ISO 27001: 2013
Nedercare B.V.
handelsnaam Avinty Jeugdzorg & Gehandicaptenzorg
ISO 27001: 2013
Versie 1.3 (Publiek)
Activatie Verklaring van Toepasselijkheid
Voor u ligt de definitieve Verklaring van Toepasselijkheid (VVT) van Nedercare B.V., handelend onder de naam Xxxxxx Xxxxxxxxx en Gehandicaptenzorg (vervolg Nedercare) waarin de borging is beschreven van het informatieveiligheidsbeleid conform ISO 27001: 2013. De VVT beschrijft het normenkader waar de organisatie zich aan committeert en beschrijft eventuele redenen van uitsluiting.
Scope
De VVT strekt zich uit over de onderneming Nedercare en richt zich op: het ontwikkelen, onderhouden en ondersteunen van informatiesystemen voor de sectoren Jeugdzorg, Gehandicaptenzorg en Geestelijke Gezondheidzorg.
Conform de verklaring van toepasselijkheid d.d. 04/05/2021 versie 1.3, waarin is gespecificeerd welke activiteiten, producten of diensten zijn uitbesteed en welke interfaces er zijn met de zorginstellingen.
Deze VVT is bestemd voor alle werknemers van Nedercare en haar stakeholders. Het gehanteerde Information Security Management System (ISMS) is van toepassing op de bedrijfsprocessen.
Verantwoordelijkheden
De reikwijdte van de VVT is vastgesteld in samenspraak met het directieteam. Met het ondertekenen is het de verantwoordelijkheid van de directie om de maatregelen te treffen die noodzakelijkerwijs volgen uit het ISMS. Nedercare treft beveiligingsmaatregelen om de toegang tot (persoonlijke) gezondheidsinformatie via de database en applicatie interfases te waarborgen. Het hosten van de applicatie en de data is uitbesteed aan een extern datacenter. Toetsing van het ISO 27001 ISMS vindt plaats door geaccrediteerde certificatie instelling. Om het ISMS doeltreffend en efficiënt te houden treft de organisatie jaarlijks de nodige maatregelen en acties met de benodigde resources.
Ondertekend namens het directieteam van Nedercare | ||
Naam | Xxxx Xxxxxxxx | |
Functie | Directie (CTO) | |
Plaats | Veenendaal | |
Datum | 04-05-2021 | |
MET DE ONDERTEKENING ACTIVEERT EN BORGT NEDERCARE HET NORMENKADER ALS VOLGT:
Normeisen niet van toepassing.
# | Beheersingsmaatregel | Toelichting |
11.1.6 | Laad- en loslocatie | Uit de risicoanalyse komt naar voren dat de organisatie niet beschikt over een laad- en los locatie |
14.2.7 | Uitbestede software ontwikkeling | Uit de risicoanalyse komt naar voren dat de organisatie niet beschikt over uitbestede software. Ontwikkeling vindt in eigen beheer plaats. |
Normeisen van toepassing
Op basis van risicoanalyse is vastgesteld dat de normeisen in onderstaande tabel van toepassing zijn voor Nedercare. De tabel beschrijft naast de beheersmaatregelen ook de context die op de eis van toepassing is binnen Nedercare, als het gaat om:
• Risicoanalyse (R), hier wordt een relatie gelegd naar de risicoanalyse doormiddel van een verwijzing van het risico-nummer;
• Beleid (B);
• Wet & regelgeving (W);
• Uitbestede controls (U);
• Beheersmaatregelen die betrekking hebben op de interface (I);
o database (1)
o applicatie (2)
o en/of, project-conversie, betreft conversies binnen de Care4 implementatie.
• Contractueel (C).
