- 5 Informatiebeveiligingsbeleid
- 5.1 Aansturing door de directie van de informatiebeveiliging
- 6 Organiseren van informatiebeveiliging
- 6.1 Interne organisatie
- 6.2 Mobiele apparatuur en telewerken
- 7 Veilig personeel
- 7.1 Voorafgaand aan het dienstverband
- 7.2 Tijdens het dienstverband
- 7.3 Beëindiging en wijziging van dienstverband
- 8 Beheer van bedrijfsmiddelen
- 8.1 Verantwoordelijkheid voor bedrijfsmiddelen
- 8.2 Informatieclassificatie
- 8.3 Behandelen van media
- 9 Toegangsbeveiliging
- 9.1 Bedrijfseisen voor toegangsbeveiliging
- 9.2 Beheer van toegangsrechten van gebruikers
- 9.3 Verantwoordelijkheden van gebruikers
- 9.4 Toegangsbeveiliging van systeem en toepassing
- 10 Cryptografie
- 10.1 Cryptografische beheersmaatregelen
- 11 Fysieke beveiliging en beveiliging van de omgeving
- 11.1 Beveiligde gebieden
- 11.2 Apparatuur
- 12 Beveiliging bedrijfsvoering
- 12.1 Bedieningsprocedures en verantwoordelijkheden
- 12.2 Bescherming tegen malware
- 12.3 Back-up
- 12.4 Verslaglegging en monitoren
- 12.5 Beheersing van operationele software
- 12.6 Beheer van technische kwetsbaarheden
- 12.7 Overwegingen betreffende audits van informatiesystemen
- 13 Communicatiebeveiliging
- 13.1 Beheer van netwerkbeveiliging
- 13.2 Informatietransport
- 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
- 14.1 Beveiligingseisen voor informatiesystemen
- 14.2 Beveiliging in ontwikkelings- en ondersteunende processen
- 14.3 Testgegevens
- 15 Leveranciersrelaties
- 15.1 Informatiebeveiliging in leveranciersrelaties
- 15.2 Beheer van dienstverlening van leveranciers
- 16 Beheer van informatiebeveiligingsincidenten
- 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
- 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 17.1 Informatiebeveiligingscontinuïteit
- 17.2 Redundante componenten
- 18 Naleving
- 18.1 Naleving van wettelijke en contractuele eisen
- 18.2 Informatiebeveiligingsbeoordelingen
14. Acquisitie, ontwikkeling en onderhoud van informatiesystemen
14.1 Beveiligingseisen voor informatiesystemen
Doelstelling:
14.1.1
bbn: 1
Analyse en specificatie van informatiebeveiligingseisen
De eisen die verband houden met informatiebeveiliging behoren te worden
opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen
van bestaande informatiesystemen.
14.1.1.1
bbn: 1
Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de BIO.
14.1.2
bbn: 1
Toepassingen op openbare netwerken beveiligen
Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare
netwerken wordt uitgewisseld, behoort te worden beschermd tegen
frauduleuze activiteiten, geschillen over contracten en onbevoegde
openbaarmaking en wijziging.
14.1.3
bbn: 1
Transacties van toepassingen beschermen
Informatie die deel uitmaakt van transacties van toepassingen behoort te
worden beschermd ter voorkoming van onvolledige overdracht, foutieve
routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken,
onbevoegd vermenigvuldigen of afspelen.
14.2 Beveiliging in ontwikkelings- en ondersteunende processen
Doelstelling:
14.2.1
bbn: 1
Beleid voor beveiligd ontwikkelen
Voor het ontwikkelen van software en systemen behoren regels te worden
vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden
toegepast.
14.2.1.1
bbn: 1
De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen
14.2.2
bbn: 1
Procedures voor wijzigingsbeheer met betrekking tot systemen
Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling
behoren te worden beheerst door het gebruik van formele procedures voor
wijzigingsbeheer.
14.2.2.1
bbn: 1
Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheerframeworks, zoals ITIL, ASL of BiSL.
14.2.3
bbn: 2
Technische beoordeling van toepassingen na wijzigingen besturingsplatform
Als besturingsplatforms zijn veranderd, behoren bedrijfskritische toepassingen
te worden beoordeeld en getest om te waarborgen dat er geen nadelige
impact is op de activiteiten of de beveiliging van de organisatie.
14.2.5
bbn: 1
Principes voor engineering van beveiligde systemen
Principes voor de engineering van beveiligde systemen behoren te worden
vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle
verrichtingen betreffende het implementeren van informatiesystemen.
14.2.5.1
bbn: 1
Zie overheidsmaatregel 14.2.1.1
14.2.6
bbn: 1
Beveiligde ontwikkelomgeving
Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en
passend te beveiligen voor verrichtingen op het gebied van
systeemontwikkeling en integratie, die betrekking hebben op de gehele
levenscyclus van de systeemontwikkeling.
14.2.6.1
bbn: 1
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.
14.2.7
bbn: 1
Uitbestede softwareontwikkeling
Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te
worden gemonitord door de organisatie.
14.2.7.1
bbn: 1
Een voorwaarde voor uitbestedingstrajecten is een expliciete risicoafweging. De noodzakelijke beveiligingsmaatregelen die daaruit volgen worden aan de leverancier opgelegd.
14.2.8
bbn: 1
Testen van systeembeveiliging
Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden
getest.
14.2.9
bbn: 1
Systeemacceptatietests
Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren
programma's voor het uitvoeren van acceptatietests en gerelateerde criteria te
worden vastgesteld.
14.2.9.1
bbn: 1
Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd.
14.2.9.2
bbn: 1
Van de resultaten van de testen wordt verslag gemaakt.
14.3 Testgegevens
Doelstelling:
14.3.1
bbn: 2
Bescherming van testgegevens
Testgegevens behoren zorgvuldig te worden gekozen, beschermd en
gecontroleerd.