Information

Code voor Informatiebeveiliging

  • Status document

  • Datum controle

  • Controle uitgevoerd door

5. Beveiligingsbeleid

5.1 Beveiligingsbeleid

  • 1. Is er beleid voor informatiebeveiliging door het lijnmanagement vastgesteld, gepubliceerd en beoordeeld op basis van inzicht in risico's, kritische bedrijfsprocessen en toewijzing van verantwoordelijkheden en prioriteiten?

  • Toelichting: Een beleidsdocument voor informatiebeveiliging moet worden goedgekeurd door het management en bekend worden gemaakt aan de werknemers. In het document moet staan hoe de organisatie om wil gaan met informatiebeveiliging. In het document dienen een aantal zaken aanwezig te zijn: een definitie van de term informatiebeveiliging; toelichting op de intenties van het management met betrekking tot informatiebeveiliging; een toelichting op de beveiliging op gebied van beleidsmaatregelen, principes, normen en nalevingseisen; een omschrijving van de algemene en specifieke verantwoordelijkheden voor het management van informatiebeveiliging; een verwijzing naar documentatie die het beleid kan ondersteunen.

  • In hoeverre is deze vraag binnen uw organisatie van kracht?

  • 2. Vindt er periodiek een beoordeling en evaluatie plaats van het informatiebeveiligingsbeleid?

  • Toelichting: Er moet een eigenaar van het beleid zijn, die verantwoordelijk is voor de handhaving en evaluatie ervan. Er moeten periodieke evaluaties plaats vinden naar: de effectiviteit van het beleid; de kosten en het effect van de maatregelen op de efficiency van de organisatie; het effect van veranderingen in de technologie.

  • In hoeverre is deze vraag binnen uw organisatie van kracht?

  • 3. Wordt naar aanleiding van incidenten het informatiebeveiligingsbeleid aangepast?

  • Toelichting: in geval van structureel voorkomende incidenten dient het beleid tussentijds te worden aangast.

  • In hoeverre is deze vraag binnen uw organisatie van kracht?

6. Organisatie van Informatiebeveiliging

6.1 Interne organisatie

  • 1. Ondersteunt de directie actief de beveiliging binnen uw organisatie door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen?

  • Toelichting: De directie behoort onder andere te waarborgen dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de eisen van de organisatie en zijn geïntegreerd in de relevante processen; het informatiebeveiligingsbeleid te formuleren, te beoordelen en goed te keuren; de doelmatigheid van de implementatie van het informatie beveiligingsbeleid te beoordelen; en zorgen voor een heldere koers en zichtbare ondersteuning voor beveiligingsinitiatieven.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is er een multidisciplinair forum aanwezig bestaande uit managers van alle bedrijfsonderdelen, die de implementatie van maatregelen voor informatiebeveiliging coördineert?

  • Toelichting: Een managementforum met vertegenwoordigers uit alle betrokken onderdelen van de organisatie moet zich bezig te houden met de coördinatie van de implementatie van de maatregelen voor informatiebeveiliging.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn de verantwoordelijkheden voor informatiebeveiliging duidelijk gedefinieerd?

  • Toelichting: Er moeten verantwoordelijkheden worden gedefinieerd voor het uitvoeren van informatiebeveiliging.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Is er een formeel goedkeuringsproces vastgesteld voor de installatie van nieuwe ICT voorzieningen?

  • Toelichting: Bij het autorisatieproces voor IT-voorzieningen moet rekening worden gehouden met: goedkeuring van nieuwe voorzieningen door het management van gebruikersafdelingen; controle van hardware en software op compatibiliteit met andere systeemcomponenten; autorisatie van het gebruik van persoonlijke IT-voorzieningen; beoordeling van de kwetsbaarheden van het gebruik van persoonlijke IT-voorzieningen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Zijn er eisen van vertrouwelijkheid of is er een geheimhoudingsovereenkomst (die betrekking heeft op de bescherming van informatie van de organisatie) vastgesteld en wordt deze regelmatig beoordeeld?

  • Toelichting: Indien er niet genoeg specialistisch advies aanwezig is binnen een organisatie op gebied van informatiebeveiliging, kan er een interne beveiligingsadviseur aangenomen worden. Aangezien niet alle organisaties hiervoor kiezen kan er ook iemand worden aangewezen die de kennis en ervaring binnen de organisatie coördineert. Deze medewerker moet contact kunnen maken met externe adviseurs indien de beveiligingsvraagstukken verder strekken dan de eigen ervaring.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Heeft de beveiligingsadviseur of contactpersoon voor informatiebeveiliging contacten met andere beveiligingsadviseurs uit bedrijfsleven of overheid?

  • Toelichting: Er moet contact zijn met instanties voor wetshandhaving, regelgevende instanties, leveranciers van informatiediensten en telecommunicatiebedrijven, zodat er in geval van een incident snel actie kan worden ondernomen en advies kan worden ingewonnen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 7. Worden er geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties onderhouden?

  • Toelichting: Het lidmaatschap van bepaalde belangengroeperingen of forums behoort te worden beschouwd als een middel om onder andere kennis te vergroten van beproefde werkwijzen ('best practice') en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging en te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging volledig actueel en compleet zijn.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 8. Is de benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoel-stellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) onafhankelijk en wordt deze met geplande tussenpozen beoordeeld, (of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging)?

  • Toelichting: De onafhankelijke beoordeling zou moeten worden geïnitieerd door de directie. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. In de beoordeling behoren de mogelijkheden voor verbetering en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak, waaronder het beleid en de beheersdoelstellingen, te worden meegenomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 9. Beschikt uw organisatie over een gecertificeerde informatiebeveiligingsfunctionaris of beveiligingsadviseur?

  • Toelichting: Uw organisatie dient te beschikken over een gecertificeerde informatiebeveiligingsfunctionaris.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

6.2 Externe partijen

  • 1. Worden de risico's geanalyseerd die ontstaan doordat externe gebruikers fysieke en/of logische toegang hebben tot informatieverwerkende voorzieningen?

  • Toelichting: Bij het identificeren van risico's van toegang door derden moet rekening worden gehouden met: de soort toegang (fysiek of logisch); de redenen voor toegang; de passende maatregelen; aanwezigheid van leveranciers op locatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn beveiligingseisen gespecificeerd in contracten met klanten die betrekking hebben op de toegang tot de informatie of bedrijfsmiddelen van de organisatie?

  • Toelichting: Bij het aangaan van contacten met klanten moet rekening worden gehouden met een groot aantal punten. De relevantie van deze punten is afhankelijk van de aard van de dienst die door de klant wordt geleverd. Zie voor een opsomming van deze punten paragraaf 6.2.2 van de Code voor Informatiebeveiliging.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn beveiligingseisen gespecificeerd in contracten met derden die betrekking hebben op de toegang tot de informatieverwerkende voorzieningen van de organisatie?

  • Toelichting: in contracten met externe partijen is vastgesteld hoe men dient om te gaan met wijzigingen en hoe er voor gezorgd wordt dat de beveiliging niet wordt aangepast door de wijzigingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

7. Beheer van bedrijfsmiddelen

7.1 verantwoording voor bedrijfsmiddelen

  • 1. Is een actueel overzicht aanwezig van alle belangrijke bedrijfsmiddelen die worden gebruikt voor de informatievoorziening?

  • Toelichting: Bij het overzicht van bedrijfsmiddelen kan onderscheid worden gemaakt naar de volgende onderdelen: informatie; software; fysieke bedrijfsmiddelen, waaronder computerapparatuur en diensten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is er voor alle informatie en bedrijfsmiddelen die verband houden met IT-voorzieningen een eigenaar gedefinieerd in de vorm van een aangewezen deel van de organisatie?

  • Toelichting: De eigenaar van het bedrijfsmiddel behoort verantwoordelijk te zijn voor het waarborgen dat informatie en bedrijfsmiddelen die verband houden met IT-voorzieningen op de juiste wijze worden geclassificeerd; en het definiëren en periodiek beoordelen van de toegangsbeperkingen en classificaties, daarbij rekening houdend met het van toepassing zijnde beleid voor toegangscontrole.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn er regels vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met IT-voorzieningen?

  • Toelichting: Er behoren specifieke regels of richtlijnen te worden verstrekt door het desbetreffende management. Werknemers, ingehuurd personeel en externe gebruikers die gebruikmaken van of toegang hebben tot de bedrijfsmiddelen van de organisatie behoren zich bewust te zijn van de grenzen die bestaan voor hun gebruik van de informatie en bedrijfsmiddelen die te maken hebben met IT-voorzieningen en hulpmiddelen. Zij behoren verantwoordelijk te zijn voor hun gebruik van informatievoorzieningen en voor elk gebruik uitgevoerd onder hun verantwoordelijkheid.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Beschikt uw organisatie over een of meer eigen (informatie)systemen of IT voorzieningen waarbij uw organisatie zelf verantwoordelijk is voor het onderhoud en beheer?