05 Informatiebeveiligingsbeleid
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
5.1 Aansturing door de directie van de informatiebeveiliging | ||||||||||
5.1.1 | Beleidsregels voor informatiebeveiliging | 1 | X | Ten behoeve van informatiebeveiliging moet een reeks beleidsregels worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. | Geïmplementeerd | |||||
5.1.2 | Beoordelen van het informatiebeveiligingsbeleid | 2 | Het beleid voor informatiebeveiliging moet met geplande tussenpozen of als zich significante veranderingen voordoen, worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. | Geïmplementeerd | ||||||
06 Organiseren van informatiebeveiliging
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
6.1 Interne organisatie | ||||||||||
6.1.1 | Rollen en verantwoordelijkheden bij informatiebeveiliging | 3 | X | Alle verantwoordelijkheden bij informatiebeveiliging moeten worden gedefinieerd en toegewezen. | Geïmplementeerd | |||||
6.1.2 | Scheiding van taken | 4 | X | Conflicterende taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. | Geïmplementeerd | |||||
6.1.3 | Contact met overheidsinstanties | 5 | X | Er behoren passende contacten met relevante overheidsinstanties worden onderhouden. | Geïmplementeerd | |||||
6.1.4 | Contact met speciale | 6 | X | Er behoren passende | Geïmplementeerd | |||||
belangengroepen | contacten met speciale | |||||||||
belangengroepen of andere | ||||||||||
gespecialiseerde | ||||||||||
beveiligingsfora en | ||||||||||
professionele organisaties | ||||||||||
worden onderhouden. | ||||||||||
6.1.5 | Informatiebeveiliging in projectbeheer | 7 22 27 | X | 1 2 | Informatiebeveiliging moet aan de orde komen in | Geïmplementeerd | ||||
3 | projectbeheer, ongeacht het | |||||||||
soort project. | ||||||||||
6.2 Mobiele apparaten en telewerken | ||||||||||
6.2.1 | Beleid voor mobiele apparatuur | 9 | X | Beleid en ondersteunende beveiligingsmaatregelen moeten worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. | Geïmplementeerd | |||||
6.2.2 | Telewerken | 8 | X | Beleid en ondersteunende beveiligingsmaatregelen moeten worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt bereikt, verwerkt of opgeslagen. | Geïmplementeerd | |||||
7. Veilig personeel
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
7.1 Voorafgaand aan het dienstverband | ||||||||||
7.1.1 | Screening | 10 | X | Verificatie van de achtergrond van alle kandidaten voor een dienstverband moet worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico’s. | Geïmplementeerd | |||||
7.1.2 | Arbeidsvoorwaarden | 11 | X | X | De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie vermelden. | Geïmplementeerd | ||||
7.2 Tijdens het dienstverband | ||||||||||
7.2.1 | Directie verantwoordelijkheden | 12 | X | De directie moet van alle medewerkers en contractanten eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. | Geïmplementeerd | |||||
7.2.2 | Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging | 13 | X | Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. | Geïmplementeerd | |||||
7.2.3 | Disciplinaire procedure | 14 | Er behoort een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging. | Geïmplementeerd | ||||||
7.3 Beëindiging en wijziging van dienstverband | ||||||||||
7.3.1 | Beëindiging of wijziging van verantwoordelijkheden van het dienstverband | 15 | X | Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband moeten worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer worden gebracht. | Geïmplementeerd | |||||
8. Beheer van bedrijfsmiddelen
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
8.1 Verantwoordelijkheid voor bedrijfsmiddelen | ||||||||||
8.1.1 | Inventariseren van bedrijfsmiddelen | 16 24 | X | X | Informatie, andere bedrijfsmiddelen die | Geïmplementeerd | ||||
samenhangen met | ||||||||||
informatie en | ||||||||||
