevoegd zijn.", bbn=1, fragments=[ Verifier( identifier="09.01.02/01", title="", text= "Alleen geauthenticeerde apparatuur kan toegang krijgen tot een vertrouwde zone.", bbn=1, ), Verifier( identifier="09.01.02/02", title="", text= "Gebruikers met eigen of ongeauthenticeerde apparatuur (Bring Your Own Device) krijgen " "alleen toegang tot een onvertrouwde zone.", bbn=1, ), ], ), ], )
S1301 = Section( identifier="13.01", title="Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken", fragments=[ Norm( identifier="13.01.01", title="Rapportage van informatiebeveiligingsgebeurtenissen", text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus " "te worden gerapporteerd.", fragments=[ Verifier( identifier="13.01.01/01", title="", text="Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, " "in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de " "handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport " "van een beveiligingsincident.", ), Verifier( identifier="13.01.01/02", title="", text="Er is een contactpersoon aangewezen voor het rapporteren van beveiligingsincidenten. " "Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in " "ontvangst neemt.", ), Verifier( identifier="13.01.01/03", title="", text="Vermissing of diefstal van apparatuur of media die gegevens van de Rijksdienst kunnen " "bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.", ), Verifier( identifier="13.01.01/04", title="", text="Informatie over de beveiligingsrelevante handelingen van de gebruiker wordt regelmatig " "nagekeken. De BVA bekijkt maandelijks een samenvatting van de informatie.", ), ], ), Norm( identifier="13.01.02", title="Rapportage van zwakke plekken in de beveiliging", text="Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en -diensten " "behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of " "diensten registreren en rapporteren.", fragments=[ Verifier( identifier="13.01.02/01", title="", text="Er is een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de " "beveiliging te melden.", ), ], ), ], )
S1001 = Section( identifier="10.01", title="Bedieningsprocedures en verantwoordelijkheden", fragments=[ Norm( identifier="10.01.01", title="Gedocumenteerde bedieningsprocedures", text="Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te " "worden gesteld aan alle gebruikers die deze nodig hebben.", fragments=[ Verifier( identifier="10.01.01/01", title="", text="Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-uppen en " "herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en " "speciale maatregelen voor beveiliging.", ), Verifier( identifier="10.01.01/02", title="", text="Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, " "rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.", ), ], ), Norm( identifier="10.01.02", title="Wijzigingsbeheer", text="Wijzigingen in IT voorzieningen en informatiesystemen behoren te worden beheerst.", fragments=[ Verifier( identifier="10.01.02/01", title="", text="""In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: <ul> <li>het administreren van significante wijzigingen</li> <li>impactanalyse van mogelijke gevolgen van de wijzigingen</li> <li>goedkeuringsprocedure voor wijzigingen</li> </ul>""", ), Verifier( identifier="10.01.02/02", title="", text="Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak " "tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen " "gecontroleerd.", ), ], ), Norm( identifier="10.01.03", title="Functiescheiding", text="Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde " "of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.", fragments=[ Verifier( identifier="10.01.03/01", title="", text="Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele " "cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met " "het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie " "schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.", ), Verifier( identifier="10.01.03/02", title="", text="Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerswerkzaamheden " "worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen " "wanneer ingelogd als gebruiker.", ), Verifier( identifier="10.01.03/03", title="", text="Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke " "informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon " "geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden.", ), Verifier( identifier="10.01.03/04", title="", text="Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende " "informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke " "(beheerders)rol.", ), ], ), Norm( identifier="10.01.04", title="Scheiding van faciliteiten