Informatiebeveiliging: verschil tussen versies
(Nieuwe pagina aangemaakt met 'Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen. Dit is een uniform normenkader voor de beveiliging van de 'informatiehuis...') |
|||
| Regel 1: | Regel 1: | ||
Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen. | Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen. | ||
| − | + | Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden. | |
'''Beleidsregels ''' | '''Beleidsregels ''' | ||
| Regel 40: | Regel 40: | ||
'''Classificatie van informatie''' | '''Classificatie van informatie''' | ||
| + | |||
| + | '''Informatie labelen''' | ||
| + | |||
| + | '''Behandelen van bedrijfsmiddelen''' | ||
| + | |||
| + | '''Beheer van verwijderbare media''' | ||
| + | |||
| + | '''Media fysiek overdragen''' | ||
| + | |||
| + | '''Beleid voor toegangsbeveiliging''' | ||
| + | |||
| + | '''Toegang tot netwerken en netwerkdiensten''' | ||
| + | |||
| + | '''Registratie en afmelden van gebruikers''' | ||
| + | |||
| + | '''Gebruikers toegang verlenen''' | ||
| + | |||
| + | '''Beheren van speciale toegangsrechten''' | ||
| + | |||
| + | '''Beheer van geheime authenticatie-informatie van gebruikers''' | ||
| + | |||
| + | '''Beoordeling van toegangsrechten van gebruikers''' | ||
| + | |||
| + | '''Toegangsrechten intrekken of aanpassen''' | ||
| + | |||
| + | '''Geheime authenticatie-informatie gebruiken''' | ||
| + | |||
| + | '''Beperking toegang tot informatie''' | ||
| + | |||
| + | '''Beveiligde inlogprocedures''' | ||
| + | |||
| + | '''Systeem voor wachtwoordbeheer''' | ||
| + | |||
| + | '''Speciale systeemhulpmiddelen gebruiken''' | ||
| + | |||
| + | '''Toegangsbeveiliging op programmabroncode''' | ||
| + | |||
| + | '''Beleid inzake het gebruik van cryptografische beheersmaatregelen''' | ||
| + | |||
| + | '''Sleutelbeheer''' | ||
| + | |||
| + | '''Fysieke beveiligingszone''' | ||
| + | |||
| + | '''Kantoren, ruimten en faciliteiten beveiligen''' | ||
| + | |||
| + | '''Beschermen tegen bedreigingen van buitenaf''' | ||
| + | |||
| + | '''Werken in beveiligde gebieden''' | ||
| + | |||
| + | '''Laad- en loslocatie''' | ||
| + | |||
| + | '''Plaatsing en bescherming van apparatuur''' | ||
| + | |||
| + | '''Nutsvoorzieningen''' | ||
| + | |||
| + | '''Beveiliging van bekabeling''' | ||
| + | |||
| + | '''Onderhoud van apparatuur''' | ||
| + | |||
| + | '''Verwijdering van bedrijfsmiddelen''' | ||
| + | |||
| + | '''Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein''' | ||
| + | |||
| + | '''Veilig verwijderen of hergebruiken van apparatuur''' | ||
| + | |||
| + | '''Onbeheerde gebruikersapparatuur''' | ||
| + | |||
| + | '''‘Clear desk’- en ‘clear screen’-beleid''' | ||
| + | |||
| + | '''Gedocumenteerde bedieningsprocedures''' | ||
| + | |||
| + | '''Wijzigingsbeheer''' | ||
| + | |||
| + | '''Capaciteitsbeheer''' | ||
| + | |||
| + | '''Scheiding van ontwikkel-, test- en productieomgevingen''' | ||
| + | |||
| + | '''Beheersmaatregelen tegen malware''' | ||
| + | |||
| + | '''Back-up van informatie''' | ||
| + | |||
| + | '''Gebeurtenissen registreren''' | ||
| + | |||
| + | '''Beschermen van informatie in logbestanden''' | ||
| + | |||
| + | '''Logbestanden van beheerders en operators''' | ||
| + | |||
| + | '''Kloksynchronisatie''' | ||
| + | |||
| + | '''Software installeren op operationele systemen''' | ||
| + | |||
| + | '''Beheer van technische kwetsbaarheden''' | ||
| + | |||
| + | '''Beperkingen voor het installeren van software''' | ||
| + | |||
| + | '''Beheersmaatregelen betreffende audits van informatiesystemen''' | ||
| + | |||
| + | '''Beheersmaatregelen voor netwerken''' | ||
| + | |||
| + | '''13.1.2 Beveiliging van netwerkdiensten''' | ||
