Norm( identifier="08.01.01", title="Rollen en verantwoordelijkheden", text= "De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten " "aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid " "voor informatiebeveiliging van de organisatie.", fragments=[ Verifier( identifier="08.01.01/01", title="", text= """De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de functiebeschrijving (zie ook de Ambtenarenwet) en worden onderhouden. In de functiebeschrijving wordt minimaal aandacht besteed aan: <ul> <li>uitvoering van het informatiebeveiligingsbeleid</li> <li>bescherming van bedrijfsmiddelen</li> <li>rapportage van beveiligingsincidenten</li> </ul>""", ), Verifier( identifier="08.01.01/02", title="", text= "Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun " "verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk " "vastgestelde en voor hen geldende regelingen en instructies ten aanzien van " "informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, " "worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige " "voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de " "toegankelijkheid van geldende regelingen en instructies.", ), Verifier( identifier="08.01.01/03", title="", text= "Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging " "dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de " "aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.", ), Verifier( identifier="08.01.01/04", title="", text= "De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse " "verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers " "bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.", ), ], ),
identifier="05.01", title="Aansturing door de directie van de informatiebeveiliging", text= "Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in " "overeenstemming met bedrijfseisen en relevante wet- en regelgeving.", fragments=[ Norm( identifier="05.01.01", title="Beleidsregels voor informatiebeveiliging", text="Ten behoeve van informatiebeveiliging behoort een reeks " "beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd " "aan medewerkers en relevante externe partijen.", bbn=1, fragments=[ Verifier( identifier="05.01.01/01", title="", text= "Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is " "vastgesteld door de leiding van de organisatie en bevat tenminste de in het artikel 3 " "van het VIR genoemde punten.", bbn=1, ), ], ), Norm( identifier="05.01.02", title="Beoordeling van het informatiebeveiligingsbeleid", text="Het beleid voor informatiebeveiliging behoort " "met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om " "te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.",
Norm( identifier="13.01.01", title="Rapportage van informatiebeveiligingsgebeurtenissen", text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus " "te worden gerapporteerd.", fragments=[ Verifier( identifier="13.01.01/01", title="", text="Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, " "in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de " "handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport " "van een beveiligingsincident.", ), Verifier( identifier="13.01.01/02", title="", text="Er is een contactpersoon aangewezen voor het rapporteren van beveiligingsincidenten. " "Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in " "ontvangst neemt.", ), Verifier( identifier="13.01.01/03", title="", text="Vermissing of diefstal van apparatuur of media die gegevens van de Rijksdienst kunnen " "bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.", ), Verifier( identifier="13.01.01/04", title="", text="Informatie over de beveiligingsrelevante handelingen van de gebruiker wordt regelmatig " "nagekeken. De BVA bekijkt maandelijks een samenvatting van de informatie.", ), ], ),
from domain.norm_document.model import Chapter, Section, Norm, Verifier S0901 = Section( identifier="09.01", title="Bedrijfseisen voor toegangsbeveiliging", text= "Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.", fragments=[ Norm( identifier="09.01.01", title="Beleid voor toegangsbeveiliging", text= "Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op " "basis van bedrijfs- en informatiebeveiligingseisen.", bbn=1, fragments=[ Verifier( identifier="09.01.01/01", title="", text="- conform norm -", bbn=1, ) ], ), Norm( identifier="09.01.02", title="Toegang tot netwerken en netwerkdiensten", text= "Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij " "specifiek bevoegd zijn.", bbn=1, fragments=[
S1301 = Section( identifier="13.01", title="Beheer van netwerkbeveiliging", text= "Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende " "faciliteiten waarborgen.", fragments=[ Norm( identifier="13.01.01", title="Beheersmaatregelen voor netwerken", text= "Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te " "beschermen.", bbn=1, fragments=[ Verifier( identifier="13.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="13.01.02", title="Beveiliging van netwerkdiensten", text= "Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren " "te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt " "zowel voor diensten die intern worden geleverd als voor uitbestede diensten.", bbn=1,