voor ontwikkeling, testen en productie", text="Faciliteiten voor ontwikkeling, testen en productie behoren te zijn gescheiden om het risico van " "onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen.", fragments=[ Verifier( identifier="10.01.04/01", title="", text="Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en " "Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en " "applicaties in andere zones niet.", ), Verifier( identifier="10.01.04/02", title="", text="Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en " "Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar " "zijn in welk systeem gewerkt wordt.", ), Verifier( identifier="10.01.04/03", title="", text="Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de " "productieomgeving.", ), ], ), ], )
S0701 = Section( identifier="07.01", title="Voorafgaand aan het dienstverband", text="Doelstelling: waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt " "zijn voor de rollen waarvoor zij in aanmerking komen.", fragments=[ Norm( identifier="07.01.01", title="Screening", text="Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te " "worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen " "en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe " "toegang wordt verleend en de vastgestelde risico's te zijn.", bbn=1, fragments=[ Verifier( identifier="07.01.01/01", title="", text="Bij indiensttreding overleggen alle medewerkers (intern en extern) een specifiek voor de " "functie verstrekte Verklaring Omtrent het Gedrag (VOG).", bbn=1, ), ], ), Norm( identifier="07.01.02", title="Arbeidsvoorwaarden", text="De contractuele overeenkomst met medewerkers en contractanten behoort hun " "verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.", bbn=1, fragments=[ Verifier( identifier="07.01.02/01", title="", text="Alle medewerkers (intern en extern) zijn bij hun aanstelling of functiewisseling gewezen " "op hun verantwoordelijkheden ten aanzien van informatiebeveiliging. De voor hen geldende " "regelingen en instructies ten aanzien van informatiebeveiliging zijn eenvoudig " "toegankelijk.", bbn=1, ), ], ), ], )
S0501 = Section( identifier="05.01", title="Informatiebeveiligingsbeleid", fragments=[ Norm( identifier="05.01.01", title="Beleidsdocumenten voor informatiebeveiliging", text= "Een document met informatiebeveiligingsbeleid behoort door de directie " "te worden goedgekeurd en gepubliceerd en kenbaar te worden gemaakt aan " "alle werknemers en relevante externe partijen.", fragments=[ Verifier( identifier="05.01.01/01", title="", text= "Er is beleid voor informatiebeveiliging door het lijnmanagement vastgesteld, " "gepubliceerd en beoordeeld op basis van inzicht in risico's, kritische bedrijfsprocessen " "en toewijzing van verantwoordelijkheden en prioriteiten.", ), ], ), Norm( identifier="05.01.02", title="Beoordeling van het informatiebeveiligingsbeleid", text= "Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, of " "zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te " "bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.", fragments=[ Verifier( identifier="05.01.02/01", title="", text= "Het informatiebeveiligingsbeleid wordt minimaal een keer per drie jaar, of " "zodra zich belangrijke wijzigingen voordoen, beoordeeld en zonodig bijgesteld.", ), ], ), ], )
S1201 = Section( identifier="12.01", title="Bedieningsprocedures en verantwoordelijkheden", text="Doelstelling: Correcte en veilige bediening van informatie-verwerkende faciliteiten waarborgen.", fragments=[ Norm( identifier="12.01.01", title="Gedocumenteerde bedieningsprocedures", text="Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle " "gebruikers die ze nodig hebben.", bbn=1, fragments=[ Verifier( identifier="12.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="12.01.02", title="Wijzigingsbeheer", text="Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen " "die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.", bbn=1, fragments=[ Verifier( identifier="12.01.02/01", title="", text="In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: " "<ol style='list-style-type: lower-alpha;'>" "<li>het administreren van wijzigingen;</li>" "<li>risicoafweging van mogelijke gevolgen van de wijzigingen;</li>" "<li>goedkeuringsprocedure voor wijzigingen.