informatieverwerkende | ||||||||||
faciliteiten moeten worden | ||||||||||
geïdentificeerd, en van deze | ||||||||||
bedrijfsmiddelen moet een | ||||||||||
inventaris worden opgesteld | ||||||||||
en onderhouden. | ||||||||||
8.1.2 | Eigendom van bedrijfsmiddelen | 17 | X | X | Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden moeten een eigenaar hebben. | Geïmplementeerd | ||||
8.1.3 | Aanvaardbaar gebruik van | 18 | X | X | Voor het aanvaardbaar | Geïmplementeerd | ||||
bedrijfsmiddelen | gebruik van informatie en | |||||||||
van bedrijfsmiddelen die | ||||||||||
samenhangen met | ||||||||||
informatie en | ||||||||||
informatieverwerkende | ||||||||||
faciliteiten moeten regels | ||||||||||
worden geïdentificeerd, | ||||||||||
gedocumenteerd en | ||||||||||
geïmplementeerd. | ||||||||||
8.1.4 | Teruggeven van bedrijfsmiddelen | 19 | X | X | X | Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst teruggeven. | Geïmplementeerd | |||
8.2 Informatieclassificatie | ||||||||||
8.2.1 | Classificatie van informatie | 20 | X | Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. | Geïmplementeerd | |||||
8.2.2 | Informatie labelen | 21 | X | Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatie- schema dat is vastgesteld door de organisatie. | Geïmplementeerd | |||||
8.2.3 | Behandelen van bedrijfsmiddelen | 22 23 | X | X | Procedures voor het behandelen van | Geïmplementeerd | ||||
bedrijfsmiddelen moeten | ||||||||||
worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatie- schema dat is vastgesteld door de organisatie. | ||||||||||
8.3 Behandelen van media | ||||||||||
8.3.1 | Beheer van verwijderbare media | 25 | X | X | Voor het beheren van verwijderbare media moeten procedures worden geïmplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld. | Geïmplementeerd | ||||
8.3.2 | Verwijderen van media | 2627 | X | X | Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures | Geïmplementeerd | ||||
8.3.3 | Media fysiek overdragen | 28 | X | Media die informatie bevatten, moeten worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport. | Geïmplementeerd | |||||
9. Toegangsbeveiliging
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
9.1 Bedrijfseisen voor toegangsbeveiliging | ||||||||||
9.1.1 | Beleid voor | 29 | X | 1 | Een beleid voor | Geïmplementeerd | ||||
toegangsbeveiliging | 2 | toegangsbeveiliging moet | ||||||||
3 | worden vastgesteld, | |||||||||
gedocumenteerd en | ||||||||||
beoordeeld op basis van | ||||||||||
bedrijfs- en | ||||||||||
informatiebeveiligings-eisen. | ||||||||||
9.1.2 | Toegang tot netwerken en | 30 | X | X | 1 | Gebruikers moeten alleen | Geïmplementeerd | |||
netwerkdiensten | 2 | toegang krijgen tot het | ||||||||
3 | netwerk en de | |||||||||
netwerkdiensten waarvoor | ||||||||||
zij specifiek bevoegd zijn. | ||||||||||
9.2 Beheer van toegangsrechten van gebruikers | ||||||||||
9.2.1 | Registratie en uitschrijving | 31 | X | 1 | Een formele registratie- en | Geïmplementeerd | ||||
van gebruikers | 2 | afmeldingsprocedure moet | ||||||||
3 | worden geïmplementeerd | |||||||||
om toewijzing van | ||||||||||
toegangsrechten mogelijk te | ||||||||||
maken. | ||||||||||
9.2.2 | Gebruikers toegang | 32 | X | 1 | Een formele | Geïmplementeerd | ||||
verlenen | 2 | gebruikerstoegangs- | ||||||||
3 | verleningsprocedure moet | |||||||||
worden geïmplementeerd | ||||||||||
om toegangsrechten voor | ||||||||||
alle typen gebruikers en voor | ||||||||||
alle systemen en diensten | ||||||||||
toe te wijzen of in te trekken. | ||||||||||
9.2.3 | Beheren van speciale toegangsrechten | 33 34 | X | 1 2 | Het toewijzen en gebruik van bevoorrechte | Geïmplementeerd | ||||
3 | toegangsrechten moeten | |||||||||
worden beperkt en | ||||||||||
gecontroleerd. | ||||||||||
9.2.4 | Beheer van geheime | 35 | X | 1 | Het toewijzen van geheime | Geïmplementeerd | ||||
