Informatiebeveiliging: verschil tussen versies

Uit Petities
Ga naar: navigatie, zoeken
 
(Een tussenliggende versie door dezelfde gebruiker niet weergegeven)
Regel 1: Regel 1:
Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.  
+
Op basis van de [https://www.communicatierijk.nl/vakkennis/rijkswebsites/verplichte-richtlijnen/baseline-informatiebeveiliging-rijksdienst Baseline Informatiebeveiliging Overheid (BIO)] krijgt Petities.nl vragen.  
  
 
Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.  
 
Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.  
  
'''Beleidsregels '''
 
  
'''Beoordeling van het beleid'''
+
'''5.1.1 Beleidsregels voor informatiebeveiliging'''
  
'''Rollen en verantwoordelijkheden'''
+
'''5.1.2 Beoordeling van het informatiebeveiligingsbeleid'''
  
'''Scheiding van taken'''
+
'''6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging'''
  
'''Contact met overheidsinstanties'''
+
'''6.1.2 Scheiding van taken'''
  
'''in projectbeheer'''
+
'''6.1.3 Contact met overheidsinstanties'''
  
'''voor mobiele apparatuur'''
+
'''6.1.5 Informatiebeveiliging in projectbeheer'''
  
'''Telewerken'''
+
'''6.2.1 Beleid voor mobiele apparatuur'''
  
'''Screening'''
+
'''6.2.2 Telewerken'''
  
'''Arbeidsvoorwaarden'''
+
'''7.1.1 Screening'''
  
'''Directieverantwoordelijkheden'''
+
'''7.1.2 Arbeidsvoorwaarden'''
  
'''Bewustzijn, opleiding en training'''
+
'''7.2.1 Directieverantwoordelijkheden'''
  
'''Disciplinaire procedure'''
+
'''7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging'''
  
'''Beëindiging of wijziging van verantwoordelijkheden van het dienstverband'''
+
'''7.2.3 Disciplinaire procedure'''
  
'''Inventariseren van bedrijfsmiddelen'''
+
'''7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband'''
  
'''Eigendom van bedrijfsmiddelen'''
+
'''8.1.1 Inventariseren van bedrijfsmiddelen'''
  
'''Aanvaardbaar gebruik van bedrijfsmiddelen'''
+
'''8.1.2 Eigendom van bedrijfsmiddelen'''
  
'''Teruggeven van bedrijfsmiddelen'''
+
'''8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen'''
  
'''Classificatie van informatie'''
+
'''8.1.4 Teruggeven van bedrijfsmiddelen'''
  
'''Informatie labelen'''
+
'''8.2.1 Classificatie van informatie'''
  
'''Behandelen van bedrijfsmiddelen'''
+
'''8.2.2 Informatie labelen'''
  
'''Beheer van verwijderbare media'''
+
'''8.2.3 Behandelen van bedrijfsmiddelen'''
  
'''Media fysiek overdragen'''
+
'''8.3.1 Beheer van verwijderbare media'''
  
'''Beleid voor toegangsbeveiliging'''
+
'''8.3.2 Verwijderen van media'''
  
'''Toegang tot netwerken en netwerkdiensten'''
+
'''8.3.3 Media fysiek overdragen'''
  
'''Registratie en afmelden van gebruikers'''
+
'''9.1.1 Beleid voor toegangsbeveiliging'''
  
'''Gebruikers toegang verlenen'''
+
'''9.1.2 Toegang tot netwerken en netwerkdiensten'''
  
'''Beheren van speciale toegangsrechten'''
+
'''9.2.1 Registratie en afmelden van gebruikers'''
  
'''Beheer van geheime authenticatie-informatie van gebruikers'''
+
'''9.2.2 Gebruikers toegang verlenen'''
  
'''Beoordeling van toegangsrechten van gebruikers'''
+
'''9.2.3 Beheren van speciale toegangsrechten'''
  
'''Toegangsrechten intrekken of aanpassen'''
+
'''9.2.4 Beheer van geheime authenticatie-informatie van gebruikers'''
  
'''Geheime authenticatie-informatie gebruiken'''
+
'''9.2.5 Beoordeling van toegangsrechten van gebruikers'''
  
'''Beperking toegang tot informatie'''
+
'''9.2.6 Toegangsrechten intrekken of aanpassen'''
  
'''Beveiligde inlogprocedures'''
+
'''9.3.1 Geheime authenticatie-informatie gebruiken'''
  
'''Systeem voor wachtwoordbeheer'''
+
'''9.4.1 Beperking toegang tot informatie'''
  
'''Speciale systeemhulpmiddelen gebruiken'''
+
'''9.4.2 Beveiligde inlogprocedures'''
  
'''Toegangsbeveiliging op programmabroncode'''
+
'''9.4.3 Systeem voor wachtwoordbeheer'''
  