S1001 = Section( identifier="10.01", title="Bedieningsprocedures en verantwoordelijkheden", fragments=[ Norm( identifier="10.01.01", title="Gedocumenteerde bedieningsprocedures", text="Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te " "worden gesteld aan alle gebruikers die deze nodig hebben.", fragments=[ Verifier( identifier="10.01.01/01", title="", text="Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-uppen en " "herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en " "speciale maatregelen voor beveiliging.", ), Verifier( identifier="10.01.01/02", title="", text="Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, " "rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.", ), ], ), Norm( identifier="10.01.02", title="Wijzigingsbeheer", text="Wijzigingen in IT voorzieningen en informatiesystemen behoren te worden beheerst.", fragments=[
Norm( identifier="06.01.01", title="Rollen en verantwoordelijkheden bij informatiebeveiliging", text= "Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.", bbn=1, fragments=[ Verifier( identifier="06.01.01/01", title="", text= "De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn " "op het gebied van informatiebeveiliging binnen haar organisatie.", bbn=1, ), Verifier( identifier="06.01.01/02", title="", text= "De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd " "op relevante voorschriften en wetten.", bbn=1, ), Verifier( identifier="06.01.01/03", title="", text= "De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn " "in een CISO-functieprofiel vastgelegd.", bbn=1, ), Verifier( identifier="06.01.01/04", title="", text= "Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel.", bbn=1, ), ], ),
S0801 = Section( identifier="08.01", title="Verantwoordelijkheid voor bedrijfsmiddelen", text= "Doelstelling: Bedrijfsmiddelen van de organisatie identifceren en passende verantwoordelijkheden " "ter bescherming definiëren.", fragments=[ Norm( identifier="08.01.01", title="Inventariseren van bedrijfsmiddelen", text="Informatie, andere bedrijfsmiddelen die samenhangen met " "informatie en informatieverwerkende faciliteiten behoren te worden geïdentificeerd, en van deze " "bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.", bbn=1, fragments=[ Verifier( identifier="08.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="08.01.02", title="Eigendom van bedrijfsmiddelen", text= "Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, " "behoren een eigenaar te hebben.", bbn=1, fragments=[
Norm( identifier="12.01.01", title="Analyse en specificatie van beveiligingseisen", text= "In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen " "behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.", fragments=[ Verifier( identifier="12.01.01/01", title="", text= "In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen " "als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties " "meegenomen.", ), Verifier( identifier="12.01.01/02", title="", text= "In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt " "structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt " "gemaakt van bestaande richtlijnen (bijv. secure coding guidelines).", ), Verifier( identifier="12.01.01/03", title="", text= "Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is " "van de specificatie.", ), Verifier( identifier="12.01.01/04", title="", text= "Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product " "verantwoord onderbouwd.", ), Verifier( identifier="12.01.01/05", title="", text= "Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan " "geaccepteerde beveiligingscriteria zoals NBV-goedkeuring of certificering volgens " "ISO/IEC 15408 (common criteria).", ), ], ),
CH18S01 = Section( identifier="18.01", title="Naleving van wetelijke en contractuele eisen", text= "Doelstelling: Voorkomen van schendingen van wetelijke, statutaire, regelgevende of contractuele " "verplichtingen betrefende informatiebeveiliging en beveiligingseisen.", fragments=[ Norm( identifier="18.01.01", title= "Vaststellen van toepasselijke wetgeving en contractuele eisen", text= "Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de " "organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie " "expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.", bbn=1, fragments=[ Verifier( identifier="18.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="18.01.02", title="Intellectuele-eigendomsrechten", text= "Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met " "intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren " "passende procedures te worden geïmplementeerd.",
CH16S01 = Section( identifier="16.01", title="Beheer van informatiebeveiligings-incidenten en -verbeteringen", text="Doelstelling: Een consistente en doeltrefende aanpak bewerkstel-ligen van het beheer van " "informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke " "plekken in de beveiliging.", fragments=[ Norm( identifier="16.01.01", title="Verantwoordelijkheden en procedures", text="Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, " "doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.", bbn=1, fragments=[ Verifier( identifier="16.01.01/01", title="", text="- conform norm -", bbn=1, ), ], ), Norm( identifier="16.01.02", title="Rapportage van informatiebeveiligingsgebeurtenissen", text="Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus " "te worden gerapporteerd.", bbn=1, fragments=[