  • Toelichting: organisaties maken gebruik van hardware en systemen van het SSC-i. Mogelijk heeft u daarnaast nog eigen systemen waarbij u zelf verantwoordelijk ben voor het beheer en onderhoud. Met name in de hoofdstukken 10 en 11 worden u specifieke vragen gesteld over hoe u dient om te gaan met opslag, beheer en onderhoud.
    Heeft u geen eigen systemen dan hoeft u deze specifieke vragen in hoofdstuk 10 en 11 niet te beantwoorden.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

7.2 Classificatie van informatie

  • 1. Maakt de organisatie gebruik van beveiligingsclassificaties voor kritische en gevoelige informatie, teneinde het vereiste beveiligingsniveau te kunnen aangeven?

  • Toelichting: Classificatie van gegevensverzamelingen en programmatuur moet consistent zijn met de behoefte van de organisatie. Vertrouwelijkheid, integriteit en beschikbaarheid moeten in de overweging worden betrokken. Uit de classificatie kan een eventuele behoefte aan aanvullende beveiligingsmaatregelen worden afgeleid.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn procedures vastgesteld voor het labelen en verwerken van informatie, overeenkomstig het gebruikte classificatiesysteem?

  • Toelichting: Per classificatiecategorie moeten verwerkingsprocedures zijn opgesteld voor de volgende activiteiten: kopiëren; opslag; verzending per post, fax en e-mail; overdracht door middel van het gesproken woord; vernietiging.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

8. Beveiliging van personeel

8.1 Voorafgaand aan het dienstverband

  • 1. Zijn de rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie?

  • Toelichting: Onder 'beveiligingstaken' worden de regels en verantwoordelijkheden zoals vastgelegd in beveiligingsbeleid verstaan. Het betreft hier zowel algemene verantwoordelijkheden voor de implementatie van het beveiligingsbeleid als ook specifieke verantwoordelijkheden die samenhangen met de uitvoering van de functie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden sollicitanten naar een functie waarbij men toegang heeft tot gevoelige informatie, gescreend alvorens zij worden aangenomen?

  • Toelichting: Onder screening wordt verstaan: beschikbaarheid van positieve referenties; controle van het curriculum vitae; bevestiging van opleidingskwalificaties; onafhankelijke identiteitscontrole; controle van kredietwaardigheid (als het een bijzonder gevoelige functie betreft).

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Dienen werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging zijn vastgelegd?

  • Toelichting: De organisatie behoort te waarborgen dat werknemers, ingehuurd personeel en externe gebruikers instemmen met de voorwaarden voor informatiebeveiliging die passend zijn voor de aard en de mate van toegang die zij zullen hebben tot de bedrijfsmiddelen van de organisatie die verband houden met informatiesystemen en -diensten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

8.2 Tijdens het dienstverband

  • 1. Wordt van werknemers, ingehuurd personeel en externe gebruikers wordt geëist dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie?

  • Toelichting: Indien werknemers, ingehuurd personeel en externe gebruikers niet in kennis zijn gesteld van hun beveiligingsverantwoordelijkheden, kunnen ze een organisatie aanzienlijke schade berokkenen. Gemotiveerd personeel is naar verwachting betrouwbaarder en zal minder informatiebeveiligingsincidenten veroorzaken.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Krijgen alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, geschikte training en regelmatige bijscholing met betrekking tot beleid en procedures van de organisatie?

  • Toelichting: De bewustmakingstraining behoort te starten met een formeel introductieprogramma dat is ontworpen om het beveiligingsbeleid en de verwachtingen van de organisatie hierover te behandelen, voordat toegang tot informatie of diensten wordt verleend. Voortgezette training behoort de beveiligingseisen, wettelijke plichten en bedrijfsbeheersmaatregelen te behandelen, evenals training in het correcte gebruik van de IT-voorzieningen, bijvoorbeeld de inlogprocedure, gebruik van programmatuur en informatie over de disciplinaire maatregelen (zie 8.2.3).

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Is er een formeel disciplinair proces vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd?

  • Toelichting: Het disciplinaire proces behoort niet te worden gestart zonder voorafgaande verificatie dat zich een inbreuk op de beveiliging heeft voorgedaan (zie ook 13.2.3 voor het verzamelen van bewijsmateriaal).
    Het formele disciplinaire proces behoort te waarborgen dat werknemers die worden verdacht van inbreuk op de beveiliging een correcte en eerlijke behandeling krijgen. Het formele disciplinaire proces behoort te voorzien in een getrapte aanpak die rekening houdt met factoren als aard en ernst van de inbreuk en de gevolgen ervan voor de organisatie, of het de eerste overtreding is of een herhaalde inbreuk, of degene die inbreuk heeft gepleegd correct was getraind, waar nodig met relevante wetgeving, zakelijke contracten en met andere factoren, Bij ernstige gevallen van inbreuk behoort het proces te voorzien in onmiddellijke schorsing, ontnemen van toegangsrechten en speciale bevoegdheden, en indien nodig het onmiddellijk verwijderen uit de locatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

8.3 Beëindiging of wijziging van dienstverband

  • 1. Zijn de verantwoordelijkheden voor beëindiging of wijziging van het dienstverband duidelijk vastgesteld en toegewezen?

  • Toelichting: In de communicatie over de verantwoordelijkheid voor beëindiging behoren courante beveiligingseisen en wettelijke plichten te zijn opgenomen en waar van toepassing ook dat de verantwoordelijkheden vastgelegd in een geheimhoudingsovereenkomst (zie 6.1.5) en de arbeidsvoorwaarden (zie 8.1.3) nog gedurende een bepaalde termijn na beëindiging van het dienstverband van de werknemer, ingehuurde medewerker of externe gebruiker van kracht blijven.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is er een procedure die waarborgt dat alle werknemers, ingehuurd personeel en externe gebruikers alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben retourneren bij beëindiging van hun dienst-verband, contract of overeenkomst?

  • Toelichting: In het beëindigingproces behoort formeel te worden vastgelegd dat alle eerder verstrekte programmatuur, bedrijfsdocumenten en apparatuur wordt teruggegeven. Andere bedrijfsmiddelen zoals draagbare computerapparatuur, creditcards, toegangs-kaarten, programmatuur, handboeken en informatie opgeslagen op elektronische media moeten ook worden teruggegeven.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Worden de toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT voorzieningen geblokkeerd bij beëindiging van het dienstverband?

  • Toelichting: Bij beëindiging van dienstverband behoren de toegangsrechten van een persoon tot de bedrijfsmiddelen die verband houden met informatiesystemen en diensten te worden beoordeeld. Hieruit zal blijken of het nodig is om de toegangsrechten in te trekken. Verandering van dienstverband behoort te worden weerspiegeld in het intrekken van toegangsrechten die niet zijn goedgekeurd voor het nieuwe dienstverband. Tot de toegangsrechten die behoren te worden ingetrokken of aangepast behoren fysieke en logische toegang, sleutels, legitimatiebewijzen, IT-voorzieningen, abonnementen en het verwijderen van alle documentatie die hen identificeert als een huidig lid van de organisatie. Indien een vertrekkende werknemer, ingehuurde medewerker of externe gebruiker bekende wachtwoorden heeft voor accounts die actief blijven, behoren deze te worden gewijzigd bij beëindiging of wijziging van dienstverband, contract of overeenkomst.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

9. Fysieke beveiliging en omgevingsbeveiliging

9.1 Beveiligde ruimtes

  • 1. Maakt de organisatie onderscheid naar verschillende beveiligingsniveaus om gebieden die IT-voorzieningen bevatten te beschermen?

  • Toelichting: Classificatie van ruimten houdt in dat aan iedere ruimte een niveau van beveiliging is toegewezen. Deze classificatie vereenvoudigt het treffen van adequate beveiligingsmaatregelen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden beveiligde zones beschermd door een adequate toegangsbeveiliging, zodat alleen geautoriseerd personeel toegang heeft?

  • Toelichting: Hierbij kan worden gedacht aan: begeleiding van bezoekers in beveiligde zones; autorisatie en validatie van fysieke toegang met behulp van authenticatiemaatregelen, zoals toegangspasjes; zichtbaar dragen van identificaties door het personeel; regelmatige controle van fysieke toegangsrechten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Wordt bij de keuze en het ontwerp van een beveiligde zone rekening gehouden met de mogelijkheid van schade door fysieke bedreigingen, zoals brand, wateroverlast, explosie en dergelijke?

  • Toelichting: De volgende maatregelen moeten worden overwogen: plaatsing van belangrijke voorzieningen in niet publiek toegankelijke gebieden; geen aanduidingen van kritische activiteiten; opstellen van ondersteunende apparatuur (fax, e.d.) in beveiligde zones; afsluiten en beveiligen van deuren en ramen; installatie van anti-inbraaksystemen; fysiek scheiden van apparatuur in eigen beheer en in beheer van derden; beveiligen van adresboeken en interne telefoongidsen; opslag van brandbaar materiaal op afstand van de beveiligde zone; externe opslag van reservemateriaal (back-ups, apparatuur, media e.d.).

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Is er fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten ontworpen en toegepast?

  • Toelichting: Bedoeld worden maatregelen als: het voorkomen dat onnodig informatie wordt verstrekt over de aard van de activiteiten; het voorkomen dat zonder toezicht wordt gewerkt; fysiek afsluiten van leegstaande beveiligde ruimten; beperkte toegang door personeel van externe ondersteunende diensten; verbod op fotografische, video-, audio- of andere opnameapparatuur.Bedoeld worden maatregelen als: het voorkomen dat onnodig informatie wordt verstrekt over de aard van de activiteiten; het voorkomen dat zonder toezicht wordt gewerkt; fysiek afsluiten van leegstaande beveiligde ruimten; beperkte toegang door personeel van externe ondersteunende diensten; verbod op fotografische, video-, audio- of andere opnameapparatuur.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Zijn additionele richtlijnen en maatregelen aanwezig om de beveiliging van beveiligde ruimten te kunnen waarborgen?