'''Beleid inzake het gebruik van cryptografische beheersmaatregelen'''
+
'''9.4.4 Speciale systeemhulpmiddelen gebruiken'''
  
'''Sleutelbeheer'''
+
'''9.4.5 Toegangsbeveiliging op programmabroncode'''
  
'''Fysieke beveiligingszone'''
+
'''10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen'''
  
'''Kantoren, ruimten en faciliteiten beveiligen'''
+
'''10.1.2 Sleutelbeheer'''
  
'''Beschermen tegen bedreigingen van buitenaf'''
+
'''11.1.1 Fysieke beveiligingszone'''
  
'''Werken in beveiligde gebieden'''
+
'''11.1.2 Fysieke toegangsbeveiliging'''
  
'''Laad- en loslocatie'''
+
'''11.1.3 Kantoren, ruimten en faciliteiten beveiligen'''
  
'''Plaatsing en bescherming van apparatuur'''
+
'''11.1.4 Beschermen tegen bedreigingen van buitenaf'''
  
'''Nutsvoorzieningen'''
+
'''11.1.5 Werken in beveiligde gebieden'''
  
'''Beveiliging van bekabeling'''
+
'''11.1.6 Laad- en loslocatie'''
  
'''Onderhoud van apparatuur'''
+
'''11.2.1 Plaatsing en bescherming van apparatuur'''
  
'''Verwijdering van bedrijfsmiddelen'''
+
'''11.2.2 Nutsvoorzieningen'''
  
'''Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein'''
+
'''11.2.3 Beveiliging van bekabeling'''
  
'''Veilig verwijderen of hergebruiken van apparatuur'''
+
'''11.2.4 Onderhoud van apparatuur'''
  
'''Onbeheerde gebruikersapparatuur'''
+
'''11.2.5 Verwijdering van bedrijfsmiddelen'''
  
'''‘Clear desk’- en ‘clear screen’-beleid'''
+
'''11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein'''
  
'''Gedocumenteerde bedieningsprocedures'''
+
'''11.2.7 Veilig verwijderen of hergebruiken van apparatuur'''
  
'''Wijzigingsbeheer'''
+
'''11.2.8 Onbeheerde gebruikersapparatuur'''
  
'''Capaciteitsbeheer'''
+
'''11.2.9 ‘Clear desk’- en ‘clear screen’-beleid'''
  
'''Scheiding van ontwikkel-, test- en productieomgevingen'''
+
'''12.1.1 Gedocumenteerde bedieningsprocedures'''
  
'''Beheersmaatregelen tegen malware'''
+
'''12.1.2 Wijzigingsbeheer'''
  
'''Back-up van informatie'''
+
'''12.1.3 Capaciteitsbeheer'''
  
'''Gebeurtenissen registreren'''
+
'''12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen'''
  
'''Beschermen van informatie in logbestanden'''
+
'''12.2.1 Beheersmaatregelen tegen malware'''
  
'''Logbestanden van beheerders en operators'''
+
'''12.3.1 Back-up van informatie'''
  
'''Kloksynchronisatie'''
+
'''12.4.1 Gebeurtenissen registreren'''
  
'''Software installeren op operationele systemen'''
+
'''12.4.2 Beschermen van informatie in logbestanden'''
  
'''Beheer van technische kwetsbaarheden'''
+
'''12.4.3 Logbestanden van beheerders en operators'''
  
'''Beperkingen voor het installeren van software'''
+
'''12.4.4 Kloksynchronisatie'''
  
'''Beheersmaatregelen betreffende audits van informatiesystemen'''
+
'''12.5.1 Software installeren op operationele systemen'''
  
'''Beheersmaatregelen voor netwerken'''
+
'''12.6.1 Beheer van technische kwetsbaarheden'''
 +
 
 +
'''12.6.2 Beperkingen voor het installeren van software'''
 +
 
 +
'''12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen'''
 +
 
 +
'''13.1.1 Beheersmaatregelen voor netwerken'''
  
 
'''13.1.2 Beveiliging van netwerkdiensten'''
 
'''13.1.2 Beveiliging van netwerkdiensten'''

Huidige versie van 30 jan 2023 om 20:12

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.

Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.