authenticatie- informatie | 2 | authenticatie-informatie | ||||||||
van gebruikers | 3 | behoort te worden beheerst | ||||||||
via een formeel | ||||||||||
beheersproces. | ||||||||||
9.2.5 | Beoordeling van | 36 | X | 1 | Eigenaren van | Geïmplementeerd | ||||
toegangsrechten van | 2 | bedrijfsmiddelen behoren | ||||||||
gebruikers | 3 | toegangsrechten van | ||||||||
gebruikers regelmatig te | ||||||||||
beoordelen. | ||||||||||
9.2.6 | Toegangsrechten intrekken | 37 | X | 1 | De toegangsrechten van alle | Geïmplementeerd | ||||
of aanpassen | 2 | medewerkers en externe | ||||||||
3 | gebruikers voor informatie | |||||||||
en informatieverwerkende | ||||||||||
faciliteiten moeten bij | ||||||||||
beëindiging van hun | ||||||||||
dienstverband, contract of | ||||||||||
overeenkomst worden | ||||||||||
verwijderd, en bij wijzigingen | ||||||||||
moeten ze worden aangepast. | ||||||||||
9.3 Gebruiksersverantwoordelijkheden | ||||||||||
9.3.1 | Geheime authenticatie- | 38 | X | X | 1 | X | Van gebruikers moet worden | Geïmplementeerd | ||
informatie gebruiken | 2 | verlangd dat zij zich bij het | ||||||||
3 | gebruiken van geheime | |||||||||
authenticatie-informatie | ||||||||||
houden aan de praktijk van | ||||||||||
de organisatie. | ||||||||||
9.4 Toegangsbeveiliging van systeem en toepassing | ||||||||||
9.4.1 | Beperking toegang tot | 39 | X | 1 | Toegang tot informatie en | Geïmplementeerd | ||||
informatie | 2 | systeemfuncties van | ||||||||
3 | applicaties moet worden | |||||||||
beperkt in | ||||||||||
overeenstemming met het | ||||||||||
beleid voor | ||||||||||
toegangscontrole. | ||||||||||
9.4.2 | Beveiligde inlogprocedures | 40 | X | 1 | X | Indien het beleid voor | Geïmplementeerd | |||
2 | toegangsbeveiliging dit | |||||||||
3 | vereist, moet toegang tot | |||||||||
systemen en toepassingen | ||||||||||
worden beheerst door een | ||||||||||
beveiligde inlogprocedure. | ||||||||||
9.4.3 | Systeem voor | 41 | X | 1 | Systemen voor | Geïmplementeerd | ||||
wachtwoordbeheer | 2 | wachtwoordbeheer moeten | ||||||||
3 | interactief zijn en sterke | |||||||||
wachtwoorden | ||||||||||
waarborgen. | ||||||||||
9.4.4 | Speciale | 42 | 1 | X | Het gebruik van | Geïmplementeerd | ||||
systeemhulpmiddelen | 2 | systeemhulpmiddelen die | ||||||||
gebruiken | 3 | in staat zijn om | ||||||||
beheersmaatregelen voor | ||||||||||
systemen en toepassingen | ||||||||||
te omzeilen moet worden | ||||||||||
beperkt en nauwkeurig | ||||||||||
worden gecontroleerd. | ||||||||||
9.4.5 | Toegangsbeveiliging op | 43 | X | 1 | Toegang tot de | Geïmplementeerd | ||||
programmabroncode | 2 | programmabroncode moet | ||||||||
3 | worden beperkt. | |||||||||
10. Cryptografie
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
10.1 Cryptografische beheersmaatregelen | ||||||||||
10.1.1 | Beleid inzake het gebruik van cryptografische beheersmaatregelen | 44 | X | X | Ter bescherming van informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd. | Geïmplementeerd | ||||
10.1.2 | Xxxxxxxxxxxxx | 00 | X | Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels moet tijdens hun gehele levenscyclus een beleid worden ontwikkeld en geïmplementeerd. | Geïmplementeerd | |||||
11. Fysieke beveiliging en beveiliging van de omgeving
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
11.1 Beveiligde gebieden | ||||||||||
11.1.1 | Fysieke beveiligingszone | 46 | X | X | Beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten. | Geïmplementeerd | ||||
11.1.2 | Fysieke toegangsbeveiliging | 46 | X | X | X | Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. | Geïmplementeerd | |||
11.1.3 | Kantoren, ruimten en faciliteiten beveiligen | 47 | X | X | Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en toegepast. | Geïmplementeerd | ||||