</li>" "</ol>", bbn=1, ), ], ), Norm( identifier="12.01.03", title="Capaciteitsbeheer", text="Het gebruik van middelen behoort te worden gemonitord en afgestemd, en er behoren verwachtingen te " "worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.", bbn=1, fragments=[ Verifier( identifier="12.01.03/01", title="", text="In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke " "aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden " "(bijv. DDoS attacks, Distributed Denial of Service) " "te signaleren en hierop te reageren.", bbn=1, ), ], ), Norm( identifier="12.01.04", title="Scheiding van ontwikkel-, test- en productieomgevingen", text="Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde " "toegang tot of veranderingen aan de productieomgeving te verlagen.", bbn=1, fragments=[ Verifier( identifier="12.01.04/01", title="", text="In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de " "proceseigenaar en schriftelijke vastlegging hiervan, kan hierop worden afgeweken.", bbn=2, ), Verifier( identifier="12.01.04/02", title="", text="Wijzigingen op de productieomgeving worden altijd getest voordat zij in productie " "gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar en " "schriftelijke vastlegging hiervan, kan hierop worden afgeweken.", bbn=2, ), ], ), ], )
S0601 = Section( identifier="06.01", title="Interne organisatie", text="Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging " "binnen de organisatie te initiëren en te beheersen.", fragments=[ Norm( identifier="06.01.01", title="Rollen en verantwoordelijkheden bij informatiebeveiliging", text="Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.", bbn=1, fragments=[ Verifier( identifier="06.01.01/01", title="", text="De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn " "op het gebied van informatiebeveiliging binnen haar organisatie.", bbn=1, ), Verifier( identifier="06.01.01/02", title="", text="De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd " "op relevante voorschriften en wetten, zoals het VIR, VIR-BI, BVR en AVG.", bbn=1, ), Verifier( identifier="06.01.01/03", title="", text="De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn " "in een CISO-functieprofiel vastgelegd.", bbn=1, ), Verifier( identifier="06.01.01/04", title="", text="Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel.", bbn=1, ), ], ), Norm( identifier="06.01.02", title="Scheiding van taken", text="Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om " "de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie " "te verminderen.", bbn=1, fragments=[ Verifier( identifier="06.01.02/01", title="", text="Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot " "bedrijfsmiddelen waarnemen of voorkomen.", bbn=1, ), ], ), Norm( identifier="06.01.03", title="Contact met overheidsinstanties", text="Er behoren passende contacten met relevante overheidsinstanties " "te worden onderhouden.", bbn=2, fragments=[ Verifier( identifier="06.01.03/01", title="", text="Er is door de organisatie uitgewerkt wie met welke (overheids)instanties en " "toezichthouders contact heeft ten aanzien van informatiebeveiligingsaangelegenheden " "(vergunningen/incidenten/calamiteiten) en welke eisen voor deze aangelegenheden relevant " "zijn.", bbn=2, ), Verifier( identifier="06.01.03/02", title="", text="Het contactoverzicht wordt jaarlijks geactualiseerd.", bbn=2, ), ], ), Norm( identifier="06.01.04", title=" ", text="(Vervallen)", fragments=[ ], ), Norm( identifier="06.01.05", title="Informatiebeveiliging in projectbeheer", text="Informatiebeveiliging behoort aan de orde te komen in " "projectbeheer, ongeacht het soort project.", bbn=2, fragments=[ Verifier( identifier="06.01.05/01", title="", text="- conform norm -", bbn=2, ), ], ), ], )
CH13S01 = Section( identifier="13.01", title="Beheer van netwerkbeveiliging", text= "Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende " "faciliteiten waarborgen.", fragments=[ Norm( identifier="13.01.01", title="Beheersmaatregelen voor netwerken", text= "Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te " "beschermen.", bbn=1, fragments=[ Verifier( identifier="13.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="13.01.02", title="Beveiliging van netwerkdiensten", text= "Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren " "te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt " "zowel voor diensten die intern worden geleverd als voor uitbestede diensten.", bbn=1, fragments=[ Verifier( identifier="13.01.02/01", title="", text= "Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt / geanalyseerd op " "kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn " "voor implementatie van detectie-oplossingen), zoals het " "Nationaal Detectie Netwerk (alleen voor rijksoverheidsorganisaties) of GDI, " "die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van " "de te beschermen gegevens en informatiesystemen.", bbn=2, ), Verifier( identifier="13.01.02/02", title="", text= "Bij ontdekte