5.1.1 Beleidsregels voor informatiebeveiliging

5.1.2 Beoordeling van het informatiebeveiligingsbeleid

6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging

6.1.2 Scheiding van taken

6.1.3 Contact met overheidsinstanties

6.1.5 Informatiebeveiliging in projectbeheer

6.2.1 Beleid voor mobiele apparatuur

6.2.2 Telewerken

7.1.1 Screening

7.1.2 Arbeidsvoorwaarden

7.2.1 Directieverantwoordelijkheden

7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

7.2.3 Disciplinaire procedure

7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

8.1.1 Inventariseren van bedrijfsmiddelen

8.1.2 Eigendom van bedrijfsmiddelen

8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen

8.1.4 Teruggeven van bedrijfsmiddelen

8.2.1 Classificatie van informatie

8.2.2 Informatie labelen

8.2.3 Behandelen van bedrijfsmiddelen

8.3.1 Beheer van verwijderbare media

8.3.2 Verwijderen van media

8.3.3 Media fysiek overdragen

9.1.1 Beleid voor toegangsbeveiliging

9.1.2 Toegang tot netwerken en netwerkdiensten

9.2.1 Registratie en afmelden van gebruikers

9.2.2 Gebruikers toegang verlenen

9.2.3 Beheren van speciale toegangsrechten

9.2.4 Beheer van geheime authenticatie-informatie van gebruikers

9.2.5 Beoordeling van toegangsrechten van gebruikers

9.2.6 Toegangsrechten intrekken of aanpassen

9.3.1 Geheime authenticatie-informatie gebruiken

9.4.1 Beperking toegang tot informatie

9.4.2 Beveiligde inlogprocedures

9.4.3 Systeem voor wachtwoordbeheer

9.4.4 Speciale systeemhulpmiddelen gebruiken

9.4.5 Toegangsbeveiliging op programmabroncode

10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

10.1.2 Sleutelbeheer

11.1.1 Fysieke beveiligingszone

11.1.2 Fysieke toegangsbeveiliging

11.1.3 Kantoren, ruimten en faciliteiten beveiligen

11.1.4 Beschermen tegen bedreigingen van buitenaf

11.1.5 Werken in beveiligde gebieden

11.1.6 Laad- en loslocatie

11.2.1 Plaatsing en bescherming van apparatuur

11.2.2 Nutsvoorzieningen

11.2.3 Beveiliging van bekabeling

11.2.4 Onderhoud van apparatuur

11.2.5 Verwijdering van bedrijfsmiddelen

11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

11.2.7 Veilig verwijderen of hergebruiken van apparatuur

11.2.8 Onbeheerde gebruikersapparatuur

11.2.9 ‘Clear desk’- en ‘clear screen’-beleid

12.1.1 Gedocumenteerde bedieningsprocedures

12.1.2 Wijzigingsbeheer

12.1.3 Capaciteitsbeheer

12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen

12.2.1 Beheersmaatregelen tegen malware

12.3.1 Back-up van informatie

12.4.1 Gebeurtenissen registreren

12.4.2 Beschermen van informatie in logbestanden

12.4.3 Logbestanden van beheerders en operators

12.4.4 Kloksynchronisatie

12.5.1 Software installeren op operationele systemen

12.6.1 Beheer van technische kwetsbaarheden

12.6.2 Beperkingen voor het installeren van software

12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen

13.1.1 Beheersmaatregelen voor netwerken

13.1.2 Beveiliging van netwerkdiensten

13.1.3 Scheiding in netwerken

13.2.1 Beleid en procedures voor informatietransport

13.2.2 Overeenkomsten over informatietransport

13.2.3 Elektronische berichten

13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst

14.1.1 Analyse en specificatie van informatiebeveiligingseisen

14.1.2 Toepassingen op openbare netwerken beveiligen

14.1.3 Transacties van toepassingen beschermen

14.2.1 Beleid voor beveiligd ontwikkelen

14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen

14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform

14.2.5 Principes voor engineering van beveiligde systemen

14.2.6 Beveiligde ontwikkelomgeving

14.2.7 Uitbestede softwareontwikkeling

14.2.8 Testen van systeembeveiliging

14.2.9 Systeemacceptatietests

14.3.1 Bescherming van testgegevens

15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties

15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

15.1.3 Toeleveringsketen van informatie- en communicatietechnologie

15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers

15.2.2 Beheer van veranderingen in dienstverlening van leveranciers

16.1.1 Verantwoordelijkheden en procedures

16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen

16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

16.1.5 Respons op informatiebeveiligingsincidenten

16.1.6 Lering uit informatiebeveiligingsincidenten

16.1.7 Verzamelen van bewijsmateriaal

17.1.1 Informatiebeveiligingscontinuïteit plannen

17.1.2 Informatiebeveiligingscontinuïteit implementeren

17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten

18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen

18.1.2 Intellectuele-eigendomsrechten

18.1.3 Beschermen van registraties

18.1.4 Privacy en bescherming van persoonsgegevens

18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

18.2.1 Onafhankelijke beoordeling van informatiebeveiliging

18.2.2 Naleving van beveiligingsbeleid en -normen

18.2.3 Beoordeling van technische naleving


etc. dit gaan we nog aanvullen en beantwoorden.