11.1.4 | Beschermen tegen bedreigingen van buitenaf | 48 | X | X | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken moet fysieke bescherming worden ontworpen en toegepast. | Geïmplementeerd | ||||
11.1.5 | Werken in beveiligde gebieden | 49 | X | X | Voor het werken in beveiligde gebieden moeten procedures worden ontwikkeld en toegepast. | Geïmplementeerd | ||||
11.2 Apparatuur | ||||||||||
11.2.1 | Plaatsing en bescherming van apparatuur | 51 | X | Apparatuur moet zo worden geplaatst en beschermd dat risico’s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. | Geïmplementeerd | |||||
11.2.2 | Nutsvoorzieningen | 52 | X | X | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | Geïmplementeerd | ||||
11.2.3 | Beveiliging van bekabeling | 53 | X | X | Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen interceptie, verstoring of schade. | Geïmplementeerd | ||||
11.2.4 | Onderhoud van apparatuur | 16 | X | X | Apparatuur moet correct worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. | Geïmplementeerd | ||||
11.2.5 | Verwijdering van bedrijfsmiddelen | 54 | X | X | X | X | Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring. | Geïmplementeerd | ||
11.2.6 | Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein | 55 | X | X | X | Bedrijfsmiddelen die zich buiten het terrein bevinden, moeten worden beveiligd, waarbij rekening moet worden gehouden met de verschillende risico’s van werken buiten het terrein van de organisatie. | Geïmplementeerd | |||
11.2.7 | Veilig verwijderen of hergebruiken van apparatuur | 56 | X | X | X | Alle onderdelen van de apparatuur die opslagmedia bevatten, moeten worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of veilig zijn overschreven. | Geïmplementeerd | |||
11.2.8 | Onbeheerde gebruikersapparatuur | 57 | X | Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. | Geïmplementeerd | |||||
11.2.9 | ‘Clear desk’- en ‘clear screen’-beleid | 58 | X | Er moet een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatieverwerkende faciliteiten worden ingesteld. | Geïmplementeerd |
12. Beveiliging bedrijfsvoering
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting | |
12.1 Bedieningsprocedures en verantwoordelijkheden | |||||||||||
12.1.1 | Gedocumenteerde bedieningsprocedures | 59 | X | X | 1 2 3 | Bedieningsprocedures moeten worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben. | Geïmplementeerd | ||||
12.1.2 | Wijzigingsbeheer | 60 | X | X | Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging moeten worden beheerst. | Geïmplementeerd | |||||
12.1.3 | Capaciteitsbeheer | 61 | X | X | X | Het gebruik van middelen moet worden gemonitord en afgestemd, en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. | Geïmplementeerd | ||||
12.1.4 | Scheiding van ontwikkel-, test- en productieomgevingen | 62 | X | Ontwikkel-, test- en productieomgevingen moeten worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. | Geïmplementeerd | ||||||
12.2 Bescherming tegen malware | |||||||||||
12.2.1 | Beheersmaatregelen tegen malware | 63 | X | X | Ter bescherming tegen malware moeten beheersmaatregelen voor detectie, preventie en herstel worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers. | Geïmplementeerd | |||||
12.3 Back-up | |||||||||||
12.3.1 | Back-up van informatie | 64 | X | X | X | Regelmatig moeten back- upkopieën van informatie, software en systeemafbeeldingen worden gemaakt en getest in overeenstemming met een overeengekomen back- upbeleid. | Geïmplementeerd | ||||
12.4 Verslaglegging en monitoren | ||||||||||
12.4.1 | Gebeurtenissen registreren | 65 | X | X | X | Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligings- gebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld. | Geïmplementeerd | |||
12.4.2 | Beschermen van informatie in logbestanden | 66 | X | X | X | Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen vervalsing en onbevoegde toegang. | Geïmplementeerd | |||