  • Toelichting: Bedoeld worden maatregelen als: het voorkomen dat onnodig informatie wordt verstrekt over de aard van de activiteiten; het voorkomen dat zonder toezicht wordt gewerkt; fysiek afsluiten van leegstaande beveiligde ruimten; beperkte toegang door personeel van externe ondersteunende diensten; verbod op fotografische, video-, audio- of andere opnameapparatuur.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Zijn laad- en losruimten afgezonderd van de IT-voorzieningen om toegang door ongeautoriseerde personen te voorkomen?

  • Toelichting: Hierbij moet het volgende worden overwogen: Alleen geautoriseerd personeel dient van buitenaf toegang te hebben tot voorraadruimten; Voorraadruimten dienen zo ontworpen te zijn dat men niet zomaar andere delen van het gebouw kan betreden; De buitendeur dient gesloten te zijn wanneer de binnendeur opengaat; Er dient controle plaats te vinden op binnenkomende materialen; Registratie van binnenkomende materialen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

9.2 Beveiliging van apparatuur

  • 1. Wordt apparatuur zodanig geplaatst en beveiligd dat de risico's van schade, storing en ongeautoriseerd gebruik minimaal zijn?<br>

  • Toelichting: Hieronder wordt verstaan: plaatsing op een afgezonderde plek; beperking van de kans op toevallige waarneming van gevoelige gegevens; isolatie van apparatuur die speciale beveiliging nodig heeft; aandacht voor specifieke risico's, waaronder diefstal, brand, rook, water, stof, trillingen, chemische reactie, interferentie met de elektriciteitsvoorziening en elektromagnetische straling; rookverbod en verbod tot gebruik van etenswaren in kritische ruimten; controle van de omgeving op negatieve invloeden voor IT-apparatuur; gebruik van beschermende middelen in een industriële omgeving; controle op de potentiële gevolgen van een calamiteit in de directe omgeving van de organisatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is apparatuur beveiligd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen?

  • Toelichting: Alle nutsvoorzieningen zoals elektricteits- en watervoorziening, riolering, verwarming /ventilatie en airconditioning behoren berekend te zijn op de systemen die ze ondersteunen. Nutsvoorzieningen behoren regelmatig te worden geïnspecteerd en waar nodig getest om hun goede werking te waarborgen en om enig risico op defect of uitval te verminderen. Er behoort een geschikte elektrische voeding aanwezig te zijn die voldoet aan de specificaties van de leverancier van de apparatuur.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Is de bekabeling voor dataverkeer en voor ondersteunende informatiediensten beschermd tegen interceptie of beschadiging?

  • Toelichting: Ter beperking van het risico van beschadiging van kabels, van aftappen of verminking van het berichtenverkeer kunnen de volgende maatregelen worden getroffen: ondergrondse of anderszins beschermde aanleg; gebruik van afgesloten goten of ruimten; voorkoming van interferentie door scheiding van netsnoeren en communicatielabels; toepassing van maatregelen, zoals alternatieve routes of transportmedia, gebruik van glasvezelkabels, etc.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Wordt alle apparatuur op correcte wijze onderhouden?

  • Toelichting: Bij onderhoud van IT-apparatuur moet aandacht worden besteed aan: de voorschriften van de leverancier, uitvoering van onderhoud door geautoriseerd personeel, registratie van storingen en het treffen van passende maatregelen wanneer apparatuur het bedrijfsterrein verlaat voor onderhoud.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Gelden beveiligingsprocedures en beveiligingsmaatregelen ook voor apparatuur die buiten het terrein van de organisatie wordt gebruikt?

  • Toelichting: Bij gebruik van apparatuur buiten de locatie van de organisatie moet aandacht worden besteed aan: toezicht tijdens vervoer; in acht nemen van de instructies van de fabrikant; maatregelen voor thuiswerken; afsluiten van een passende verzekering.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Wordt apparatuur gecontroleerd op de aanwezigheid van opgeslagen gegevens en in licentie gebruikte software, voordat de apparatuur wordt afgevoerd?

  • Toelichting: Bij afvoer van apparatuur moet aandacht worden besteed aan het op een juiste en volledige wijze verwijderen van gegevens en in licentie gebruikte software, opgeslagen op vaste schijven en andere media die een onderdeel vormen van de af te voeren apparatuur.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 7. Zijn er procedures die waarborgen dat apparatuur, informatie en programmatuur van de organisatie niet zonder toestemming vooraf van de locatie worden meegenomen?

  • Toelichting: De volgende richtlijnen behoren te worden overwogen.
    a) Apparatuur, informatie en programmatuur behoren niet zonder toestemming buiten de locatie te worden meegenomen.
    b) Werknemers, ingehuurd personeel en externe gebruikers die de bevoegdheid hebben om verwijdering van bedrijfsmiddelen buiten de locatie goed te keuren, behoren duidelijk te zijn vastgesteld.
    c) Er behoren tijdslimieten te worden gesteld aan het uithuizig zijn van apparatuur en bij inlevering behoort te worden gecontroleerd op naleving daarvan.
    d) Waar nodig en passend behoort te worden geregistreerd dat apparatuur de locatie verlaat en wanneerdeze weer wordt teruggebracht.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10. Communicatie- en bedieningsprocessen

10.1 Bedieningsprocessen en verantwoordelijkheden

  • 1. Zijn schriftelijke procedures opgesteld voor de bediening van alle IT-voorzieningen?

  • Toelichting: Deze procedures moeten onder andere instructies bevatten voor: de verwerking en behandeling van informatie; de planning; afhandeling van fouten en andere uitzonderlijke situaties; contactpersonen voor ondersteuning bij storingen e.d.; de behandeling van computeroutput; opstarten en herstel van systemen bij storingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn formele procedures aanwezig met betrekking tot de controle op wijzigingen in IT-voorzieningen en informatiesystemen?

  • Toelichting: Richtlijnen en procedures voor het beheer van wijzigingen in IT-voorzieningen en informatiesystemen moeten aandacht besteden aan: het identificeren en registeren van wijzigingen; het bepalen van de mogelijke gevolgen van wijzigingen; een formele goedkeuringsprocedure voor voorgestelde wijzigingen; voorlichting aan alle betrokkenen;het afbreken en herstellen van niet geslaagde wijzigingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn taken en verantwoordelijkheidsgebieden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen?

  • Toelichting: Functiescheiding is een manier om het risico van onopzettelijk of opzettelijk misbruik van systemen te verminderen. Er behoort op te worden gelet dat geen enkele persoon toegang kan krijgen tot bedrijfsmiddelen of ze kan wijzigen of gebruiken zonder autorisatie of detectie. Het initiëren van een activiteit behoort te worden gescheiden van de autorisatie ervan. Bij het ontwerpen van beheersmaatregelen behoort de mogelijkheid van collusie te worden overwogen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn de voorzieningen voor het ontwikkelen en testen van systemen gescheiden van operationele systemen?

  • Toelichting: De voorzieningen voor het ontwikkelen en testen van systemen moeten worden gescheiden van operationele systemen. Dit is wenselijk om het risico te verkleinen van onbedoelde wijzigingen in of ongeautoriseerde toegang tot operationele software en zakelijke gegevens.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.2 Beheer van de dienstverlening door een derde partij

  • 1. Zijn er procedures dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden bijgehouden door die derde partij?

  • Toelichting: De overeengekomen beveiligingsafspraken, dienstverleningsdefinities en andere aspecten van dienstenbeheer behoren onder de dienstverlening door een derde partij te vallen. In geval van een uitbestedingsovereenkomst behoort de organisatie de vereiste overdracht te plannen (van informatie, ITvoorzieningen en al het andere dat moeten worden overgedragen), en te waarborgen dat de beveiliging wordt gehandhaafd tijdens de hele overdrachtstermijn.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden de diensten, rapporten en registraties die door de derde partij worden geleverd, regelmatig gecontroleerd en beoordeeld?

  • Toelichting: Controle en beoordeling van dienstverlening door derden behoort te waarborgen dat de voorwaarden van de overeenkomsten voor de informatiebeveiliging worden nageleefd en dat informatiebeveiligingsincidenten en problemen goed worden afgehandeld.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Worden wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en -processen en met heroverweging van risico's?

  • Toelichting: Het proces voor het beheer van wijzigingen in een dienst verleend door een derde partij behoort rekening te houden met:
    a) implementeren van wijzigingen die door de organisatie worden aangedragen;
    b) implementeren van wijzigingen in de diensten van een derde partij.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.3 Systeemplanning en -acceptatie

  • 1. Worden de capaciteitseisen gemonitored en wordt een prognose gemaakt van toekomstige eisen, teneinde storingen ten gevolge van een gebrek aan capaciteit te voorkomen?

  • Toelichting: Storingen door een gebrek aan capaciteit moeten voorkomen worden door een betere capaciteitsplanning.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden acceptatie criteria gedefinieerd, besproken, gedocumenteerd en getest alvorens nieuwe informatiesystemen te accepteren?

