From 9dbe89d70fa3945e2e9ae8fae31c7a60a14bb3e5 Mon Sep 17 00:00:00 2001 From: Richard Kranendonk Date: Tue, 21 Apr 2026 13:50:02 +0200 Subject: [PATCH] fixed incomplete references as text --- .../ISO 27002_2022_NL_Compleet.md | 240 +++++++++--------- .../ISO_27002_2022_NL_4.1_BT Hoofdstukken.md | 2 +- ...O_27002_2022_NL_5.18_BT Toegangsrechten.md | 2 +- ...an wijzigingen van leveranciersdiensten.md | 2 +- ...ging voor het gebruik van clouddiensten.md | 2 +- ...er van informatiebeveiligingsincidenten.md | 10 +- ...ren op informatiebeveiligingsincidenten.md | 10 +- ...en van informatiebeveiligingsincidenten.md | 4 +- ...ire, regelgevende en contractuele eisen.md | 2 +- ..._NL_5.33_BT Beschermen van registraties.md | 2 +- ...e beoordeling van informatiebeveiliging.md | 2 +- ...ls en normen voor informatiebeveiliging.md | 2 +- ...BT Gedocumenteerde bedieningsprocedures.md | 12 +- ...7002_2022_NL_6.2_BT Arbeidsovereenkomst.md | 14 +- ..._2022_NL_6.4_BT Disciplinaire procedure.md | 2 +- ...iging of wijziging van het dienstverband.md | 2 +- ...kheids- of geheimhoudingsovereenkomsten.md | 2 +- ..._27002_2022_NL_6.7_BT Werken op afstand.md | 2 +- .../ISO_27002_2022_NL_7.10_BT Opslagmedia.md | 4 +- ...022_NL_7.13_BT Onderhoud van apparatuur.md | 4 +- ...2_NL_7.2_BT Fysieke toegangsbeveiliging.md | 6 +- ...van bedrijfsmiddelen buiten het terrein.md | 6 +- ...egevenslekken (Data leakage prevention).md | 2 +- ..._2022_NL_8.13_BT Back-up van informatie.md | 4 +- ... van informatieverwerkende faciliteiten.md | 2 +- .../ISO_27002_2022_NL_8.15_BT Logging.md | 10 +- ...2_NL_8.16_BT Monitoren van activiteiten.md | 4 +- ...ebruik van speciale systeemhulpmiddelen.md | 12 +- ...n van software op operationele systemen.md | 23 +- ..._2022_NL_8.1_BT 'User endpoint devices'.md | 4 +- ..._8.20_BT Beveiliging netwerkcomponenten.md | 6 +- ...7002_2022_NL_8.22_BT Netwerksegmentatie.md | 4 +- ...022_NL_8.23_BT Toepassen van webfilters.md | 2 +- ...022_NL_8.24_BT Gebruik van cryptografie.md | 6 +- ...T Beveiligen tijdens de ontwikkelcyclus.md | 24 +- ...NL_8.26_BT Toepassingsbeveiligingseisen.md | 10 +- ...chitectuur en technische uitgangspunten.md | 4 +- ...SO_27002_2022_NL_8.28_BT Veilig coderen.md | 4 +- ...ging tijdens ontwikkeling en acceptatie.md | 12 +- ...2022_NL_8.2_BT Speciale toegangsrechten.md | 8 +- ..._8.30_BT Uitbestede systeemontwikkeling.md | 8 +- ...ntwikkel-, test- en productieomgevingen.md | 6 +- ..._27002_2022_NL_8.32_BT Wijzigingsbeheer.md | 6 +- .../ISO_27002_2022_NL_8.33_BT Testgegevens.md | 6 +- ...g van informatiesystemen tijdens audits.md | 2 +- ..._8.4_BT Toegangsbeveiliging op broncode.md | 2 +- ...022_NL_8.7_BT Bescherming tegen malware.md | 34 +-- ...BT Beheer van technische kwetsbaarheden.md | 12 +- ...27002_2022_NL_8.9_BT Configuratiebeheer.md | 4 +- 49 files changed, 258 insertions(+), 297 deletions(-) diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md index 4d737ed..aae4f43 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md @@ -519,7 +519,7 @@ d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlag --- Bijlage B -- Overeenstemming met ISO/IEC 27002:2013 -In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen. +In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4.2) kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen. Bijlage B laat zien hoe de beheersmaatregelen in deze editie van ISO/IEC 27002 overeenstemmen met de vorige editie uit 2013. @@ -2150,7 +2150,7 @@ i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren; j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen; -k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5, 5, 5, 5, 8); +k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5.24, 5.26, 5.29, 5.30, 8.14); l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten; @@ -2185,7 +2185,7 @@ Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen. -De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beherenit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5 en 5). +De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beherenit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5.19 en 5.20). Het gebruik van clouddiensten kan gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedtet is essentieel dat de verantwoordelijkheden voor zowel de aanbieder als de organisatie, handelend als afnemer van de clouddienst, op de juiste wijze worden gedefinieerd en geïmplementeerd. @@ -2315,7 +2315,7 @@ Het volgende behoort te worden overwogen: a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings- -gebeurtenissen met inbegrip van een contactpunt (zie 6; +gebeurtenissen met inbegrip van een contactpunt (zie 6.8) b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden; @@ -2346,17 +2346,17 @@ a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor informatiebeveiligingsincident uitmaakt; -b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen); +b) het monitoren (zie 8.15 en 8.16), detecteren (zie 8.16), classificeren (zie 5.25), analyseren en melden (zie 6.8) van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen); -c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden; +c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5.26), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden; d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe -belangengroepen en fora, leveranciers en klanten (zie 5en 5; +belangengroepen en fora, leveranciers en klanten (zie 5.5 en 5.6) e) het registreren van incidentbeheeractiviteiten; -f) het behandelen van bewijs (zie 5); +f) het behandelen van bewijs (zie 5.28); g) analyse van de onderliggende oorzaak of post-mortemprocedures; @@ -2452,7 +2452,7 @@ Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewe De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen. -Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten. +Een speciaal team met de vereiste competentie (zie 5.24) behoort te reageren op informatiebeveiligingsincidenten. De reactie behoort de volgende aspecten te omvatten: @@ -2460,11 +2460,11 @@ a) de systemen die door het incident worden getroffen inperken als de gevolgen v kunnen uitbreiden; -b) zo snel mogelijk na het incident bewijs verzamelen (zie 5); +b) zo snel mogelijk na het incident bewijs verzamelen (zie 5.28); c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door -bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5); +bedrijfscontinuïteitsplannen in te roepen (zie 5.29 en 5.30); d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor @@ -2478,14 +2478,14 @@ f) met interne en externe partijen, waaronder overheidsinstanties, belangengroep g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt; -h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5); +h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5.28); i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het -wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5); +wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5.24); j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren. @@ -2523,11 +2523,11 @@ De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincide a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren -(zie 5); +(zie 5.24); b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten; -c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven +c) de bewustwording en training van gebruikers (zie 6.3) te verbeteren door voorbeelden te geven van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden. @@ -2825,7 +2825,7 @@ Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omva a) contracten met klanten; -b) contracten met leveranciers (zie 5); +b) contracten met leveranciers (zie 5.20); c) verzekeringscontracten. @@ -2962,7 +2962,7 @@ registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registrati Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen. -Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8). +Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8.24). Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan. @@ -3056,7 +3056,7 @@ Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onaf De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard. -Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren. +Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1)], behoort het management corrigerende maatregelen te initiëren. @@ -3122,7 +3122,7 @@ d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid er om gebreken of zwakke plekken te identificeren. -Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied. +Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5.35) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied. Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld. @@ -3177,27 +3177,27 @@ b) de beveiligde installatie en configuratie van systemen; c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig; -d) back-up (zie 8) en veerkracht; +d) back-up (zie 8.13) en veerkracht; e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen; -f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen; +f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8.18)] die zich tijdens de uitvoering van een functie kunnen voordoen; g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden; -h) instructies voor het behandelen van opslagmedia (zie 7 en 7); +h) instructies voor het behandelen van opslagmedia (zie 7.10 en 7.14); i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van systeemstoringen; -j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en +j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8.15 en 8.16) en -videobewakingssystemen (zie 7; +videobewakingssystemen (zie 7.4) -k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies. +k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8.6 en 8.16); l) onderhoudsinstructies. Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen. @@ -3310,11 +3310,11 @@ Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld: -a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6; +a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6.6) b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of -wetgeving inzake gegevensbescherming (zie 5 en 5)]; +wetgeving inzake gegevensbescherming (zie 5.31 en 5.34)]; c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5); @@ -3322,13 +3322,13 @@ d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen infor e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt -(zie 6. +(zie 6.4) De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd. De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen. -Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6. +Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5) **Overige informatie** @@ -3441,7 +3441,7 @@ Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen be **Richtlijn** -De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5). +De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1). De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals: @@ -3574,7 +3574,7 @@ overeenkomst; j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst. -De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5). +De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5.31, 5.32, 5.33, 5.34). Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen. @@ -3617,7 +3617,7 @@ Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerp a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt; -b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6; +b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6.8) c) de verwachte fysieke werkomgevingen op afstand; @@ -3809,11 +3809,11 @@ Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde perso Met de volgende richtlijnen behoort rekening te worden gehouden: -a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5); +a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5.18); b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren -en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen; +en alle logbestanden (zie 5.33) en gevoelige authenticatie-informatie beschermen; c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones; @@ -4262,7 +4262,7 @@ wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de appara definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht; -d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5); +d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5.33); e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon @@ -4274,9 +4274,9 @@ implementeren. Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie: -a) fysiek monitoren van de beveiliging (zie 7; +a) fysiek monitoren van de beveiliging (zie 7.4) -b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7; +b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7.5) c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan; @@ -4353,7 +4353,7 @@ In deze beheersmaatregel worden onder media ook papieren documenten verstaanas b Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden: -a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8); +a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8.10); b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig @@ -4374,7 +4374,7 @@ f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden. -Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7). +Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14). **Overige informatie** @@ -4549,7 +4549,7 @@ f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud te g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen; -h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht; +h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7.9) toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht; i) voldoen aan alle door de verzekering opgelegde onderhoudseisen; @@ -4557,7 +4557,7 @@ j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert; -k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7) +k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7.14) indien wordt vastgesteld dat het nodig is apparatuur te verwijderen. @@ -4692,7 +4692,7 @@ l) het gebruik van internetdiensten en -toepassingen; -m)analyse van het gedrag van de eindgebruiker (zie 8); +m)analyse van het gedrag van de eindgebruiker (zie 8.16); n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en @@ -4702,7 +4702,7 @@ o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'use Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld. -De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten. +De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8.9) of geautomatiseerde instrumenten. Gebruikersverantwoordelijkheid @@ -4788,13 +4788,13 @@ Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten **Richtlijn** -Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen: +Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15)et volgende behoort te worden overwogen: a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of proces (bijvesturingssystemen, databasebeheersystemen en toepassingen); -b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol); +b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol); c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden; @@ -4804,9 +4804,9 @@ e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewu f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd; -g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5); +g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5.18); -h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5); +h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5.17); i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten; @@ -4980,7 +4980,7 @@ b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlen dat de risico\'s op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures; -c) de procedures voor wijzigingsbeheer (zie 8) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen; +c) de procedures voor wijzigingsbeheer (zie 8.32) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen; d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via @@ -5233,13 +5233,13 @@ noodprocedures, die de normale beheersmaatregelen tegen malware kan omzeilen; i) een proces implementeren om tijdelijk of permanent autorisatie te verlenen om bepaalde of alle maatregelen tegen malware uit te schakelen, waaronder bevoegdheden om in uitzonderingsgevallen goedkeuring te verlenen, gedocumenteerde onderbouwing en de beoordelingsdatumit kan nodig zijn wanneer de bescherming tegen malware een verstoring van de normale bedrijfsvoering veroorzaakt; -j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8); +j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8.13); k) omgevingen isoleren waar zich catastrofale gevolgen kunnen voordoen; l) procedures en verantwoordelijkheden vaststellen voor hoe om te gaan met bescherming tegen malware op systemen, met inbegrip van training in het gebruik ervan, het melden en herstellen van malwareaanvallen; -m)alle gebruikers bewustmaken of trainen (zie 6 hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven]; +m)alle gebruikers bewustmaken of trainen (zie 6.3) hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven]; n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals @@ -5294,7 +5294,7 @@ b) voor software en andere technologieën (op basis van de inventarislijst van b 