12.4.3 | Logbestanden van beheerders en operators | 67 | X | X | 1 | X | Activiteiten van systeembeheerders en - operators moeten worden vastgelegd en de logbestanden moeten worden beschermd en regelmatig worden beoordeeld. | Geïmplementeerd | ||
12.4.4 | Kloksynchronisatie | 68 | X | X | X | X | De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met één referentietijdbron. | Geïmplementeerd | . | |
12.5 Beheersing van operationele software | ||||||||||
12.5.1 | Software installeren op operationele systemen | 69 | X | X | Om het op operationele systemen installeren van software te beheersen moeten procedures worden geïmplementeerd. | Geïmplementeerd | ||||
12.6 Beheer van technische kwetsbaarheden | ||||||||||
12.6.1 | Beheer van technische kwetsbaarheden | 70 | X | X | Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt moet tijdig worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. | Geïmplementeerd | ||||
12.6.2 | Beperkingen voor het installeren van software | 71 | X | X | Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | Geïmplementeerd | ||||
12.7 Overwegingen betreffende audits van informatiesystemen | ||||||||||
12.7.1 | Beheersmaatregelen betreffende audits van informatiesystemen | 72 | X | Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, moeten zorgvuldig worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren. | Geïmplementeerd | |||||
13. Communicatiebeveiliging
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
13.1 Beheer van netwerkbeveiliging | ||||||||||
13.1.1 | Beheersmaatregelen voor netwerken | 73 | X | X | 1 2 3 | Netwerken moeten worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. | Geïmplementeerd | |||
13.1.2 | Beveiliging van netwerkdiensten | 74 | X | X | 1 2 3 | Beveiligings-mechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. | Geïmplementeerd | |||
13.1.3 | Scheiding in netwerken | 75 | X | X | 1 2 3 | Groepen van informatiediensten, -gebruikers en -systemen moeten in netwerken worden gescheiden. | Geïmplementeerd | |||
13.2 Informatietransport | ||||||||||
13.2.1 | Beleid en procedures voor informatietransport | 76 | X | 1 2 3 | X | Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, moeten formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht zijn. | Geïmplementeerd | |||
13.2.2 | Overeenkomsten over informatietransport | 77 | X | X | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. | Geïmplementeerd | ||||
13.2.3 | Elektronische berichten | 78 | X | 1 2 3 | X | Informatie die is opgenomen in elektronische berichten moet passend beschermd zijn. | Geïmplementeerd | |||
13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkom st | 15 | X | 1 2 3 | X | Eisen voor vertrouwelijkheids- of geheimhoudings- overeenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen moeten worden vastgesteld, regelmatig worden beoordeeld en gedocumenteerd. | Geïmplementeerd |
14. Acquisitie, ontwikkeling en onderhoud van informatiesytemen
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
14.1 Beveiligingseisen voor informatiesystemen | ||||||||||
14.1.1 | Analyse en specificatie van informatiebeveiligingseisen | 79 | X | De eisen die verband houden met informatiebeveiliging moeten worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. | Geïmplementeerd | |||||
14.1.2 | Toepassingsdiensten op openbare netwerken beveiligen | 82 | X | Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. | Geïmplementeerd | |||||
14.1.3 | Transacties van toepassingsdiensten beschermen | 83 | X | X | Informatie die deel uitmaakt van transacties van toepassingsdiensten moet worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. | Geïmplementeerd | ||||
14.2 Beveiliging in ontwikkelings- en ondersteunende processen | ||||||||||
14.2.1 | Beleid voor beveiligd ontwikkelen | 85 | X | X | X | Voor het ontwikkelen van software en systemen moeten regels worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie worden toegepast. | Geïmplementeerd | |||