| + | |||
| + | '''13.1.3 Scheiding in netwerken''' | ||
| + | |||
| + | '''13.2.1 Beleid en procedures voor informatietransport''' | ||
| + | |||
| + | '''13.2.2 Overeenkomsten over informatietransport''' | ||
| + | |||
| + | '''13.2.3 Elektronische berichten''' | ||
| + | |||
| + | '''13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst''' | ||
| + | |||
| + | '''14.1.1 Analyse en specificatie van informatiebeveiligingseisen''' | ||
| + | |||
| + | '''14.1.2 Toepassingen op openbare netwerken beveiligen''' | ||
| + | |||
| + | '''14.1.3 Transacties van toepassingen beschermen''' | ||
| + | |||
| + | '''14.2.1 Beleid voor beveiligd ontwikkelen''' | ||
| + | |||
| + | '''14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen''' | ||
| + | |||
| + | '''14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform''' | ||
| + | |||
| + | '''14.2.5 Principes voor engineering van beveiligde systemen''' | ||
| + | |||
| + | '''14.2.6 Beveiligde ontwikkelomgeving''' | ||
| + | |||
| + | '''14.2.7 Uitbestede softwareontwikkeling''' | ||
| + | |||
| + | '''14.2.8 Testen van systeembeveiliging''' | ||
| + | |||
| + | '''14.2.9 Systeemacceptatietests''' | ||
| + | |||
| + | '''14.3.1 Bescherming van testgegevens''' | ||
| + | |||
| + | '''15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties''' | ||
| + | |||
| + | '''15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten''' | ||
| + | |||
| + | '''15.1.3 Toeleveringsketen van informatie- en communicatietechnologie''' | ||
| + | |||
| + | '''15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers''' | ||
| + | |||
| + | '''15.2.2 Beheer van veranderingen in dienstverlening van leveranciers''' | ||
| + | |||
| + | '''16.1.1 Verantwoordelijkheden en procedures''' | ||
| + | |||
| + | '''16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen''' | ||
| + | |||
| + | '''16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging''' | ||
| + | |||
| + | '''16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen''' | ||
| + | |||
| + | '''16.1.5 Respons op informatiebeveiligingsincidenten''' | ||
| + | |||
| + | '''16.1.6 Lering uit informatiebeveiligingsincidenten''' | ||
| + | |||
| + | '''16.1.7 Verzamelen van bewijsmateriaal''' | ||
| + | |||
| + | '''17.1.1 Informatiebeveiligingscontinuïteit plannen''' | ||
| + | |||
| + | '''17.1.2 Informatiebeveiligingscontinuïteit implementeren''' | ||
| + | |||
| + | '''17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren''' | ||
| + | |||
| + | '''17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten''' | ||
| + | |||
| + | '''18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen''' | ||
| + | |||
| + | '''18.1.2 Intellectuele-eigendomsrechten''' | ||
| + | |||
| + | '''18.1.3 Beschermen van registraties''' | ||
| + | |||
| + | '''18.1.4 Privacy en bescherming van persoonsgegevens''' | ||
| + | |||
| + | '''18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen''' | ||
| + | |||
| + | '''18.2.1 Onafhankelijke beoordeling van informatiebeveiliging''' | ||
| + | |||
| + | '''18.2.2 Naleving van beveiligingsbeleid en -normen''' | ||
| + | |||
| + | '''18.2.3 Beoordeling van technische naleving''' | ||
| + | |||
etc. dit gaan we nog aanvullen en beantwoorden. | etc. dit gaan we nog aanvullen en beantwoorden. | ||
Versie van 30 jan 2023 om 18:22
Op basis van de Baseline Informatiebeveiliging Overheid (BIO) krijgt Petities.nl vragen.
Die BIO is een uniform normenkader voor de beveiliging van de 'informatiehuishouding' op basis van NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Externen zoals Petities.nl moeten naar aanleiding vragen over de informatiebeveiliging kunnen beantwoorden.