  • Toelichting: Richtlijnen en procedures voor de acceptatie van computersystemen moeten aandacht besteden aan:
    eisen ten aanzien van prestatievermogen en capaciteit; procedures voor foutherstel, herstarten en continuïteitsplannen; voorbereiden en testen van bedieningsprocedures; implementatie van de overeengekomen beveiligingsmaatregelen; effectieve handmatige procedures; aanwezigheid van continuïteitsplannen; beïnvloeding door het nieuwe systeem van bestaande systemen; beïnvloeding door het nieuwe systeem van de totale beveiliging van de organisatie; opleiding van personeel voor bediening en gebruik.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.4 Bescherming tegen virussen en 'mobile code'

  • 1. Zijn maatregelen ingevoerd voor de preventie en detectie van virussen?

  • Toelichting: Bescherming tegen virussen behoort te zijn gebaseerd op het ontdekken van virussen en op herstelprogrammatuur, op een goed beveiligingsbewustzijn, toegangsbeveiliging van systemen en controle van wijzigingsbeheer. Onder andere de volgende richtlijnen behoren te worden overwogen:
    a) vastleggen van een formeel beleid dat het gebruik van ongeautoriseerde programmatuur verbiedt
    b) vastleggen van een formeel beleid ter bescherming tegen de risico's verbonden aan het verkrijgen van bestanden en programmatuur vanuit of via externe netwerken of via enig ander medium, dat aangeeft welke beschermende maatregelen behoren te worden getroffen;
    c) regelmatige beoordeling van de programmatuur en de inhoud van de gegevens van systemen waarmee kritieke bedrijfsprocessen worden ondersteund; de aanwezigheid van niet-goedgekeurde bestanden of ongeautoriseerde wijzigingen behoort formeel te worden onderzocht.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn er waarborgen dat als gebruik van 'mobile code' is toegelaten, de configuratie bewerkstelligt dat de geautoriseerde 'mobile code' functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en wordt voorkomen dat onbevoegde 'mobile code' wordt uitgevoerd?

  • Toelichting: 'Mobile code' is programmatuur die kan worden overgedragen van de ene naar de andere computer en dan automatisch wordt uitgevoerd en een specifieke functie verricht zonder of met weinig tussenkomst van de gebruiker. 'Mobile code' werkt samen met een aantal 'middleware'-diensten. Behalve te waarborgen dat 'mobile code' geen virussen bevat is beheersing van 'mobile code' essentieel om onbevoegd gebruik of verstoring van systeem-, netwerk- of toepassingbronnen of andere inbreuken op de informatiebeveiliging te voorkomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.5 Backup

  • 1. Worden regelmatig reservekopieën gemaakt van essentiële zakelijke informatie en software?

  • Toelichting: Reservekopieën moeten regelmatig worden gemaakt van essentiële zakelijke informatie en software. Eén versie van deze reservekopieën moet op een externe en beveiligde locatie worden opgeslagen. Reservekopieën en de ruimten waarin deze worden opgeslagen moeten fysiek worden beveiligd. Bij het maken van reservekopieën moet rekening worden gehouden met de wettelijke bewaartermijn van gegevens. De reservekopieën en de gebruikte herstelprocedures moeten regelmatig worden getest.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.6 Beheer van netwerkbeveiliging

  • 1. Zijn adequate maatregelen getroffen voor de beveiliging van gegevens in netwerken en de bescherming van de aangesloten diensten tegen ongeautoriseerde toegang?

  • Toelichting: Er moet met name met de volgende punten rekening worden gehouden: scheiding van het beheer van netwerken en computers; vaststellen van verantwoordelijkheden en procedures voor beheer op afstand; maatregelen voor de waarborging van de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken worden verzonden; nauwkeurige coördinatie van het beheer van IT-voorzieningen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten?

  • Toelichting: De kundigheid van de leverancier van netwerkdiensten om overeengekomen diensten op een veilige manier te beheren behoort te worden bepaald en regelmatig gecontroleerd, en het recht op audit behoort te worden overeengekomen. De beveiligingsprocedures die voor bepaalde diensten nodig zijn, zoals beveiligingskenmerken, dienstverleningsniveaus en eisen voor beheer, behoren te worden vastgesteld. De organisatie behoort te waarborgen dat de leveranciers van netwerk-diensten deze maatregelen implementeren.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.7 Behandeling van media

  • 1. Zijn procedures opgesteld voor het beheer van verwijderbare computermedia zoals banden, schijven, cassettes en afgedrukte rapporten?

  • Toelichting: Beheer van gegevensdragers omvat onder meer het opstellen van procedures voor het beheer en de gecontroleerde verspreiding van gegevens en maatregelen voor de opslag en de afvoer van media.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden media op een veilige manier afgevoerd wanneer zij niet langer nodig zijn?

  • Toelichting: Bij afvoer van media moet aandacht worden besteed aan: verwijdering of vernietiging van gevoelige informatie voor afvoer van de media;opstellen van een lijst van relevante media, zoals testgegevens en systeemdocumentatie; toepassen van één methode voor gevoelige en niet-gevoelige media; gebruik van een gecertificeerd bedrijf; registratie van de activiteiten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn procedures opgesteld voor de behandeling en opslag van informatie ter bescherming tegen ongeoorloofde openbaarmaking of misbruik?

  • Toelichting: Er worden hier procedures bedoeld voor het labelen van media, toegangsbeperking, overzicht van geautoriseerde personen, verificatie van invoer, verwerking en uitvoer, etc.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Is systeemdocumentatie beveiligd tegen ongeautoriseerde toegang?

  • Toelichting: Deze maatregelen hebben betrekking op de bewaring van systeemdocumentatie, beperking van de personen die toegang hebben tot deze informatie en de beveiliging van elektronisch opgeslagen systeemdocumentatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.8 Uitwisseling van informatie

  • 1. Zijn er formeel beleid, formele procedures en formele beheersmaatregelen vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen?

  • Toelichting: Er kan informatieuitwisseling plaatsvinden via diverse communicatievoorzieningen, waaronder e-mail, telefoon, fax en video. Uitwisseling van programmatuur kan via verschillende media plaatsvinden, waaronder downloaden van het internet en verkrijgen van leveranciers die standaardproducten verkopen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn in overeenkomsten met andere organisaties beveiligingsmaatregelen met betrekking tot het uitwisselen van informatie en software opgenomen?

  • Toelichting: Er moet duidelijk worden gesteld hoe gevoelig bepaalde informatie is die wordt uitgewisseld met ander organisaties. Hierover dienen onderling afspraken gemaakt te worden.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn maatregelen genomen ter beveiliging van computermedia tijdens vervoer tegen onbevoegde toegang, misbruik of verlies?

  • Toelichting: Hierbij kan worden gedacht aan het gebruik van betrouwbare koeriersdiensten, adequate verpakking en speciale maatregelen ter voorkoming van openbaarmaking, zoals persoonlijke aflevering.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn speciale maatregelen getroffen ter beveiliging van elektronische berichtenuitwisseling?

  • Toelichting: De overwegingen voor het elektronische berichtenverkeer behoren onder meer te zijn:
    a) beschermen van berichten tegen toegang door onbevoegden, wijziging of weigeren van dienst;
    b) waarborgen van correcte adressering en transport van het bericht;
    c) volledige betrouwbaarheid en beschikbaarheid van de dienst;

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Is/zijn er beleid en procedures ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie?

  • Toelichting: Er behoort o.a. rekening te worden gehouden met de gevolgen van het onderling op elkaar aansluiten van dergelijke voorzieningen voor de organisatie en de beveiliging, waaronder:
    a) bekende kwetsbaarheden in administratie- en boekhoudsystemen waar informatie wordt gedeeld tussen verschillende delen van de organisatie;
    b) kwetsbaarheden van informatie in bedrijfscommunicatiesystemen, bijvoorbeeld het opnemen van telefoongesprekken of telefonische conferenties, vertrouwelijkheid van telefoongesprekken, opslaan van faxen, openen van post, verspreiden van post;
    c) beleid en geschikte beheersmaatregelen om gezamenlijk gebruik van informatie te beheren.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.9 Diensten voor e-commerce

  • 1. Wordt informatie die een rol speelt bij e-commerce en die via openbare netwerken wordt uitgewisseld, beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie?

  • Toelichting: Voor de beveiliging van elektronische handel behoren onder meer de volgende beheersmaatregelen te worden overwogen:
    a) de mate van betrouwbaarheid die beide partijen eisen van elkaars beweerde identiteit, bijvoorbeeld door middel van authenticatie;
    b) autorisatieprocessen voor wie bevoegd is prijzen vast te stellen of belangrijke handelsdocumenten uit te geven of te ondertekenen;
    c) waarborgen dat de handelspartners volledig zijn geïnformeerd over hun bevoegdheden.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Wordt informatie die een rol speelt bij online transacties beschermd om onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen?

  • Toelichting: Voor beveiliging van onlinetransacties behoren onder meer de volgende beheersmaat-regelen te worden genomen:
    a) het gebruik van elektronische handtekeningen door alle partijen die bij de transactie zijn betrokken;
    b) alle aspecten van de transactie, dat wil zeggen waarborgen dat:
    1) gebruikersgegevens van alle partijen geldig en gecontroleerd zijn;
    2) de transactie vertrouwelijk blijft en
    3) de privacy van alle betrokken partijen behouden blijft.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Wordt de betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem beschermd om onbevoegde modificatie te voorkomen?