14.2.2 | Procedures voor wijzigingsbeheer met betrekking tot systemen | 86 | X | X | X | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele controleprocedures voor wijzigingsbeheer. | Geïmplementeerd | |||
14.2.3 | Technische beoordeling van toepassingen na wijzigingen bedieningsplatform | 87 | X | X | X | Als bedieningsplatforms zijn veranderd, moeten bedrijfskritische toepassingen worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. | Geïmplementeerd | |||
14.2.4 | Beperkingen op wijzigingen aan softwarepakketten | 88 | X | Wijzigingen aan softwarepakketten moeten worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen moeten strikt worden gecontroleerd. | Geïmplementeerd | |||||
14.2.5 | Principes voor engineering van beveiligde systemen | 89 | X | X | X | Principes voor de engineering van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | Geïmplementeerd | |||
14.2.6 | Beveiligde ontwikkelomgeving | 90 | X | X | Organisaties moeten beveiligde ontwikkelomgevingen vaststellen en passend beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | Geïmplementeerd | ||||
14.2.8 | Testen van systeembeveiliging | 92 | X | X | X | Tijdens ontwikkelactiviteiten moet de beveiligingsfunctionaliteit worden getest. | Geïmplementeerd | |||
14.2.9 | Systeemacceptatietests | 93 | X | X | X | Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld. | Geïmplementeerd |
14.3 Testdata | ||||||||||
14.3.1 | Bescherming van testgegevens | 94 | X | X | X | Testgegevens moeten zorgvuldig worden gekozen, beschermd en gecontroleerd. | Geïmplementeerd | |||
15. Leveranciersrelaties
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
15.1 Informatiebeveiliging in leveranciersrelaties | ||||||||||
15.1.1 | Informatiebeveiligings- beleid voor leveranciersrelaties | 95 | X | X | Met de leverancier moeten de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, worden overeengekomen en gedocumenteerd. | Geïmplementeerd | ||||
15.1.2 | Opnemen van beveiligingsaspecten in leveranciers-overeenkomsten | 96 | X | X | Alle relevante informatiebeveiligingseisen moeten worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT- infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. | Geïmplementeerd | ||||
15.1.3 | Toeleveringsketen van informatie- en communicatietechnologie | 97 | X | X | Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. | Geïmplementeerd | ||||
15.2 Beheer van dienstverlening van leveranciers | ||||||||||
15.2.1 | 15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers | 98 | X | X | Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen. | Geïmplementeerd | ||||
15.2.2 | 15.2.2 Beheer van veranderingen in dienstverlening van leveranciers | 99 | X | X | Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, moeten worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico’s. | Geïmplementeerd | ||||
16. Beheer van informatiebeveiligingsincidenten
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen | ||||||||||
16.1.1 | Verantwoordelijkheden en procedures | 100 | X | X | Directieverantwoordelijkheden en - procedures behoren te worden vastgesteld om een snelle doeltreffende en ordelijke respons op informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke plekken in de beveiliging. | Geïmplementeerd | ||||
16.1.2 | Rapportage van informatiebeveiligings gebeurtenissen | 101 | X | X | X | Informatiebeveiligings- gebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. | Geïmplementeerd | |||
16.1.3 | Rapportage van zwakke plekken in de informatiebeveiliging | 102 | X | X | X | Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie moet worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren. | Geïmplementeerd | |||