Beleidsregels
Beoordeling van het beleid
Rollen en verantwoordelijkheden
Scheiding van taken
Contact met overheidsinstanties
in projectbeheer
voor mobiele apparatuur
Telewerken
Screening
Arbeidsvoorwaarden
Directieverantwoordelijkheden
Bewustzijn, opleiding en training
Disciplinaire procedure
Beëindiging of wijziging van verantwoordelijkheden van het dienstverband
Inventariseren van bedrijfsmiddelen
Eigendom van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfsmiddelen
Teruggeven van bedrijfsmiddelen
Classificatie van informatie
Informatie labelen
Behandelen van bedrijfsmiddelen
Beheer van verwijderbare media
Media fysiek overdragen
Beleid voor toegangsbeveiliging
Toegang tot netwerken en netwerkdiensten
Registratie en afmelden van gebruikers
Gebruikers toegang verlenen
Beheren van speciale toegangsrechten
Beheer van geheime authenticatie-informatie van gebruikers
Beoordeling van toegangsrechten van gebruikers
Toegangsrechten intrekken of aanpassen
Geheime authenticatie-informatie gebruiken
Beperking toegang tot informatie
Beveiligde inlogprocedures
Systeem voor wachtwoordbeheer
Speciale systeemhulpmiddelen gebruiken
Toegangsbeveiliging op programmabroncode
Beleid inzake het gebruik van cryptografische beheersmaatregelen
Sleutelbeheer
Fysieke beveiligingszone
Kantoren, ruimten en faciliteiten beveiligen
Beschermen tegen bedreigingen van buitenaf
Werken in beveiligde gebieden
Laad- en loslocatie
Plaatsing en bescherming van apparatuur
Nutsvoorzieningen
Beveiliging van bekabeling
Onderhoud van apparatuur
Verwijdering van bedrijfsmiddelen
Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
Veilig verwijderen of hergebruiken van apparatuur
Onbeheerde gebruikersapparatuur
‘Clear desk’- en ‘clear screen’-beleid
Gedocumenteerde bedieningsprocedures
Wijzigingsbeheer
Capaciteitsbeheer
Scheiding van ontwikkel-, test- en productieomgevingen
Beheersmaatregelen tegen malware
Back-up van informatie
Gebeurtenissen registreren
Beschermen van informatie in logbestanden
Logbestanden van beheerders en operators
Kloksynchronisatie
Software installeren op operationele systemen
Beheer van technische kwetsbaarheden
Beperkingen voor het installeren van software
Beheersmaatregelen betreffende audits van informatiesystemen
Beheersmaatregelen voor netwerken
13.1.2 Beveiliging van netwerkdiensten
13.1.3 Scheiding in netwerken
13.2.1 Beleid en procedures voor informatietransport
13.2.2 Overeenkomsten over informatietransport
13.2.3 Elektronische berichten
13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst
14.1.1 Analyse en specificatie van informatiebeveiligingseisen
14.1.2 Toepassingen op openbare netwerken beveiligen
14.1.3 Transacties van toepassingen beschermen
14.2.1 Beleid voor beveiligd ontwikkelen
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen
14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform
14.2.5 Principes voor engineering van beveiligde systemen
14.2.6 Beveiligde ontwikkelomgeving
14.2.7 Uitbestede softwareontwikkeling
14.2.8 Testen van systeembeveiliging
14.2.9 Systeemacceptatietests
14.3.1 Bescherming van testgegevens
15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties
15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
15.1.3 Toeleveringsketen van informatie- en communicatietechnologie
15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers
15.2.2 Beheer van veranderingen in dienstverlening van leveranciers
16.1.1 Verantwoordelijkheden en procedures
16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen
16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging
16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
16.1.5 Respons op informatiebeveiligingsincidenten
16.1.6 Lering uit informatiebeveiligingsincidenten
16.1.7 Verzamelen van bewijsmateriaal
17.1.1 Informatiebeveiligingscontinuïteit plannen
17.1.2 Informatiebeveiligingscontinuïteit implementeren
17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren
17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten
18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen
18.1.2 Intellectuele-eigendomsrechten
18.1.3 Beschermen van registraties
18.1.4 Privacy en bescherming van persoonsgegevens
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
18.2.2 Naleving van beveiligingsbeleid en -normen
18.2.3 Beoordeling van technische naleving
etc. dit gaan we nog aanvullen en beantwoorden.