  • Toelichting: Programmatuur, gegevens en andere informatie die een hoog niveau van integriteit vereisen, en die beschikbaar worden gesteld via een openbaar toegankelijk systeem behoren door middel van geschikte mechanismen te worden beschermd, bijvoorbeeld digitale handtekeningen. Het openbaar toegankelijke systeem behoort te worden getest op zwakke plekken en storingen voordat de informatie daarop ter beschikking wordt gesteld.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

10.10 Controle

  • 1. Worden activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen vastgelegd in audit-logbestanden?

  • Toelichting: De auditlogbestanden kunnen pijnlijke en vertrouwelijke persoonlijke informatie bevatten. Daarom behoren er passende beheersmaatregelen voor bescherming van de privacy te worden genomen. Waar mogelijk behoren systeembeheerders geen toestemming te hebben om de logbestanden van hun eigen activiteiten te wissen of te deactiveren.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn er procedures vastgesteld om het gebruik van IT-voorzieningen te controleren?

  • Toelichting: Het vereiste controleniveau voor afzonderlijke voorzieningen behoort te worden bepaald aan de hand van een risicobeoordeling. Een organisatie behoort te voldoen aan alle relevante wettelijke eisen die van toepassing zijn op haar controleactiviteiten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn er maatregelen getroffen om de logfaciliteiten en informatie in logbestanden te beschermen tegen inbreuk en onbevoegde toegang?

  • Toelichting: Beheersmaatregelen behoren te zijn gericht op bescherming tegen onbevoegde wijzingen en operationele problemen met de logvoorzieningen, waaronder:
    a) wijzigingen in het soort berichten dat wordt geregistreerd;
    b) bewerken of wissen van logbestanden;
    c) vollopen van media met logbestanden, waardoor gebeurtenissen niet meer kunnen worden geregistreerd of het bestand zichzelf overschrijft.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Worden activiteiten van systeemadministrators en systeemoperators in logbestanden vastgelegd?

  • Toelichting: In de logbestanden behoren onder meer te worden vastgelegd:
    a) het tijdstip waarop een gebeurtenis (succesvol of storing) is opgetreden;
    b) informatie over de gebeurtenis (bijvoorbeeld de bestanden die zijn behandeld) of storing (bijvoorbeeld fout opgetreden en corrigerende handeling uitgevoerd);
    c) welke account en welke beheerder of operator erbij was betrokken;
    d) welke processen erbij waren betrokken.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Worden storingen in logbestanden vastgelegd en geanalyseerd?

  • Toelichting: Storingen gerapporteerd door gebruikers of door systeemprogramma's die verband houden met problemen met informatieverwerking- of communicatiesystemen behoren te worden geregistreerd. Er behoren duidelijke regels te bestaan voor het afhandelen van gerapporteerde storingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Worden de klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron?

  • Toelichting: Waar een computer of communicatie-apparatuur over een 'real-time'-klok beschikt, behoort deze te worden ingesteld volgens een overeengekomen norm, bijvoorbeeld Universal Coordinated Time (UCT) of de plaatselijke standaardtijd. Omdat van sommige klokken bekend is dat ze na verloop van tijd voor- of achterlopen, behoort er een procedure te zijn om ze regelmatig te controleren op significante afwijkingen en ze gelijk te zetten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11. Toegangsbeveiliging

11.1 Bedrijfseisen ten aanzien van toegangsbeheersing

  • 1. Is een beleid vastgesteld ten aanzien van toegangsbeveiliging waarin de zakelijke eisen en de regels voor toegangsbeveiliging zijn vastgelegd?

  • Toelichting: Elke eigenaar van een informatiesysteem moet beschikken over een geformuleerd toegangsbeleid waarin aandacht wordt besteed aan: de beveiligingseisen; regels voor toewijzing van bevoegdheden (autorisatie) en voor verspreiding van informatie; consistentie tussen het toegangsbeleid en de regels voor classificatie van informatie; naleving van contractuele en wettelijke eisen ter beveiliging van de toegang tot gegevens of diensten; gebruik van standaard profielen; beheer van toegangsrechten in een decentrale en netwerkomgeving. In de regelgeving moet aandacht worden besteed aan: differentiatie tussen regels die altijd moeten worden nageleefd en optionele regels; het vaststellen van regels op basis van "alles is verboden, tenzij het uitdrukkelijk is toegestaan";
    wijzigingen in de classificatie van informatie die automatisch worden aangemaakt door de IT-voorzieningen en die welke naar keuze van de gebruiker worden aangemaakt; wijzigingen in de toegangsrechten voor gebruikers, die automatisch door het informatiesysteem worden aangemaakt en die welke door de beheerder worden aangemaakt; regels waarbij, voor het vaststellen ervan, toestemming van de beheerder of iemand anders vereist is en regels waarvoor dit niet nodig is.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11.2 Management van toegangsrechten/autorisatiebeheer

  • 1. Zijn formele procedures opgesteld voor het registreren en afmelden van gebruikers voor toegang tot informatiesystemen en -diensten met meerdere gebruikers?

  • Toelichting: Toegang tot informatiesystemen moet worden beheerd aan de hand van formele processen voor gebruikersregistratie, waaronder: gebruik van een unieke gebruikersidentificatie (ID); controle door de systeemeigenaar of de gebruiker geautoriseerd is; controle of het autorisatieniveau past bij de zakelijk toepassing en consistent is met het beveiligingsbeleid; gebruikers een schriftelijke bevestiging van hun autorisatie geven; gebruikers verplichten een verklaring te ondertekenen; ervoor zorgen dat dienstverlenende bedrijven geen toegang krijgen tot autorisatieprocedures zijn voltooid; een formeel overzicht bijhouden van alle geautoriseerden; verwijderen van autorisaties van personen die van functie zijn veranderd of de organisatie hebben verlaten; periodieke controle op overtollige ID's; voorkomen van hernieuwde uitgifte van overtollige ID's.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden speciale bevoegdheden aan de hand van formele autorisatieprocedures verleend?

  • Toelichting: 'Speciale bevoegdheden' zijn functies of voorzieningen van IT-systemen waarmee gebruikers controles in systemen of toepassingen kunnen doorbreken.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Is er een formeel proces ingericht voor de toewijzing van wachtwoorden?

  • Toelichting: Toewijzing van wachtwoorden moet worden beheerd aan de hand van een formeel proces, waarbij rekening moet worden gehouden met de volgende punten: gebruikers moeten een verklaring ondertekenen dat zij hun persoonlijke wachtwoorden geheim houden; tijdelijke wachtwoorden moeten onmiddellijk door de gebruiker worden gewijzigd; tijdelijke wachtwoorden moeten op een veilige manier worden uitgegeven.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Worden de uitgegeven toegangsrechten van gebruikers regelmatig gecontroleerd?

  • Toelichting: Om de toegang effectief te beheersen moet het management op gezette tijden de uitgegeven toegangsrechten controleren, waarbij de volgende punten moeten worden overwogen: met regelmatige tussenpozen (bij voorkeur iedere 6 maanden) en na wijzigingen moet evaluatie van rechten plaatsvinden; voor speciale bevoegdheden moet bij voorkeur iedere drie maanden een controle plaatsvinden; de verwerving van niet-geautoriseerde speciale bevoegdheden moet worden voorkomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11.3 Verantwoordelijkheden van gebruikers

  • 1. Worden gebruikers verplicht om de beveiligingsregels ten aanzien van het kiezen en gebruiken van wachtwoorden in acht te nemen?

  • Toelichting: Richtlijnen en procedures voor het gebruik van wachtwoorden moeten aandacht besteden aan: geheimhouding van wachtwoorden; wachtwoorden niet op papier vastleggen; wijziging van wachtwoorden bij vermoeden van bekendheid; minimale lengte van zes tekens; verplichting tot regelmatig wijzigen; uitgifte van een tijdelijk wachtwoord met de verplichting tot onmiddellijke wijziging; verbod op gebruik van wachtwoorden in automatische aanlogprocedures; geen individuele wachtwoorden met andere gebruikers delen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zorgen gebruikers ervoor dat onbeheerde apparatuur voldoende is beveiligd?

  • Toelichting: Een procedure voor de beveiliging van onbeheerde apparatuur (bijvoorbeeld verlaten van de werkplek) moet aandacht besteden aan: beëindiging van actieve sessies; afmelding volgens een hiertoe opgestelde procedure in plaats van uitschakelen van apparatuur zonder afmelden; schermbeveiliging met wachtwoordcontrole en/of gebruik van fysieke sloten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Is een clear desk en clear screen policy ingevoerd?

