- 5 Informatiebeveiligingsbeleid
- 5.1 Aansturing door de directie van de informatiebeveiliging
- 6 Organiseren van informatiebeveiliging
- 6.1 Interne organisatie
- 6.2 Mobiele apparatuur en telewerken
- 7 Veilig personeel
- 7.1 Voorafgaand aan het dienstverband
- 7.2 Tijdens het dienstverband
- 7.3 Beëindiging en wijziging van dienstverband
- 8 Beheer van bedrijfsmiddelen
- 8.1 Verantwoordelijkheid voor bedrijfsmiddelen
- 8.2 Informatieclassificatie
- 8.3 Behandelen van media
- 9 Toegangsbeveiliging
- 9.1 Bedrijfseisen voor toegangsbeveiliging
- 9.2 Beheer van toegangsrechten van gebruikers
- 9.3 Verantwoordelijkheden van gebruikers
- 9.4 Toegangsbeveiliging van systeem en toepassing
- 10 Cryptografie
- 10.1 Cryptografische beheersmaatregelen
- 11 Fysieke beveiliging en beveiliging van de omgeving
- 11.1 Beveiligde gebieden
- 11.2 Apparatuur
- 12 Beveiliging bedrijfsvoering
- 12.1 Bedieningsprocedures en verantwoordelijkheden
- 12.2 Bescherming tegen malware
- 12.3 Back-up
- 12.4 Verslaglegging en monitoren
- 12.5 Beheersing van operationele software
- 12.6 Beheer van technische kwetsbaarheden
- 12.7 Overwegingen betreffende audits van informatiesystemen
- 13 Communicatiebeveiliging
- 13.1 Beheer van netwerkbeveiliging
- 13.2 Informatietransport
- 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
- 14.1 Beveiligingseisen voor informatiesystemen
- 14.2 Beveiliging in ontwikkelings- en ondersteunende processen
- 14.3 Testgegevens
- 15 Leveranciersrelaties
- 15.1 Informatiebeveiliging in leveranciersrelaties
- 15.2 Beheer van dienstverlening van leveranciers
- 16 Beheer van informatiebeveiligingsincidenten
- 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
- 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 17.1 Informatiebeveiligingscontinuïteit
- 17.2 Redundante componenten
- 18 Naleving
- 18.1 Naleving van wettelijke en contractuele eisen
- 18.2 Informatiebeveiligingsbeoordelingen
10. Cryptografie
10.1 Cryptografische beheersmaatregelen
Doelstelling:
10.1.1
bbn: 2
Beleid inzake het gebruik van cryptografische beheersmaatregelen
Ter bescherming van informatie behoort een beleid voor het gebruik van
cryptografische beheersmaatregelen te worden ontwikkeld en
geïmplementeerd.
10.1.1.1
bbn: 1
In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
- wanneer cryptografie ingezet wordt;
- wie verantwoordelijk is voor de implementatie;
- wie verantwoordelijk is voor het sleutelbeheer;
- welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum worden toegepast;
- de wijze waarop het beschermingsniveau vastgesteld wordt;
- bij inter-organisatie communicatie wordt het beleid onderling vastgesteld.
10.1.1.2
bbn: 2
Cryptografische toepassingen voldoen aan passende standaarden.
10.1.2
bbn: 1
Sleutelbeheer
Met betrekking tot het gebruik, de bescherming en de levensduur van
cryptografische sleutels behoort tijdens hun gehele levenscyclus een beleid te
worden ontwikkeld en geïmplementeerd.
10.1.2.1
bbn: 2
Ingeval van PKI-overheid certificaten: hanteer de PKI-Overheid-eisen t.a.v. het sleutelbeheer. In overige situaties: hanteer de standaard ISO-11770 voor het beheer van cryptografische sleutels.
10.1.2.2
bbn: 2
Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier als uit risicoafweging blijkt dat deze noodzakelijk zijn.