- 5 Informatiebeveiligingsbeleid
- 5.1 Aansturing door de directie van de informatiebeveiliging
- 6 Organiseren van informatiebeveiliging
- 6.1 Interne organisatie
- 6.2 Mobiele apparatuur en telewerken
- 7 Veilig personeel
- 7.1 Voorafgaand aan het dienstverband
- 7.2 Tijdens het dienstverband
- 7.3 Beëindiging en wijziging van dienstverband
- 8 Beheer van bedrijfsmiddelen
- 8.1 Verantwoordelijkheid voor bedrijfsmiddelen
- 8.2 Informatieclassificatie
- 8.3 Behandelen van media
- 9 Toegangsbeveiliging
- 9.1 Bedrijfseisen voor toegangsbeveiliging
- 9.2 Beheer van toegangsrechten van gebruikers
- 9.3 Verantwoordelijkheden van gebruikers
- 9.4 Toegangsbeveiliging van systeem en toepassing
- 10 Cryptografie
- 10.1 Cryptografische beheersmaatregelen
- 11 Fysieke beveiliging en beveiliging van de omgeving
- 11.1 Beveiligde gebieden
- 11.2 Apparatuur
- 12 Beveiliging bedrijfsvoering
- 12.1 Bedieningsprocedures en verantwoordelijkheden
- 12.2 Bescherming tegen malware
- 12.3 Back-up
- 12.4 Verslaglegging en monitoren
- 12.5 Beheersing van operationele software
- 12.6 Beheer van technische kwetsbaarheden
- 12.7 Overwegingen betreffende audits van informatiesystemen
- 13 Communicatiebeveiliging
- 13.1 Beheer van netwerkbeveiliging
- 13.2 Informatietransport
- 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
- 14.1 Beveiligingseisen voor informatiesystemen
- 14.2 Beveiliging in ontwikkelings- en ondersteunende processen
- 14.3 Testgegevens
- 15 Leveranciersrelaties
- 15.1 Informatiebeveiliging in leveranciersrelaties
- 15.2 Beheer van dienstverlening van leveranciers
- 16 Beheer van informatiebeveiligingsincidenten
- 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
- 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 17.1 Informatiebeveiligingscontinuïteit
- 17.2 Redundante componenten
- 18 Naleving
- 18.1 Naleving van wettelijke en contractuele eisen
- 18.2 Informatiebeveiligingsbeoordelingen
11. Fysieke beveiliging en beveiliging van de omgeving
11.1 Beveiligde gebieden
Doelstelling:
11.1.1
bbn: 1
Fysieke beveiligingszone
Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te
beschermen die gevoelige of essentiële informatie en informatie verwerkende
faciliteiten bevatten.
11.1.1.1
bbn: 1
Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van standaarden.
11.1.2
bbn: 1
Fysieke toegangsbeveiliging
Beveiligde gebieden behoren te worden beschermd door passende
toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel
toegang krijgt.
11.1.2.1
bbn: 1
In geval van concrete beveiligingsrisico's worden waarschuwingen, conform onderlinge afspraken, verzonden aan de relevante collega's binnen het beveiligingsdomein van de overheid.
11.1.3
bbn: 1
Kantoren, ruimten en faciliteiten beveiligen
Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden
ontworpen en toegepast.
11.1.3.1
bbn: 1
Sleutelbeheer is ingericht op basis van een sleutelplan.
11.1.4
bbn: 1
Beschermen tegen bedreigingen van buitenaf
Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke
bescherming te worden ontworpen en toegepast.
11.1.4.1
bbn: 1
De organisatie heeft geïnventariseerd welke papieren archieven en apparatuur bedrijfskritisch zijn. Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.
11.1.4.2
bbn: 1
Bij huisvesting van IT-apparatuur wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.
11.1.5
bbn: 2
Werken in beveiligde gebieden
Voor het werken in beveiligde gebieden behoren procedures te worden
ontwikkeld en toegepast.
11.1.6
bbn: 1
Laad- en loslocatie
Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde
personen het terrein kunnen betreden, behoren te worden beheerst, en zo
mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om
onbevoegde toegang te vermijden.
11.2 Apparatuur
Doelstelling:
11.2.1
bbn: 1
Plaatsing en bescherming van apparatuur
Apparatuur behoort zo te worden geplaatst en beschermd dat risico's van
bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang
worden verkleind.
11.2.2
bbn: 1
Nutsvoorzieningen
Apparatuur behoort te worden beschermd tegen stroomuitval en andere
verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
11.2.3
bbn: 1
Beveiliging van bekabeling
Voedings- en telecommunicatiekabels voor het versturen van gegevens of die
informatiediensten ondersteunen, behoren te worden beschermd tegen
interceptie, verstoring of schade.
11.2.4
bbn: 1
Onderhoud van apparatuur
Apparatuur behoort correct te worden onderhouden om de continue
beschikbaarheid en integriteit ervan te waarborgen.
11.2.5
bbn: 1
Verwijdering van bedrijfsmiddelen
Apparatuur, informatie en software behoren niet van de locatie te worden
meegenomen zonder voorafgaande goedkeuring.
11.2.6
bbn: 1
Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
Bedrijfsmiddelen die zich buiten het terrein bevinden, behoren te worden
beveiligd, waarbij rekening behoort te worden gehouden met de verschillende
risico's van werken buiten het terrein van de organisatie.
11.2.7
bbn: 1
Veilig verwijderen of hergebruiken van apparatuur
Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te
worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie
gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd
of betrouwbaar veilig zijn overschreven.
11.2.8
bbn: 1
Onbeheerde gebruikersapparatuur
Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende
beschermd is.
11.2.9
bbn: 1
Clear desk- en clear screen-beleid
Er behoort een clear desk-beleid voor papieren documenten en verwijderbare
opslagmedia en een clear screen-beleid voor informatie verwerkende
faciliteiten te worden ingesteld.
11.2.9.1
bbn: 2
Een onbeheerde werkplek in een ongecontroleerde omgeving is altijd vergrendeld.
11.2.9.2
bbn: 2
Informatie wordt automatisch ontoegankelijk gemaakt met bijvoorbeeld een screensaver na een inactiviteit van maximaal 15 minuten.
11.2.9.3
bbn: 2
Sessies op remote desktops worden op het remote platform vergrendeld na 15 minuten. Het overnemen van sessies op remote desktops op een ander client apparaat is alleen mogelijk via dezelfde beveiligde loginprocedure als waarmee de sessie is gecreëerd.
11.2.9.4
bbn: 2
Bij het gebruik van een chipcardtoken voor toegang tot systemen wordt bij het verwijderen van de token de toegangsbeveiligingslock automatisch geactiveerd.