16.1.4 | Beoordeling van en besluitvorming over informatiebeveiligings gebeurtenissen | 103 | X | X | Informatiebeveiliging- gebeurtenissen moeten worden beoordeeld en er moet worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligings incidenten. | Geïmplementeerd | ||||
16.1.5 | Respons op informatiebeveiligings incidenten | 104 | X | X | Op informatiebeveiligings- incidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures. | Geïmplementeerd | ||||
16.1.6 | Lering uit informatiebeveiligings incidenten | 105 | X | X | Xxxxxx die is verkregen door informatiebeveiliging-incidenten te analyseren en op te lossen moet worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. | Geïmplementeerd | ||||
16.1.7 | Verzamelen van bewijsmateriaal | 106 | X | X | X | De organisatie moet procedures definiëren en toepassen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen. | Geïmplementeerd | |||
17. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
17.1 Informatiebeveiligingscontinuïteit | ||||||||||
17.1.1 | Informatiebeveiligings continuïteit plannen | 9 107 | X | X | De organisatie moet haar eisen voor informatiebeveiliging en | Geïmplementeerd | ||||
voor de continuïteit van het | ||||||||||
informatiebeveiligings-beheer in | ||||||||||
ongunstige situaties, bijv. een | ||||||||||
crisis of een ramp, vaststellen. | ||||||||||
17.1.2 | Informatiebeveiliging- continuïteit implementeren | 108 | X | X | De organisatie moet processen, procedures en beheersmaatregelen vaststellen, documenteren, implementeren en handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen. | Geïmplementeerd | ||||
17.1.3 | Informatiebeveiliging- continuïteit verifiëren, beoordelen en evalueren | 109 | X | X | De organisatie moet de ten behoeve van informatiebeveiligings continuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties. | Geïmplementeerd | ||||
17.2 Redundante componenten | ||||||||||
17.2.1 | Beschikbaarheid van informatieverwerkende faciliteiten | 110 | X | X | X | Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. | Geïmplementeerd | |||
18. Naleving
# | Paragraaf | R | B | W | U | I | C | Maatregel | Status | Toelichting |
18.1 Compliance met juridische standaarden | ||||||||||
18.1.1 | Identificatie van toepasbare wet- en regelgeving | 111 114 | X | X | X | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor elk informatiesysteem en de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden. | Geïmplementeerd | |||
18.1.2 | Intellectueel eigendom rechten | 112 | X | X | X | Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele- eigendomsrechten en het gebruik van eigendomssoftware-producten te waarborgen moeten passende procedures worden geïmplementeerd. | Geïmplementeerd | |||
18.1.3 | Bescherming van records | 113 | X | X | X | Registraties moeten in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. | Geïmplementeerd | |||
18.1.4 | Privacy en bescherming van persoonlijke data | 114 | X | X | X | Privacy en bescherming van persoonsgegevens moeten, voor zover van toepassing, worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. | Geïmplementeerd | |||
18.1.5 | Beheersmaatregel van cryptografische controls | 44 | X | X | Cryptografische beheersmaatregelen moeten worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving. | Geïmplementeerd | ||||
18.2 Informatie veiligheid reviews | ||||||||||
18.2.1 | Onafhankelijke review van informatieveiligheid | 115 | X | X | De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen worden beoordeeld. | Geïmplementeerd | ||||
18.2.2 | Compliance met beleid en standaarden | 116 | X | X | Leidinggevende moeten regelmatig de naleving van de informatieverwerking en - procedures binnen hun verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. | Geïmplementeerd | ||||
18.2.3 | Technische compliance review | 117 | X | X | X | Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. | Geïmplementeerd |