Informatiebeveiliging

Uit Petities
Versie door Rrr (Overleg | bijdragen) op 30 jan 2023 om 17:22

Ga naar: navigatie, zoeken

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.

Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.

Beleidsregels

Beoordeling van het beleid

Rollen en verantwoordelijkheden

Scheiding van taken

Contact met overheidsinstanties

in projectbeheer

voor mobiele apparatuur

Telewerken

Screening

Arbeidsvoorwaarden

Directieverantwoordelijkheden

Bewustzijn, opleiding en training

Disciplinaire procedure

Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

Inventariseren van bedrijfsmiddelen

Eigendom van bedrijfsmiddelen

Aanvaardbaar gebruik van bedrijfsmiddelen

Teruggeven van bedrijfsmiddelen

Classificatie van informatie

Informatie labelen

Behandelen van bedrijfsmiddelen

Beheer van verwijderbare media

Media fysiek overdragen

Beleid voor toegangsbeveiliging

Toegang tot netwerken en netwerkdiensten

Registratie en afmelden van gebruikers

Gebruikers toegang verlenen

Beheren van speciale toegangsrechten

Beheer van geheime authenticatie-informatie van gebruikers

Beoordeling van toegangsrechten van gebruikers

Toegangsrechten intrekken of aanpassen

Geheime authenticatie-informatie gebruiken

Beperking toegang tot informatie

Beveiligde inlogprocedures

Systeem voor wachtwoordbeheer

Speciale systeemhulpmiddelen gebruiken

Toegangsbeveiliging op programmabroncode

Beleid inzake het gebruik van cryptografische beheersmaatregelen

Sleutelbeheer

Fysieke beveiligingszone

Kantoren, ruimten en faciliteiten beveiligen

Beschermen tegen bedreigingen van buitenaf

Werken in beveiligde gebieden

Laad- en loslocatie

Plaatsing en bescherming van apparatuur

Nutsvoorzieningen

Beveiliging van bekabeling

Onderhoud van apparatuur

Verwijdering van bedrijfsmiddelen

Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

Veilig verwijderen of hergebruiken van apparatuur

Onbeheerde gebruikersapparatuur

‘Clear desk’- en ‘clear screen’-beleid

Gedocumenteerde bedieningsprocedures

Wijzigingsbeheer

Capaciteitsbeheer

Scheiding van ontwikkel-, test- en productieomgevingen

Beheersmaatregelen tegen malware

Back-up van informatie

Gebeurtenissen registreren

Beschermen van informatie in logbestanden

Logbestanden van beheerders en operators

Kloksynchronisatie

Software installeren op operationele systemen

Beheer van technische kwetsbaarheden

Beperkingen voor het installeren van software

Beheersmaatregelen betreffende audits van informatiesystemen

Beheersmaatregelen voor netwerken

13.1.2 Beveiliging van netwerkdiensten

13.1.3 Scheiding in netwerken

13.2.1 Beleid en procedures voor informatietransport

13.2.2 Overeenkomsten over informatietransport

13.2.3 Elektronische berichten

13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst

14.1.1 Analyse en specificatie van informatiebeveiligingseisen

14.1.2 Toepassingen op openbare netwerken beveiligen

14.1.3 Transacties van toepassingen beschermen

14.2.1 Beleid voor beveiligd ontwikkelen

14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen

14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform

14.2.5 Principes voor engineering van beveiligde systemen

14.2.6 Beveiligde ontwikkelomgeving

14.2.7 Uitbestede softwareontwikkeling

14.2.8 Testen van systeembeveiliging

14.2.9 Systeemacceptatietests

14.3.1 Bescherming van testgegevens

15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties

15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

15.1.3 Toeleveringsketen van informatie- en communicatietechnologie

15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers

15.2.2 Beheer van veranderingen in dienstverlening van leveranciers

16.1.1 Verantwoordelijkheden en procedures

16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen

16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

16.1.5 Respons op informatiebeveiligingsincidenten

16.1.6 Lering uit informatiebeveiligingsincidenten

16.1.7 Verzamelen van bewijsmateriaal

17.1.1 Informatiebeveiligingscontinuïteit plannen

17.1.2 Informatiebeveiligingscontinuïteit implementeren

17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten

18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen

18.1.2 Intellectuele-eigendomsrechten

18.1.3 Beschermen van registraties

18.1.4 Privacy en bescherming van persoonsgegevens

18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

18.2.1 Onafhankelijke beoordeling van informatiebeveiliging

18.2.2 Naleving van beveiligingsbeleid en -normen

18.2.3 Beoordeling van technische naleving


etc. dit gaan we nog aanvullen en beantwoorden.