5 Informatiebeveiligingsbeleid
- 5.1 Aansturing door de directie van de informatiebeveiliging
6 Organiseren van informatiebeveiliging
- 6.1 Interne organisatie
- 6.2 Mobiele apparatuur en telewerken
7 Veilig personeel
- 7.1 Voorafgaand aan het dienstverband
- 7.2 Tijdens het dienstverband
- 7.3 Beëindiging en wijziging van dienstverband
8 Beheer van bedrijfsmiddelen
- 8.1 Verantwoordelijkheid voor bedrijfsmiddelen
- 8.2 Informatieclassificatie
- 8.3 Behandelen van media
9 Toegangsbeveiliging
- 9.1 Bedrijfseisen voor toegangsbeveiliging
- 9.2 Beheer van toegangsrechten van gebruikers
- 9.3 Verantwoordelijkheden van gebruikers
- 9.4 Toegangsbeveiliging van systeem en toepassing
10 Cryptografie
- 10.1 Cryptografische beheersmaatregelen
11 Fysieke beveiliging en beveiliging van de omgeving
- 11.1 Beveiligde gebieden
- 11.2 Apparatuur
12 Beveiliging bedrijfsvoering
- 12.1 Bedieningsprocedures en verantwoordelijkheden
- 12.2 Bescherming tegen malware
- 12.3 Back-up
- 12.4 Verslaglegging en monitoren
- 12.5 Beheersing van operationele software
- 12.6 Beheer van technische kwetsbaarheden
- 12.7 Overwegingen betreffende audits van informatiesystemen
13 Communicatiebeveiliging
- 13.1 Beheer van netwerkbeveiliging
- 13.2 Informatietransport
14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
- 14.1 Beveiligingseisen voor informatiesystemen
- 14.2 Beveiliging in ontwikkelings- en ondersteunende processen
- 14.3 Testgegevens
15 Leveranciersrelaties
- 15.1 Informatiebeveiliging in leveranciersrelaties
- 15.2 Beheer van dienstverlening van leveranciers
16 Beheer van informatiebeveiligingsincidenten
- 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 17.1 Informatiebeveiligingscontinuïteit
- 17.2 Redundante componenten
18 Naleving
- 18.1 Naleving van wettelijke en contractuele eisen
- 18.2 Informatiebeveiligingsbeoordelingen

18. Naleving

18.1 Naleving van wettelijke en contractuele eisen

Doelstelling:

18.1.1

bbn: 1

Vaststellen van toepasselijke wetgeving en contractuele eisen

Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.

18.1.2

bbn: 1

Intellectuele-eigendomsrechten

Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.

18.1.3

bbn: 2

Beschermen van registraties

Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.

18.1.3.1

bbn: 2

De proceseigenaar heeft per soort informatie inzichtelijk gemaakt wat de bewaartermijn is.

18.1.4

bbn: 1

Privacy en bescherming van persoonsgegevens

Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante weten regelgeving.

18.1.4.1

bbn: 1

In overeenstemming met de AVG heeft iedere organisatie een Functionaris Gegevensbescherming (FG) met voldoende mandaat om zijn/haar functie uit te voeren.

18.1.4.2

bbn: 1

Organisaties controleren regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

18.1.5

bbn: 1

Voorschriften voor het gebruik van cryptografischebeheersmaatregelen

Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving.

18.1.5.1

bbn: 1

Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de pas toe of leg uit-lijst van het Forum.

18.2 Informatiebeveiligingsbeoordelingen

Doelstelling:

18.2.1

bbn: 1

Onafhankelijke beoordeling van informatiebeveiliging

De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheerdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld.

18.2.1.1

bbn: 2

Er is een information security information system (ISMS) waarmee aantoonbaar de gehele plan-do-check-act cyclus op gestructureerde wijze wordt afgedekt.

18.2.1.2

bbn: 2

Er is een vastgesteld auditplan waarin jaarlijks keuzes worden gemaakt voor welke systemen welk soort beveiligingsaudits worden uitgevoerd.

18.2.2

bbn: 1

Naleving van beveiligingsbeleid en -normen

De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

18.2.2.1

bbn: 1

In de P&C cyclus wordt gerapporteerd over informatiebeveiliging, resulterend in een jaarlijks af te geven In Control Verklaring (ICV) over de informatiebeveiliging. Indien voldoende herkenbaar kan de ICV voor informatiebeveiliging onderdeel zijn van de reguliere, generieke verantwoording.

18.2.3

bbn: 1

Beoordeling van technische naleving

Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.

18.2.3.1

bbn: 1

Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico's ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses of pentesten.