  • Toelichting: Een clear desk policy omvat het treffen van maatregelen waardoor wordt voorkomen dat fysieke of elektronische documenten toegankelijk zijn voor ongeautoriseerde personen, met name buiten normale werktijden. Hieronder wordt onder andere verstaan: opslag van documenten en diskettes in afsluitbare kasten; uitzetten van personal computers; opruimen van bureaus; plaatsen van faxapparatuur in beveiligde ruimten; afsluiten van kopieerapparatuur buiten kantooruren; verwijderen van gevoelige informatie na afdrukken op de printer. De clear desk policy geldt voor alle kritische ruimten, werkruimten en openbare ruimten en is van toepassing op alle gegevens en bedrijfsmiddelen die bestemd zijn voor intern of extern gebruik, met uitzondering van tijdschriften, brochures en kranten. De clear desk policy is ook van toepassing op mobiele apparatuur. De clear desk policy geldt ook voor medewerkers die hun werkzaamheden buiten de gebouwen en terreinen van uw organisatie verrichten, zoals thuis of op locatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11.4 Toegangsbeveiliging voor netwerken

  • 1. Is een beleid geformuleerd ten aanzien van het gebruik van netwerken en netwerkdiensten?

  • Toelichting: In het beleid ten aanzien van het gebruik van netwerkdiensten moet aandacht worden besteed aan: de netwerken en netwerkdiensten waartoe men toegang heeft; de autorisatieprocedures; de beheersmaatregelen en -procedures voor de beveiliging van de toegang tot netwerkverbindingen en -diensten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden er geschikte authenticatiemethoden gebruikt om toegang van gebruikers op afstand te beheersen?

  • Toelichting: Authentiseren van gebruikers op afstand kan worden gerealiseerd door middel van bijvoorbeeld een cryptografische techniek, 'hardware tokens' of een challenge/response'-protocol. Mogelijke implementaties van dergelijke technieken zijn te vinden in diverse 'virtual private network' (VPN) oplossingen. Verder kunnen vaste huurlijnen worden gebruikt om zekerheid over de oorsprong van verbindingen te verkrijgen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Wordt automatische identificatie van apparatuur overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren?

  • Toelichting: Apparatuuridentificatie kan worden toegepast indien het van belang is dat communicatie alleen kan worden geïnitieerd vanuit een specifieke locatie of specifieke apparatuur. Een identificatiemiddel in of gekoppeld aan de apparatuur kan worden gebruikt om aan te geven of het is toegelaten deze apparatuur te koppelen met het netwerk. Deze identificatie-middelen behoren duidelijk aan te geven met welk netwerk deze apparatuur mag worden gekoppeld, indien meer dan een netwerk bestaat en vooral indien deze netwerken een verschillende informatiegevoeligheid hebben. Het kan nodig zijn fysieke bescherming op de apparatuur te overwegen om de bescherming van het identificatiemiddel van de apparatuur te handhaven.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn er maatregelen getroffen om de fysieke en logische toegang tot poorten voor diagnose en configuratie te beheersen?

  • Toelichting: Tot de mogelijke beheersmaatregelen voor de toegang tot diagnose- en configuratiepoorten behoort het gebruik van een toetsvergrendeling en ondersteunende procedures om de fysieke toegang tot de poort te beheersen. Een voorbeeld van zo een ondersteunende procedures is te waarborgen dat diagnose- en configuratiepoorten alleen toegankelijk zijn na overleg tussen de beheerder van de computerdienst en het ondersteunendpersoneel dat toegang tot de apparatuur of programmatuur wenst.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Zijn grote netwerken opgesplitst in afzonderlijke domeinen?

  • Toelichting: Een methode voor het beveiligen van grote netwerken is het opsplitsen in afzonderlijke domeinen die een afzonderlijke beveiligingsomgeving kennen. De toegang tussen de domeinen wordt beheerd door middel van beveiligde gateways.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Zijn maatregelen getroffen voor de beperking van de verbindingsmogelijkheden voor gebruikers teneinde de toegangsvereisten voor bepaalde bedrijfstoepassingen te ondersteunen?

  • Toelichting: Voorbeelden van toepassingen waarvoor beperkingen zouden moeten gelden zijn e-mail, bestandsoverdrachten, interactieve toegang en verder kunnen beperkingen naar tijd of datum worden opgelegd.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 7. Zijn in gemeenschappelijke netwerken beveiligingsmaatregelen voor netwerkroutering getroffen?

  • Toelichting: Beveiligingsmaatregelen voor routering moeten zijn gebaseerd op mechanismen ter verificatie van bron- en bestemmingsadressen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11.5 Toegangsbeveiliging voor besturingssystemen

  • 1. Verloopt de toegang tot informatiediensten via een veilig aanlogproces?

  • Toelichting: Het gebruik van een standaard aanlogprocedure richt zich op de beperking van ongeautoriseerde toegang. Bij het aanloggen moet zo min mogelijk informatie over de organisatie en het systeem worden gegeven. In een aanlogprocedure moet aandacht worden besteed aan: alleen afbeelding van systeem- of toepassingsidentificatie na succesvolle voltooiing van het aanlogproces; waarschuwing van beperking van de toegang voor geautoriseerde gebruikers; vermijding van hulpboodschappen; verificatie van de aanloginformatie na juiste invulling van de gegevens; verbreking van de verbinding bij mislukte pogingen; alleen verificatie van informatie na succesvolle voltooiing van de procedure; beperking van het toelaatbare aantal mislukte pogingen; beperking van minimum en maximum tijd voor aanloggen; vermelding van datum, tijd vorige succesvolle logon en aantal voorafgaande mislukte pogingen na succesvol aanloggen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn alle computeractiviteiten tot individuele gebruikers terug te voeren?

  • Toelichting: Alle gebruikers moeten een unieke gebruikersidentificatie hebben zodat activiteiten terug te voeren zijn tot de daarvoor verantwoordelijke personen. Voor uitzonderingen hierop moet schriftelijke toestemming van het management worden verkregen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Wordt gebruik gemaakt van een effectief en interactief wachtwoordmanagementsysteem?

  • Toelichting: Een goed wachtwoordsysteem bevat de volgende elementen: afdwingen van het gebruik van individuele wachtwoorden; vrije keuze van wachtwoorden door gebruikers; verplichting van kwaliteitskenmerken; verplichting tot wijziging van wachtwoorden; uitgifte van een tijdelijk wachtwoord met de verplichting tot onmiddellijke wijziging; controle op voorafgaande wachtwoorden; geen vertoon van wachtwoorden op scherm en/of output; gescheiden opslag van wachtwoorden van andere delen van toepassing systemen; versleutelde opslag van wachtwoorden; wijziging van standaard wachtwoorden van leveranciers na installatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn maatregelen getroffen voor de beheersing van het gebruik van systeemhulpmiddelen?

  • Toelichting: Beheersing van het gebruik van systeemhulpmiddelen kan worden gerealiseerd door: gebruik van authenticatieprocedures; systeemhulpmiddelen en toepassingssoftware te scheiden; beperking van het gebruik van systeemhulpmiddelen; verlenen van eenmalige autorisaties; beperking van de beschikbaarheid van systeemhulpmiddelen; vastlegging van het gebruik; het definiëren en documenteren van autorisatieniveaus; het verwijderen van onnodige hulpprogramma's en systeemsoftware.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Is voor inactieve werkstations op locaties met verhoogd risico een time-out voorziening ingesteld?

  • Toelichting: Een dergelijke time-out voorziening moet na een bepaalde periode van inactiviteit het scherm leeg maken en zowel programma- als netwerksessies afsluiten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Is de verbindingstijd voor toepassingen met een verhoogd risico beperkt?

  • Toelichting: Voor toepassingen met een verhoogd risico moet een beperkte verbindingstijd overwogen worden, om zo ongeautoriseerde toegang te voorkomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11.6 Toepassingsbeheersing voor toepassingen en informatie

  • 1. Wordt toegang tot informatie en functies verleend overeenkomstig het toegangsbeleid van de organisatie?

  • Toelichting: De gespecificeerde toegangsregels kunnen worden ondersteund door het gebruik van menustructuren, beperking van de kennis van gebruikers over toegangsmogelijkheden, beperking van toegangsrechten van gebruikers (lezen, schrijven, wissen, uitvoeren) en beperking van de uitvoer van informatiesystemen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden bepaalde gevoelige toepassingssystemen in een vast toegewezen (geïsoleerde) computeromgeving uitgevoerd?

  • Toelichting: Systemen die gevoelig zijn voor potentieel verlies hebben een speciale behandeling nodig. Hierbij kan gedacht worden aan een eigen computeromgeving.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

11.7 Draagbare computers en telewerken

  • 1. Is een formeel beleid opgesteld voor de omgang met draagbare systemen welke de risico's behandelt van het werken met draagbare computer- en communicatievoorzieningen?

  • Toelichting: Bij het gebruik van draagbare computers en communicatievoorzieningen, zoals notebooks, palmtops, laptops, smartcards en mobiele telefoons, behoren bijzondere voorzorgen te worden genomen om te waarborgen dat bedrijfsinformatie niet wordt gecompromitteerd. In het beleid voor mobiel computergebruik behoort rekening te worden gehouden met de risico's van het werken met draagbare computervoorzieningen in onbeschermde omgevingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Beschikt de organisatie over een beleid, procedures en normen voor de beheersing van activiteiten op het gebied van telewerken?