nieuwe dreigingen vanuit 13.01.02/01 worden deze, rekening houdend met " "de geldende juridische kaders, " "verplicht " "gedeeld binnen de overheid, waaronder met het " "NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT, " "bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).", bbn=2, ), Verifier( identifier="13.01.02/03", title="", text= "Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten " "het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor " "het NBV een positief inzetadvies heeft afgegeven.", bbn=2, ), ], ), Norm( identifier="13.01.03", title="Scheiding in netwerken", text= "Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden.", bbn=1, fragments=[ Verifier( identifier="13.01.03/01", title="", text= "Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.", bbn=2, ), ], ), ], )
S1801 = Section( identifier="18.01", title="Naleving van wetelijke en contractuele eisen", text= "Doelstelling: Voorkomen van schendingen van wetelijke, statutaire, regelgevende of contractuele " "verplichtingen betrefende informatiebeveiliging en beveiligingseisen.", fragments=[ Norm( identifier="18.01.01", title= "Vaststellen van toepasselijke wetgeving en contractuele eisen", text= "Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de " "organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie " "expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.", bbn=1, fragments=[ Verifier( identifier="18.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="18.01.02", title="Intellectuele-eigendomsrechten", text= "Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met " "intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren " "passende procedures te worden geïmplementeerd.", bbn=1, fragments=[ Verifier( identifier="18.01.02/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="18.01.03", title="Beschermen van registraties", text= "Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen " "te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde " "vrijgave.", bbn=2, fragments=[ Verifier( identifier="18.01.03/01", title="", text= "De proceseigenaar heeft per soort informatie inzichtelijk gemaakt wat de bewaartermijn is.", bbn=2, ), ], ), Norm( identifier="18.01.04", title="Privacy en bescherming van persoonsgegevens", text= "Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden " "gewaarborgd in overeenstemming met relevante wet- en regelgeving.", bbn=1, fragments=[ Verifier( identifier="18.01.04/01", title="", text= "In overeenstemming met de AVG heeft iedere organisatie een Functionaris Gegevensbescherming " "(FG) met voldoende mandaat om zijn/haar functie uit te voeren.", bbn=1, ), Verifier( identifier="18.01.04/02", title="", text= "Organisaties controleren regelmatig de naleving van de privacy regels en " "informatieverwerking en ?procedures binnen haar verantwoordelijkheidsgebied aan de hand van " "de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.", bbn=2, ), ], ), Norm( identifier="18.01.05", title= "Voorschriften voor het gebruik van cryptografische beheersmaatregelen", text= "Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle " "relevante overeenkomsten, wet- en regelgeving.", bbn=1, fragments=[ Verifier( identifier="18.01.05/01", title="", text= "Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de " "pas-toe-of-leg-uit lijst van het forum standaardisatie.", bbn=1, ), ], ), ], )
S1401 = Section( identifier="14.01", title="Beveiligingseisen voor informatiesystemen", text= "Doelstelling: Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de " "gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via " "openbare netwerken.", fragments=[ Norm( identifier="14.01.01", title="Analyse en specificatie van informatiebeveiligingseisen", text= "De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor " "nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.", bbn=1, fragments=[ Verifier( identifier="14.01.01/01", title="", text= "Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet " "conform het Voorschrift Informatiebeveiliging Rijksdienst artikel 4 een expliciete " "risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, " "uitgaande van de BIR.", bbn=1, ), ], ), Norm( identifier="14.01.02", title="Toepassingen op openbare netwerken beveiligen", text="Informatie die deel uitmaakt van uitvoeringsdiensten " "en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze " "activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.", bbn=1, fragments=[ Verifier( identifier="14.01.02/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="14.01.03", title="Transacties van toepassingen beschermen", text= "Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter " "voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, " "onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.", bbn=1, fragments=[ Verifier( identifier="14.01.03/01", title="", text="- conform norm -", bbn=1, ), ], ), ], )
