Informatiebeveiliging: verschil tussen versies

Uit Petities
Ga naar: navigatie, zoeken
(Nieuwe pagina aangemaakt met 'Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen. Dit is een uniform normenkader voor de beveiliging van de 'informatiehuis...')
 
Regel 1: Regel 1:
 
Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.  
 
Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.  
  
Dit is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl krijgen naar aanleiding daarvan ook informatiebeveiliging vragen:
+
Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.
  
 
'''Beleidsregels '''
 
'''Beleidsregels '''
Regel 40: Regel 40:
  
 
'''Classificatie van informatie'''
 
'''Classificatie van informatie'''
 +
 +
'''Informatie labelen'''
 +
 +
'''Behandelen van bedrijfsmiddelen'''
 +
 +
'''Beheer van verwijderbare media'''
 +
 +
'''Media fysiek overdragen'''
 +
 +
'''Beleid voor toegangsbeveiliging'''
 +
 +
'''Toegang tot netwerken en netwerkdiensten'''
 +
 +
'''Registratie en afmelden van gebruikers'''
 +
 +
'''Gebruikers toegang verlenen'''
 +
 +
'''Beheren van speciale toegangsrechten'''
 +
 +
'''Beheer van geheime authenticatie-informatie van gebruikers'''
 +
 +
'''Beoordeling van toegangsrechten van gebruikers'''
 +
 +
'''Toegangsrechten intrekken of aanpassen'''
 +
 +
'''Geheime authenticatie-informatie gebruiken'''
 +
 +
'''Beperking toegang tot informatie'''
 +
 +
'''Beveiligde inlogprocedures'''
 +
 +
'''Systeem voor wachtwoordbeheer'''
 +
 +
'''Speciale systeemhulpmiddelen gebruiken'''
 +
 +
'''Toegangsbeveiliging op programmabroncode'''
 +
 +
'''Beleid inzake het gebruik van cryptografische beheersmaatregelen'''
 +
 +
'''Sleutelbeheer'''
 +
 +
'''Fysieke beveiligingszone'''
 +
 +
'''Kantoren, ruimten en faciliteiten beveiligen'''
 +
 +
'''Beschermen tegen bedreigingen van buitenaf'''
 +
 +
'''Werken in beveiligde gebieden'''
 +
 +
'''Laad- en loslocatie'''
 +
 +
'''Plaatsing en bescherming van apparatuur'''
 +
 +
'''Nutsvoorzieningen'''
 +
 +
'''Beveiliging van bekabeling'''
 +
 +
'''Onderhoud van apparatuur'''
 +
 +
'''Verwijdering van bedrijfsmiddelen'''
 +
 +
'''Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein'''
 +
 +
'''Veilig verwijderen of hergebruiken van apparatuur'''
 +
 +
'''Onbeheerde gebruikersapparatuur'''
 +
 +
'''‘Clear desk’- en ‘clear screen’-beleid'''
 +
 +
'''Gedocumenteerde bedieningsprocedures'''
 +
 +
'''Wijzigingsbeheer'''
 +
 +
'''Capaciteitsbeheer'''
 +
 +
'''Scheiding van ontwikkel-, test- en productieomgevingen'''
 +
 +
'''Beheersmaatregelen tegen malware'''
 +
 +
'''Back-up van informatie'''
 +
 +
'''Gebeurtenissen registreren'''
 +
 +
'''Beschermen van informatie in logbestanden'''
 +
 +
'''Logbestanden van beheerders en operators'''
 +
 +
'''Kloksynchronisatie'''
 +
 +
'''Software installeren op operationele systemen'''
 +
 +
'''Beheer van technische kwetsbaarheden'''
 +
 +
'''Beperkingen voor het installeren van software'''
 +
 +
'''Beheersmaatregelen betreffende audits van informatiesystemen'''
 +
 +
'''Beheersmaatregelen voor netwerken'''
 +
 +
'''13.1.2 Beveiliging van netwerkdiensten'''
 +
 +
'''13.1.3 Scheiding in netwerken'''
 +
 +
'''13.2.1 Beleid en procedures voor informatietransport'''
 +
 +
'''13.2.2 Overeenkomsten over informatietransport'''
 +
 +
'''13.2.3 Elektronische berichten'''
 +
 +
'''13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst'''
 +
 +
'''14.1.1 Analyse en specificatie van informatiebeveiligingseisen'''
 +
 +
'''14.1.2 Toepassingen op openbare netwerken beveiligen'''
 +
 +
'''14.1.3 Transacties van toepassingen beschermen'''
 +
 +
'''14.2.1 Beleid voor beveiligd ontwikkelen'''
 +
 +
'''14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen'''
 +
 +
'''14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform'''
 +
 +
'''14.2.5 Principes voor engineering van beveiligde systemen'''
 +
 +
'''14.2.6 Beveiligde ontwikkelomgeving'''
 +
 +
'''14.2.7 Uitbestede softwareontwikkeling'''
 +
 +
'''14.2.8 Testen van systeembeveiliging'''
 +
 +
'''14.2.9 Systeemacceptatietests'''
 +
 +
'''14.3.1 Bescherming van testgegevens'''
 +
 +
'''15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties'''
 +
 +
'''15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten'''
 +
 +
'''15.1.3 Toeleveringsketen van informatie- en communicatietechnologie'''
 +
 +
'''15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers'''
 +
 +
'''15.2.2 Beheer van veranderingen in dienstverlening van leveranciers'''
 +
 +
'''16.1.1 Verantwoordelijkheden en procedures'''
 +
 +
'''16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen'''
 +
 +
'''16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging'''
 +
 +
'''16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen'''
 +
 +
'''16.1.5 Respons op informatiebeveiligingsincidenten'''
 +
 +
'''16.1.6 Lering uit informatiebeveiligingsincidenten'''
 +
 +
'''16.1.7 Verzamelen van bewijsmateriaal'''
 +
 +
'''17.1.1 Informatiebeveiligingscontinuïteit plannen'''
 +
 +
'''17.1.2 Informatiebeveiligingscontinuïteit implementeren'''
 +
 +
'''17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren'''
 +
 +
'''17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten'''
 +
 +
'''18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen'''
 +
 +
'''18.1.2 Intellectuele-eigendomsrechten'''
 +
 +
'''18.1.3 Beschermen van registraties'''
 +
 +
'''18.1.4 Privacy en bescherming van persoonsgegevens'''
 +
 +
'''18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen'''
 +
 +
'''18.2.1 Onafhankelijke beoordeling van informatiebeveiliging'''
 +
 +
'''18.2.2 Naleving van beveiligingsbeleid en -normen'''
 +
 +
'''18.2.3 Beoordeling van technische naleving'''
 +
  
