Informatiebeveiliging
Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.
Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.
Beleidsregels
Beoordeling van het beleid
Rollen en verantwoordelijkheden
Scheiding van taken
Contact met overheidsinstanties
in projectbeheer
voor mobiele apparatuur
Telewerken
Screening
Arbeidsvoorwaarden
Directieverantwoordelijkheden
Bewustzijn, opleiding en training
Disciplinaire procedure
Beëindiging of wijziging van verantwoordelijkheden van het dienstverband
Inventariseren van bedrijfsmiddelen
Eigendom van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfsmiddelen
Teruggeven van bedrijfsmiddelen
Classificatie van informatie
Informatie labelen
Behandelen van bedrijfsmiddelen
Beheer van verwijderbare media
Media fysiek overdragen
Beleid voor toegangsbeveiliging
Toegang tot netwerken en netwerkdiensten
Registratie en afmelden van gebruikers
Gebruikers toegang verlenen
Beheren van speciale toegangsrechten
Beheer van geheime authenticatie-informatie van gebruikers
Beoordeling van toegangsrechten van gebruikers
Toegangsrechten intrekken of aanpassen
Geheime authenticatie-informatie gebruiken
Beperking toegang tot informatie
Beveiligde inlogprocedures
Systeem voor wachtwoordbeheer
Speciale systeemhulpmiddelen gebruiken
Toegangsbeveiliging op programmabroncode
Beleid inzake het gebruik van cryptografische beheersmaatregelen
Sleutelbeheer
Fysieke beveiligingszone
Kantoren, ruimten en faciliteiten beveiligen
Beschermen tegen bedreigingen van buitenaf
Werken in beveiligde gebieden
Laad- en loslocatie
Plaatsing en bescherming van apparatuur
Nutsvoorzieningen
Beveiliging van bekabeling
Onderhoud van apparatuur
Verwijdering van bedrijfsmiddelen
Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
Veilig verwijderen of hergebruiken van apparatuur
Onbeheerde gebruikersapparatuur
‘Clear desk’- en ‘clear screen’-beleid
Gedocumenteerde bedieningsprocedures
Wijzigingsbeheer
Capaciteitsbeheer
Scheiding van ontwikkel-, test- en productieomgevingen
Beheersmaatregelen tegen malware
Back-up van informatie
Gebeurtenissen registreren
Beschermen van informatie in logbestanden
Logbestanden van beheerders en operators
Kloksynchronisatie
Software installeren op operationele systemen
Beheer van technische kwetsbaarheden
Beperkingen voor het installeren van software
Beheersmaatregelen betreffende audits van informatiesystemen
Beheersmaatregelen voor netwerken
13.1.2 Beveiliging van netwerkdiensten
13.1.3 Scheiding in netwerken
13.2.1 Beleid en procedures voor informatietransport
13.2.2 Overeenkomsten over informatietransport
13.2.3 Elektronische berichten
13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst
14.1.1 Analyse en specificatie van informatiebeveiligingseisen
14.1.2 Toepassingen op openbare netwerken beveiligen
14.1.3 Transacties van toepassingen beschermen
14.2.1 Beleid voor beveiligd ontwikkelen
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen
14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform
14.2.5 Principes voor engineering van beveiligde systemen
14.2.6 Beveiligde ontwikkelomgeving
14.2.7 Uitbestede softwareontwikkeling
14.2.8 Testen van systeembeveiliging
14.2.9 Systeemacceptatietests
14.3.1 Bescherming van testgegevens
15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties
15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
15.1.3 Toeleveringsketen van informatie- en communicatietechnologie
15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers
15.2.2 Beheer van veranderingen in dienstverlening van leveranciers
16.1.1 Verantwoordelijkheden en procedures
16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen
16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging
16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
16.1.5 Respons op informatiebeveiligingsincidenten
16.1.6 Lering uit informatiebeveiligingsincidenten
16.1.7 Verzamelen van bewijsmateriaal
17.1.1 Informatiebeveiligingscontinuïteit plannen
17.1.2 Informatiebeveiligingscontinuïteit implementeren
17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren
17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten
18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen
18.1.2 Intellectuele-eigendomsrechten
18.1.3 Beschermen van registraties
18.1.4 Privacy en bescherming van persoonsgegevens
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
18.2.2 Naleving van beveiligingsbeleid en -normen
18.2.3 Beoordeling van technische naleving
etc. dit gaan we nog aanvullen en beantwoorden.