S0701 = Section( identifier="07.01", title="Verantwoordelijkheid voor bedrijfsmiddelen", fragments=[ Norm( identifier="07.01.01", title="Inventarisatie van bedrijfsmiddelen", text= "Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van " "alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.", fragments=[ Verifier( identifier="07.01.01/01", title="", text= "Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang " "vertegenwoordigen zoals informatie(verzamelingen), software, hardware, diensten, mensen en " "hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste " "beschermingsniveau en de verantwoordelijke lijnmanager bekend.", ), ], ), Norm( identifier="07.01.02", title="Eigendom van bedrijfsmiddelen", text= "Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen behoren een eigenaar " "te hebben in de vorm van een aangewezen deel van de organisatie.", fragments=[ Verifier( identifier="07.01.02/01", title="", text= "Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit is een " "verantwoordelijke lijnmanager benoemd.", ), ], ), Norm( identifier="07.01.03", title="Aanvaardbaar gebruik van bedrijfsmiddelen", text= "Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar " "gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen.", fragments=[ Verifier( identifier="07.01.03/01", title="", text= "Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en " "mobiele apparatuur). Het ARAR verplicht ambtenaren zich hieraan te houden. Voor extern " "personeel is dit in het contract vastgelegd.", ), Verifier( identifier="07.01.03/02", title="", text="Gebruikers hebben kennis van de regels.", ), Verifier( identifier="07.01.03/03", title="", text= "Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming " "vooraf van de locatie worden meegenomen. De toestemming kan generiek geregeld worden in " "het kader van de functieafspraken tussen manager en medewerker.", ), Verifier( identifier="07.01.03/04", title="", text= "Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar " "kan komen voor onbevoegde personen.", ), ], ), ], )
CH10S01 = Section( identifier="10.01", title="Cryptografsche beheersmaatregelen", text= "Doelstelling: Zorgen voor correct en doeltreffend gebruik van cryptografie om de verrtrouwelijkheid, " "authenticiteit en/of integriteit van informatie te beschermen.", fragments=[ Norm( identifier="10.01.01", title= "Beleid inzake het gebruik van cryptografische beheersmaatregelen", text= "Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische " "beheersmaatregelen te worden ontwikkeld en geïmplementeerd.", bbn=2, fragments=[ Verifier( identifier="10.01.01/01", title="", text= "In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:" "<ol style='list-style-type: lower-alpha;'>" "<li>wanneer cryptografie ingezet wordt;</li>" "<li>wie verantwoordelijk is voor de implementatie;</li>" "<li>wie verantwoordelijk is voor het sleutelbeheer;</li>" "<li>welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het " "forum standaardisatie worden toegepast;</li>" "<li>de wijze waarop het beschermingsniveau vastgesteld wordt;</li>" "<li>bij inter-organisatie communicatie wordt het beleid onderling vastgesteld.</li>" "</ol>", bbn=2, ), Verifier( identifier="10.01.01/02", title="", text= "Crypografische toepassingen voldoen aan passende standaarden.", bbn=2, ), ], ), Norm( identifier="10.01.02", title="Sleutelbeheer", text= "Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels " "behoort tijdens hun gehele levenscyclus een beleid te worden ontwikkeld en geïmplementeerd.", bbn=1, fragments=[ Verifier( identifier="10.01.02/01", title="", text= "Ingeval van PKI-overheid certificaten: hanteer de PKI-Overheid-eisen t.a.v. het " "sleutelbeheer.<br/>" "In overige situaties: hanteer de standaard ISO-11770 voor het beheer van " "cryptografische sleutels.", bbn=2, ), Verifier( identifier="10.01.02/02", title="", text= "Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier " "als uit risicoafweging blijkt dat deze noodzakelijk zijn.", bbn=2, ), ], ), ], )
