- 5 Informatiebeveiligingsbeleid
- 5.1 Aansturing door de directie van de informatiebeveiliging
- 6 Organiseren van informatiebeveiliging
- 6.1 Interne organisatie
- 6.2 Mobiele apparatuur en telewerken
- 7 Veilig personeel
- 7.1 Voorafgaand aan het dienstverband
- 7.2 Tijdens het dienstverband
- 7.3 Beëindiging en wijziging van dienstverband
- 8 Beheer van bedrijfsmiddelen
- 8.1 Verantwoordelijkheid voor bedrijfsmiddelen
- 8.2 Informatieclassificatie
- 8.3 Behandelen van media
- 9 Toegangsbeveiliging
- 9.1 Bedrijfseisen voor toegangsbeveiliging
- 9.2 Beheer van toegangsrechten van gebruikers
- 9.3 Verantwoordelijkheden van gebruikers
- 9.4 Toegangsbeveiliging van systeem en toepassing
- 10 Cryptografie
- 10.1 Cryptografische beheersmaatregelen
- 11 Fysieke beveiliging en beveiliging van de omgeving
- 11.1 Beveiligde gebieden
- 11.2 Apparatuur
- 12 Beveiliging bedrijfsvoering
- 12.1 Bedieningsprocedures en verantwoordelijkheden
- 12.2 Bescherming tegen malware
- 12.3 Back-up
- 12.4 Verslaglegging en monitoren
- 12.5 Beheersing van operationele software
- 12.6 Beheer van technische kwetsbaarheden
- 12.7 Overwegingen betreffende audits van informatiesystemen
- 13 Communicatiebeveiliging
- 13.1 Beheer van netwerkbeveiliging
- 13.2 Informatietransport
- 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
- 14.1 Beveiligingseisen voor informatiesystemen
- 14.2 Beveiliging in ontwikkelings- en ondersteunende processen
- 14.3 Testgegevens
- 15 Leveranciersrelaties
- 15.1 Informatiebeveiliging in leveranciersrelaties
- 15.2 Beheer van dienstverlening van leveranciers
- 16 Beheer van informatiebeveiligingsincidenten
- 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
- 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 17.1 Informatiebeveiligingscontinuïteit
- 17.2 Redundante componenten
- 18 Naleving
- 18.1 Naleving van wettelijke en contractuele eisen
- 18.2 Informatiebeveiligingsbeoordelingen
8. Beheer van bedrijfsmiddelen
8.1 Verantwoordelijkheid voor bedrijfsmiddelen
Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van bedrijfsmiddelen.
De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel in het contract vastgelegd overeenkomstig de huisregels of gedragsregels.
8.2 Informatieclassificatie
De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.
8.3 Behandelen van media
Er is een verwijderinstructie waarin is opgenomen dat van herbruikbare media die de organisatie verlaten de onnodige inhoud onherstelbaar verwijderd (ISO27002 implementatierichtlijn 8.3.1.a).
De wijze waarop vertrouwelijk of hoger geclassificeerde informatie is opgeslagen, voldoet aan de eisen van het NBV.
Media die vertrouwelijke informatie bevatten zijn opgeslagen op een plek die niet toegankelijk is voor onbevoegden. Verwijdering vindt plaats op een veilige manier, bijv. door verbranding of versnippering. Verwijdering van alleen gegevens is ook mogelijk door het wissen van de gegevens voordat de media worden gebruikt voor een andere toepassing in de organisatie (ISO27002 implementatierichtlijn 8.3.2.a)
Voor het wissen van alle data op het medium, wordt de data onherstelbaar verwijderd, bijvoorbeeld door minimaal twee keer te overschrijven met vaste data en één keer met random data. Er wordt gecontroleerd of alle data onherstelbaar verwijderd is.
Er is voor de gehele organisatie beleid voor het fysiek transport van media vastgesteld.
Het gebruik van koeriers of transporteurs voor vertrouwelijk of hoger geclassificeerde informatie voldoet aan vooraf opgestelde betrouwbaarheidseisen.