  • Toelichting: In het beleid voor telewerken moet aandacht worden besteed aan: fysieke beveiliging van de telewerklocatie; de telewerkomgeving; eisen met betrekking tot communicatiebeveiliging; de dreiging van ongeautoriseerde toegang door bijvoorbeeld familie en kennissen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

12. Verwerving, ontwikkeling en onderhoud van informatiesystemen

12.1 Beveiligingseisen voor informatiesystemen

  • 1. Wordt een analyse van de beveiligingseisen uitgevoerd tijdens het specificeren van de eisen voor een te ontwikkelen informatiesysteem?

  • Toelichting: De waarde die aan informatiebedrijfsmiddelen en de mogelijke schade als gevolg van onbrekende (of falende) beveiliging wordt gehecht dient uitgedrukt te worden in beveiligingseisen en -maatregelen die de organisatie wil handhaven.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

12.2 Correcte verwerking in toepassingen

  • 1. Worden gegevens die worden ingevoerd in toepassingssystemen gevalideerd op juistheid en geschiktheid?

  • Toelichting: Gegevens die worden ingevoerd in toepassingssystemen moeten worden gecontroleerd op juistheid en geschiktheid. De volgende maatregelen moeten worden overwogen: controles voor het opsporen van fouten, bijvoorbeeld door tweevoudige invoer; periodieke controle van de inhoud van sleutelvelden; invoerdocumenten controleren op ongeautoriseerde wijzigingen in invoergegevens; procedures voor het corrigeren van fouten bij geldigheidscontrole; procedures voor het testen van de plausibiliteit van de invoergegevens; het definiëren van de verantwoordelijkheden van allen die betrokken zijn bij het invoeren van gegevens.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn maatregelen getroffen voor de validatie van de interne gegevensverwerking?

  • Toelichting: Gegevens die correct zijn ingevoerd in toepassingssystemen, kunnen verminkt worden als gevolg van verwerkingsfouten of opzettelijke handelingen. Om dergelijke verminkingen op te sporen, kunnen geldigheidscontroles worden ingebouwd in systemen. Welke maatregelen nodig zijn, is afhankelijk van de aard van de toepassingen en de gevolgen die verminkingen van gegevens kunnen hebben voor de organisatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Wordt authenticatie van berichten toegepast voor toepassingen waarbij de bescherming van de inhoud van berichten essentieel is?

  • Toelichting: Hierbij wordt een techniek toegepast, waarbij er controle plaatsvindt op de echtheid van de inhoud van berichten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Worden controles uitgevoerd op de uitvoergegevens om te verifiëren of de verwerking van de opgeslagen gegevens juist is verlopen?

  • Toelichting: Hierbij wordt er gecontroleerd of de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en passend is gezien de omstandigheden.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

12.3 Cryptografische beveiliging

  • 1. Is een beleid aanwezig voor het gebruik van cryptografische technieken voor de beveiliging van gegevens?

  • Toelichting: In het beleid voor het gebruik van cryptografische technieken moet aandacht worden besteed aan: de houding van het management met betrekking tot cryptografie; sleutelbeheer; taken en verantwoordelijkheden met betrekking tot cryptografie; wijze van bepaling van het juiste niveau van cryptografische beveiliging; de normen voor de implementatie van cryptografie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is er sleutelbeheer vastgesteld ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie?

  • Toelichting: Hierbij wordt een cryptografische techniek gebruikt die de vertrouwelijkheid van gegevens kan waarborgen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

12.4 Beveiliging van systeembestanden

  • 1. Wordt de implementatie van software op operationele systemen nauwkeurig beheerst?

  • Toelichting: Hierbij kunnen de volgende maatregelen worden overwogen: bijwerking van operationele programmabibliotheken door de aangewezen beheerder na goedkeuring door het management; alleen uitvoerbare code op operationele systemen; testen van het systeem, acceptatie door gebruikers en bijwerking van de bibliotheken voorafgaande aan implementatie; bijhouden van een auditlogboek; bewaring van eerdere versie van software.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn maatregelen getroffen voor de beveiliging en het beheer van testgegevens?

  • Toelichting: De testgegevens moeten worden beveiligd om een getrouwe weergave te zijn van de productiegegevens. De volgende maatregelen moeten worden genomen ter beveiliging van productiegegevens, wanneer deze worden gebruikt bij het testen: de procedures voor toegangsbeveiliging dienen niet alleen voor operationele toepassingssystemen gebruikt te worden maar ook voor testsystemen; wanneer productiegegevens worden gekopieerd naar een testsysteem, moet er elke keer autorisatie worden aangevraagd; na beëindiging van tests moeten productiegegevens onmiddellijk van het testsysteem worden gewist; het kopiëren en het gebruik van productiegegevens moet worden vastgelegd om een audittrail te produceren.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Is de toegang tot broncode van programmatuur beperkt?

  • Toelichting: Toegang tot programmabroncode en daarmee verbonden zaken (zoals ontwerpen, specificaties, verificatie en validatieplannen) behoort nauwgezet te worden beheerst om het invoeren van onbevoegde functionaliteit te voorkomen en onbedoelde wijzigingen te vermijden. Dit kan voor programmabroncode worden bereikt met behulp van een beheerste centrale opslag van de code, bij voorkeur in broncodebibliotheken.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

12.5 Beveiliging ontwikkel- en ondersteuningsprocessen

  • 1. Zijn formele procedures opgesteld voor het beheer van wijzigingen in informatiesystemen?

  • Toelichting: De procedures voor het beheer van wijzigingen moeten ervoor zorgen dat: beveiligings- en controleprocedures niet in gevaar worden gebracht; ondersteunende programmeurs uitsluitend toegang hebben tot die delen van het systeem, waar toegang voor het uitvoeren van de wijziging benodigd is; formele toestemming wordt verkregen voor het uitvoeren van wijzigingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden de gevolgen voor de beveiliging van alle wijzigingen in het besturingssysteem nagegaan?

  • Toelichting: Na wijzigingen in besturingssystemen moeten de toepassingssytemen opnieuw beoordeeld worden om zo zeker te stellen dat de beveiliging niet is aangetast door die wijzigingen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Worden wijzigingen in softwarepakketten zoveel mogelijk vermeden?

  • Toelichting: Wijzingen in software moeten zoveel mogelijk worden vermeden. Indien wijzigingen onvermijdelijk zijn dient er aandacht besteed te worden aan: risico van compromittering van ingebouwde beveiligingsmaatregelen en integriteitsprocessen; toestemming van de leverancier indien noodzakelijk; indien mogelijk de wijzigingen verkrijgen van de leverancier; de impact op de organisatie;

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn er maatregelen getroffen om te voorkomen van de opname van Trojaanse paarden en geheime communicatiekanalen in informatiesystemen?

  • Toelichting: Om het risico van lekken van informatie, bijvoorbeeld via het gebruik van geheime communicatiekanalen, zo gering mogelijk te maken, behoren de volgende aspecten te worden overwogen:
    a) scannen van uitgaande media en communicatie op verborgen informatie;
    b) maskeren en moduleren van het systeem- en communicatiegedrag om de waarschijnlijkheid dat een derde partij in staat is om informatie af te leiden uit dat gedrag, te verminderen;
    c) gebruikmaken van systemen en programmatuur waaraan een hoge integriteit wordt toegeschreven, bijvoorbeeld het toepassen van geëvalueerde producten (zie ISO/IEC 15408).

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Is een beleid geformuleerd voor het uitbesteden van de ontwikkeling van programmatuur?

  • Toelichting: Bij de uitbesteding van de ontwikkeling van software moet aandacht worden besteed aan: licentieovereenkomsten en andere eigendomsrechten; certificering van de werkzaamheden en producten; zekerheidstelling bij het in gebreke blijven van de externe partij (escrow); recht op toegang voor inspectie; contractuele kwaliteitseisen; testen voor installatie.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

12.6 Beheer van technische kwetsbaarheden

  • 1. Zijn er maatregelen getroffen voor de beheersing van technische kwetsbaarheden?

  • Toelichting: Een actueel en volledig overzicht van bedrijfsmiddelen (zie 7.1) is een voorwaarde voor een doeltreffend beheer van technische kwetsbaarheid. Tot de specifieke informatie die nodig is voor de ondersteuning van beheer van technische kwetsbaarheid behoren informatie over de leverancier van programmatuur, versienummers, huidige gebruiksstatus (bijvoorbeeld welke programmatuur op welk systeem is geïnstalleerd) en de perso(o)n(en) in de organisatie verantwoordelijk voor de programmatuur.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

13. Beheer informatiebeveiligingsincidenten

13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken

  • 1. Zijn procedures vastgesteld voor het melden en afhandelen van beveiligingsincidenten?

  • Toelichting: Een 'beveiligingsincident' is een gebeurtenis die ertoe heeft geleid, dat bedrijfsmiddelen zijn beschadigd of verloren zijn gegaan, dan wel een gebeurtenis die daartoe zou kunnen leiden. Een handeling die in strijd is met de beveiligingsprocedures van de organisatie is ook een beveiligingsincident.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn gebruikers van IT-voorzieningen verplicht om alle zwakke plekken, die zij opmerken of vermoeden in de beveiliging van systemen of diensten, te noteren en te rapporteren?

  • Toelichting: Gebruikers van IT-middelen moeten waargenomen of mogelijk zwakke plekken in de beveiliging van systemen of diensten rapporteren. Rapportage moet plaatsvinden aan de directe manager of aan de leverancier.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

13.2 Beheer van informatiebeveiligingsincidenten en -verbeteringen

  • 1. Zijn er leidinggevende verantwoordelijkheden en procedures vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen?