S1701 = Section( identifier="17.01", title="Informatiebeveiligingscontinuïteit", text= "Doelstelling: Informatiebeveiligingscontinuïteit behoort te worden ingebed in de systemen van het " "bedrijfscontinuïteitsbeheer van de organisatie.", fragments=[ Norm( identifier="17.01.01", title="Informatiebeveiligingscontinuïteit plannen", text= "De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het " "informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vast te " "stellen.", bbn=1, fragments=[ Verifier( identifier="17.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="17.01.02", title="Informatiebeveiligingscontinuïteit implementeren", text= "De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te " "documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor " "informatiebeveiliging tijdens een ongunstige situatie te waarborgen.", bbn=1, fragments=[ Verifier( identifier="17.01.02/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="17.01.03", title= "Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren", text= "De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en " "geïmplementeerde beheersmaatregelen regelmatig te verifiëren om te waarborgen dat ze " "deugdelijk en doeltreffend zijn tijdens ongunstige situaties.", bbn=1, fragments=[ Verifier( identifier="17.01.03/01", title="", text= "Continuïteitsplannen worden jaarlijks getest op geldigheid en bruikbaarheid.", bbn=2, ), Verifier( identifier="17.01.03/02", title="", text= "Door het uitvoeren van een expliciete risicoafweging worden de bedrijfskritische " "procesonderdelen met hun bijbehorende betrouwbaarheidseisen geïdentificeerd.", bbn=2, ), Verifier( identifier="17.01.03/03", title="", text= "De dienstverlening van de bedrijfskritische onderdelen wordt bij calamiteiten minimaal " "binnen een week hersteld.", bbn=2, ), ], ), ], )
S0901 = Section( identifier="09.01", title="Beveiligde ruimten", fragments=[ Norm( identifier="09.01.01", title="Fysieke beveiliging van de omgeving", text= "Er behoren toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een " "bemande receptie) te worden aangebracht om ruimten te beschermen waar zich informatie en " "ICT-voorzieningen bevinden.", fragments=[ Verifier( identifier="09.01.01/01", title="", text= "Voor iedere locatie is een beveiligingsplan opgesteld op basis van een risicoafweging.", ), Verifier( identifier="09.01.01/02", title="", text= "Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen " "bepaald.", ), Verifier( identifier="09.01.01/03", title="", text= "Gebouwen bieden voldoende weerstand (bepaald op basis van een risicoafweging) bij " "gewelddadige aanvallen zoals inbraak en IT-gericht vandalisme.", ), Verifier( identifier="09.01.01/04", title="", text= "Er is 24-uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld aan alarmcentrale is " "het minimum.", ), Verifier( identifier="09.01.01/05", title="", text= "Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij voldoen aan de wettelijke " "eisen gesteld in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus. Deze " "verificatie wordt minimaal jaarlijks herhaald.", ), Verifier( identifier="09.01.01/06", title="", text= "In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan " "wordt een registratie bijhouden.", ), ], ), Norm( identifier="09.01.02", title="Fysieke toegangsbeveiliging", text= "Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te " "bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.", fragments=[ Verifier( identifier="09.01.02/01", title="", text= "Toegang tot gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe.", ), Verifier( identifier="09.01.02/02", title="", text= "De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht conform het Kader " "Rijkstoegangsbeleid.", ), Verifier( identifier="09.01.02/03", title="", text= "In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan " "wordt een registratie bijhouden.", ), Verifier( identifier="09.01.02/04", title="", text= "De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd " "op de zonering.", ), Verifier( identifier="09.01.02/05", title="", text= "De uitgifte van toegangsmiddelen wordt geregistreerd.", ), Verifier( identifier="09.01.02/06", title="", text= "Niet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd opbergmiddel.", ), Verifier( identifier="09.01.02/07", title="", text= "Apparatuur en bekabeling in kabelverdeelruimtes en patchruimtes voldoen aan dezelfde eisen " "t.a.v. toegangbeveiliging zoals die worden gesteld aan computerruimtes.", ), Verifier( identifier="09.01.02/08", title="", text= "Er vindt minimaal één keer per half jaar een periodieke controle/evaluatie plaats op de " "autorisaties voor fysieke toegang.", ), ], ), Norm( identifier="09.01.03", title="Beveiliging van kantoren, ruimten en faciliteiten", text= "Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en " "toegepast.", fragments=[ Verifier( identifier="09.01.03/01", title="", text= "Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten " "worden beveiligd opgeslagen.", ), Verifier( identifier="09.01.03/02", title="", text= "Er is actief beheer van sloten en kluizen met procedures voor wijziging van combinaties " "door middel van een sleutelplan. Ten behoeve van opslag van gerubriceerde informatie.", ), Verifier( identifier="09.01.03/03", title="", text= "Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in " "lijn met geldende best practices.", ), ], ), Norm( identifier="09.01.04", title="Bescherming tegen bedreigingen van buitenaf", text= "Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, " "oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en " "toegepast.", fragments=[ Verifier( identifier="09.01.04/01", title="", text= "Bij maatregelen is rekening gehouden met specifieke bedreigingen van aangrenzende panden " "of terreinen.", ), Verifier( identifier="09.01.04/02", title="", text= "Reserve apparatuur en back-ups zijn op een zodanige afstand ondergebracht dat één en " "dezelfde calamiteit er niet voor kan zorgen dat zowel de hoofdlocatie als de " "back-up/reserve locatie niet meer toegankelijk zijn.", ), Verifier( identifier="09.01.04/03", title="", text= "Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt zijn voldoende " "beveiligd tegen wateroverlast.", ), Verifier( identifier="09.01.04/04", title="", text= "Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen waarbij rekening wordt " "gehouden met de kans op en de gevolgen van natuurrampen en door mensen veroorzaakte rampen.", ), Verifier( identifier="09.01.04/05", title="", text= "Gevaarlijke of brandbare materialen zijn op een zodanige afstand van een beveiligde ruimte " "opgeslagen dat een calamiteit met deze materialen geen invloed heeft op de beveiligde " "ruimte.", ), Verifier( identifier="09.01.04/06", title="", text= "Er is door de brandweer goedgekeurde en voor de situatie geschikte brandblusapparatuur " "geplaatst en aangesloten. Dit wordt jaarlijks gecontroleerd.", ), ], ), Norm( identifier="09.01.05", title="Werken in beveiligde ruimten", text= "Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden " "ontworpen en toegepast.", fragments=[ Verifier( identifier="09.01.05/01", title="", text= "Medewerkers die zelf niet geautoriseerd zijn mogen alleen onder begeleiding van bevoegd " "personeel en als er een duidelijke noodzaak voor is toegang krijgen tot fysiek beveiligde " "ruimten waarin IT voorzieningen zijn geplaatst of waarin met vertrouwelijke informatie " "wordt gewerkt.", ), Verifier( identifier="09.01.05/02", title="", text= "Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen personen bevinden " "zijn afgesloten en worden regelmatig gecontroleerd.", ), Verifier( identifier="09.01.05/03", title="", text= "Zonder expliciete toestemming mogen binnen beveiligde ruimten geen opnames (foto, video of " "geluid) worden gemaakt.", ), ], ), Norm( identifier="09.01.06", title="Openbare toegang en gebieden voor laden en lossen", text= "Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein " "kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van " "IT-voorzieningen, om onbevoegde toegang te voorkomen.", fragments=[ Verifier( identifier="09.01.06/01", title="", text= "Er bestaat een procedure voor het omgaan met verdachte pakketten en brieven in postkamers " "en laad- en losruimten.", ), ], ), ], )
S1201 = Section( identifier="12.01", title="Beveiligingseisen voor informatiesystemen", fragments=[ Norm( identifier="12.01.01", title="Analyse en specificatie van beveiligingseisen", text= "In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen " "behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.", fragments=[ Verifier( identifier="12.01.01/01", title="", text= "In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen " "als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties " "meegenomen.", ), Verifier( identifier="12.01.01/02", title="", text= "In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt " "structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt " "gemaakt van bestaande richtlijnen (bijv. secure coding guidelines).", ), Verifier( identifier="12.01.01/03", title="", text= "Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is " "van de specificatie.", ), Verifier( identifier="12.01.01/04", title="", text= "Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product " "verantwoord onderbouwd.", ), Verifier( identifier="12.01.01/05", title="", text= "Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan " "geaccepteerde beveiligingscriteria zoals NBV-goedkeuring of certificering volgens " "ISO/IEC 15408 (common criteria).", ), ], ), ], )