 
etc. dit gaan we nog aanvullen en beantwoorden.
 
etc. dit gaan we nog aanvullen en beantwoorden.

Versie van 30 jan 2023 om 17:22

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.

Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.

Beleidsregels

Beoordeling van het beleid

Rollen en verantwoordelijkheden

Scheiding van taken

Contact met overheidsinstanties

in projectbeheer

voor mobiele apparatuur

Telewerken

Screening

Arbeidsvoorwaarden

Directieverantwoordelijkheden

Bewustzijn, opleiding en training

Disciplinaire procedure

Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

Inventariseren van bedrijfsmiddelen

Eigendom van bedrijfsmiddelen

Aanvaardbaar gebruik van bedrijfsmiddelen

Teruggeven van bedrijfsmiddelen

Classificatie van informatie

Informatie labelen

Behandelen van bedrijfsmiddelen

Beheer van verwijderbare media

Media fysiek overdragen

Beleid voor toegangsbeveiliging

Toegang tot netwerken en netwerkdiensten

Registratie en afmelden van gebruikers

Gebruikers toegang verlenen

Beheren van speciale toegangsrechten

Beheer van geheime authenticatie-informatie van gebruikers

Beoordeling van toegangsrechten van gebruikers

Toegangsrechten intrekken of aanpassen

Geheime authenticatie-informatie gebruiken

Beperking toegang tot informatie

Beveiligde inlogprocedures

Systeem voor wachtwoordbeheer

Speciale systeemhulpmiddelen gebruiken

Toegangsbeveiliging op programmabroncode

Beleid inzake het gebruik van cryptografische beheersmaatregelen

Sleutelbeheer

Fysieke beveiligingszone

Kantoren, ruimten en faciliteiten beveiligen

Beschermen tegen bedreigingen van buitenaf

Werken in beveiligde gebieden

Laad- en loslocatie

Plaatsing en bescherming van apparatuur

Nutsvoorzieningen

Beveiliging van bekabeling

Onderhoud van apparatuur

Verwijdering van bedrijfsmiddelen

Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

Veilig verwijderen of hergebruiken van apparatuur

Onbeheerde gebruikersapparatuur

‘Clear desk’- en ‘clear screen’-beleid

Gedocumenteerde bedieningsprocedures

Wijzigingsbeheer

Capaciteitsbeheer

Scheiding van ontwikkel-, test- en productieomgevingen

Beheersmaatregelen tegen malware

Back-up van informatie

Gebeurtenissen registreren

Beschermen van informatie in logbestanden

Logbestanden van beheerders en operators

Kloksynchronisatie

Software installeren op operationele systemen

Beheer van technische kwetsbaarheden

Beperkingen voor het installeren van software

Beheersmaatregelen betreffende audits van informatiesystemen

Beheersmaatregelen voor netwerken

13.1.2 Beveiliging van netwerkdiensten

13.1.3 Scheiding in netwerken

13.2.1 Beleid en procedures voor informatietransport

13.2.2 Overeenkomsten over informatietransport

13.2.3 Elektronische berichten

13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst

14.1.1 Analyse en specificatie van informatiebeveiligingseisen

14.1.2 Toepassingen op openbare netwerken beveiligen

14.1.3 Transacties van toepassingen beschermen

14.2.1 Beleid voor beveiligd ontwikkelen

14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen

14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform

14.2.5 Principes voor engineering van beveiligde systemen

14.2.6 Beveiligde ontwikkelomgeving

14.2.7 Uitbestede softwareontwikkeling

14.2.8 Testen van systeembeveiliging

14.2.9 Systeemacceptatietests

14.3.1 Bescherming van testgegevens

15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties

15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

15.1.3 Toeleveringsketen van informatie- en communicatietechnologie

15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers

15.2.2 Beheer van veranderingen in dienstverlening van leveranciers

16.1.1 Verantwoordelijkheden en procedures

16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen

16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

16.1.5 Respons op informatiebeveiligingsincidenten

16.1.6 Lering uit informatiebeveiligingsincidenten

16.1.7 Verzamelen van bewijsmateriaal

17.1.1 Informatiebeveiligingscontinuïteit plannen

17.1.2 Informatiebeveiligingscontinuïteit implementeren

17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten

18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen

18.1.2 Intellectuele-eigendomsrechten

18.1.3 Beschermen van registraties

18.1.4 Privacy en bescherming van persoonsgegevens

18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

18.2.1 Onafhankelijke beoordeling van informatiebeveiliging

18.2.2 Naleving van beveiligingsbeleid en -normen

18.2.3 Beoordeling van technische naleving


etc. dit gaan we nog aanvullen en beantwoorden.