  • Toelichting: Naast het rapporteren van informatiebeveiligingsgebeurtenissen en zwakke plekken (zie ook 13.1) behoort controle van systemen, waarschuwingen en kwetsbaarheden (10.10.2) te worden gebruikt voor het ontdekken van informatiebeveiligingsincidenten.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is een mechanisme aanwezig die de organisatie in staat stelt de aard, de omvang en de kosten van incidenten en storingen te kwantificeren en te bewaken?

  • Toelichting: Aard, omvang en kosten van incidenten of storingen moeten meetbaar gemaakt worden en worden bewaakt. Door deze informatie te gebruiken kan worden vastgesteld of incidenten herhaaldelijk voorkomen. Ook kan de impact van een incident zo worden bepaald. Indien een incident vaker voorkomt of indien de impact van een incident groot is kan het nodig zijn om nieuwe maatregelen in te voeren.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn er maatregelen getroffen dat gewaarborgd wordt dat waar een vervolgprocedure tegen een persoon of organisatie na een informatie-beveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), bewijsmateriaal wordt verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd?

  • Toelichting: Er behoren interne procedures te worden ontwikkeld en gevolgd bij het verzamelen en presenteren van bewijsmateriaal ten behoeve van disciplinaire maatregelen die binnen een organisatie worden afgehandeld. In het algemeen hebben deze regels voor bewijsmateriaal betrekking op:
    a) de toelaatbaarheid van het bewijs: of het bewijsmateriaal al dan niet voor een rechtszaak kan worden gebruikt;
    b) het gewicht van het bewijsmateriaal: de kwaliteit en volledigheid van het bewijsmateriaal.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

14. Bedrijfscontinuiteitsbeheer

14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

  • 1. Is een proces ingericht voor het ontwikkelen en handhaven van de bedrijfscontinuïteit?

  • Toelichting: De volgende elementen van continuïteitsmanagement moeten in dit proces aan de orde komen: inzicht in de risico's waarmee de organisatie wordt geconfronteerd; inzicht in de gevolgen van onderbreking van de bedrijfsactiviteiten; overwegingen om eventueel een verzekering af te sluiten; formuleren en documenteren van een continuïteitsstrategie; formuleren en documenteren van continuïteitsplannen; regelmatig testen en actualiseren van de plannen en processen; waarborgen dat continuïteitsmanagement in de processen en de structuur van de organisatie wordt opgenomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Is een risicoanalyse uitgevoerd waarbij gebeurtenissen zijn geïdentificeerd die de continuïteit van de bedrijfsprocessen in gevaar kunnen brengen en waarbij de gevolgen van onderbrekingen voor de bedrijfsprocessen zijn vastgesteld?

  • Toelichting: Nadat er is vastgesteld welke gebeurtenissen de bedrijfsprocessen kunnen onderbreken, dient er vastgesteld te worden wat de gevolgen zijn van dergelijke gebeurtenissen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn continuïteitsplannen opgesteld voor het in stand houden of herstellen van de bedrijfsactiviteiten na een onderbreking of verstoring van het bedrijfsproces?

  • Toelichting: Hierbij moet aandacht worden besteed aan: specificatie van verantwoordelijkheden en noodprocedures; de implementatie van noodprocedures; documentatie van procedures en processen; training van personeel; testen en actualiseren van plannen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn er maatregelen getroffen om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud?

  • Toelichting: In elk bedrijfscontinuïteitsplan behoort de aanpak voor continuïteit te worden beschreven, bijvoorbeeld de aanpak voor het waarborgen van de beschikbaarheid en veiligheid van informatie of het informatie-systeem. In elk plan behoort ook het escalatieplan te worden gespecificeerd en de voorwaarden voor de activering van het plan, evenals de personen die verantwoordelijk zijn voor de uitvoering van ieder onderdeel van het plan. Wanneer nieuwe eisen worden vastgesteld, behoren bestaande procedures voor noodsituaties, bijvoorbeeld evacuatieplannen of alle uitwijkvoorzieningen, dienovereenkomstig te worden aangepast. Er behoren procedures te zijn opgenomen in het programma voor wijzigingenbeheer van de organisatie om te waarborgen dat bedrijfscontinuïteitszaken altijd adequaat worden afgehandeld.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Worden continuïteitsplannen regelmatig getest, onderhouden en geëvalueerd?

  • Toelichting: Om te kijken of plannen ook daadwerkelijk werken moeten de plannen worden getest. Omdat een organisatie onderhevig is aan veranderingen moeten plannen worden geëvalueerd en onderhouden. Op deze manier blijven plannen up-to-date en effectief.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

15. Naleving

15.1 Naleving van de wettelijke voorschriften

  • 1. Wordt voor elk informatiesysteem een overzicht bijgehouden van de van toepassing zijnde wetten en contractuele voorschriften en de bijbehorende specifieke maatregelen en individuele verantwoordelijkheden?

  • Toelichting: Per informatiesysteem moeten alle van toepassingen zijnde wettelijke, reglementaire en contractuele vereisten worden gespecificeerd en gedocumenteerd.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Zijn maatregelen genomen om te waarborgen dat wordt voldaan aan wettelijke en contractuele vereisten met betrekking tot het gebruik van materiaal waarop intellectuele eigendomsrechten rusten?

  • Toelichting: Intellectueel eigendom, zoals auteursrecht, octrooirecht of handelsmerken moeten gewaarborgd worden door passende maatregelen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 3. Zijn maatregelen geïmplementeerd om belangrijke documenten en informatie tegen verlies, vernietiging en vervalsing te beveiligen en hiermee te voldoen aan wettelijke en zakelijke vereisten?

  • Toelichting: Documenten waaruit rechten en plichten van de organisatie kunnen blijken, moeten worden bewaard, waarbij de wettelijke bewaartermijn en/of reglementaire verplichtingen in acht moeten worden genomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 4. Zijn maatregelen getroffen om de naleving van privacywetgeving te waarborgen?

  • Toelichting: Privacywetgeving legt verplichtingen op aan personen of organisaties die persoonsgegevens verzamelen, verwerken en verspreiden en kunnen de mogelijkheden voor het verzenden van deze gegevens naar andere landen beperken. Naleving van de Wet Bescherming Persoonsgegevens kan worden bereikt door een functionaris binnen de organisatie speciaal hiervoor aan te wijzen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 5. Zijn maatregelen genomen om ervoor te zorgen dat informatieverwerkende voorzieningen van de organisatie alleen voor geautoriseerde organisatiedoeleinden worden gebruikt?

  • Toelichting: Wanneer gebruik van IT-voorzieningen voor niet zakelijke voorzieningen wordt geconstateerd, moeten dit gedrag onder de aandacht van het management worden gebracht, zodat disciplinaire maatregelen kunnen worden getroffen. Bij de invoering van controlemaatregelen moet de rechtmatigheid hiervan in acht worden genomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 6. Zijn procedures opgesteld om ervan verzekerd te zijn dat afspraken, wettelijke en contractuele vereisten met betrekking tot het gebruik van cryptografische middelen worden nagekomen?

  • Toelichting: Er moet juridisch advies worden ingewonnen om zeker te stellen dat de nationale wetgeving met betrekking tot het gebruik van cryptografie wordt nageleefd. Dit geldt onder andere voor de import en/of export van cryptografische middelen en voor de verplaatsing van versleutelde gegevens van het ene naar het andere land.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

15.2 Beveilgingsbeleid en de technische vereisten

  • 1. Wordt regelmatig gecontroleerd en geëvalueerd of alle informatieverwerkende voorzieningen voldoen aan het beveiligingsbeleid, de beveiligingsnormen en andere beveiligingseisen?

  • Toelichting: Alle verantwoordelijkheden binnen een organisatie moeten beoordeeld worden op het voldoen aan het beveiligingsbeleid en de beveiligingsnormen. Verder moeten managers binnen hun verantwoordelijkheidsgebied zorgen dat beveiligingsprocedures op de juiste manier worden uitgevoerd.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Worden informatiesystemen regelmatig gecontroleerd op de naleving van technisch beveiligingsnormen?

  • Toelichting: Bij de audit op de naleving van technische beveiligingsnormen wordt aandacht besteed aan de juiste implementatie van beveiligingsmaatregelen in hard- en software. Het uitvoeren van een penetratietest is een voorbeeld van een dergelijke controle.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

15.3 Overwegingen bij audits van informatiesystemen

  • 1. Worden audits van operationele systemen gepland en goedgekeurd teneinde het risico van verstoringen van bedrijfsprocessen tot een minimum te beperken?

  • Toelichting: Audits en andere controles moeten zodanig worden gepland dat het risico of verstoring van de bedrijfsprocessen tot een minimum worden beperkt.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

  • 2. Wordt de toegang tot hulpmiddelen voor systeemaudits beheerd teneinde misbruik of verminking te voorkomen?

  • Toelichting: Audithulpmiddelen, zoals software of gegevensbestanden, moeten worden beveiligd om verminking of misbruik te voorkomen.

  • In hoeverre is de vraag binnen uw organisatie van kracht?

Ondertekening

Ondertekenen document

  • Selecteer de datum en tijd

  • Handtekening

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.