5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden; -c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5); +c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5.20); d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is; @@ -5305,7 +5305,7 @@ e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare pene f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit -behoort te worden opgenomen in beveiligde codering (zie 8). +behoort te worden opgenomen in beveiligde codering (zie 8.28). De organisatie behoort procedures en capaciteiten te ontwikkelen om: @@ -5335,7 +5335,7 @@ De volgende richtlijnen behoren in overweging te worden genomen om technische kw a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden; -b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5); +b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8.32) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5.26); @@ -5364,7 +5364,7 @@ beheersmaatregelen overwegen, zoals: 3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van -netwerken (zie 8 t/m 8); +netwerken (zie 8.20 t/m 8.22); 4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende @@ -5389,11 +5389,11 @@ Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddie -omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt. +omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5.23). Voor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt. **Overige informatie** -Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8). +Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8.32). Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren. @@ -5487,13 +5487,13 @@ g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf inactiviteitsduur automatisch afmelden; -h) verifiëren dat aan licentie-eisen is voldaan (zie 5). +h) verifiëren dat aan licentie-eisen is voldaan (zie 5.32). Configuraties beheren Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen. -Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten: +Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8.32). Configuratieregistraties kunnen het volgende, indien relevant, bevatten: a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel; @@ -5774,7 +5774,7 @@ Een inherent element van het voorkomen van gegevenslekken is toezicht op de comm -Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5). +Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5.15 en 5.37). ## 8.13 Back-up van informatie @@ -5837,11 +5837,11 @@ voordat een back-up wordt gemaakt. Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen. -Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen. +Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5.30). Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen. Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie. -Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen. +Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8.10) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen. **Overige informatie** @@ -5902,7 +5902,7 @@ Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante info **Overige informatie** -Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. +Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5.30), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen. @@ -5988,7 +5988,7 @@ j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige geva toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product. -Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten. +Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8.17), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten. Logbestanden beschermen @@ -6006,14 +6006,14 @@ gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt ove Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand. -Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5). +Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5.28). -Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen. +Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8.11) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen. -Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5). +Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5.34). Analyse van logbestanden @@ -6066,7 +6066,7 @@ Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden g Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen. -Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen. +Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8.16) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen. Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases. @@ -6169,13 +6169,13 @@ Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren. -Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken. +Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5.36). Er behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5.26). Er behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken. **Overige informatie** Beveiligingsmonitoring kan worden verbeterd door: -a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5; +a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5.7) b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie; @@ -6265,7 +6265,7 @@ Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaat a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde -gebruikers dat praktisch haalbaar is (zie 8; +gebruikers dat praktisch haalbaar is (zie 8.2) b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, @@ -6321,13 +6321,13 @@ De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen e a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met -passende beheerdersrechten (zie 8; +passende beheerdersrechten (zie 8.2) b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op operationele systemen wordt geïnstalleerd; -c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8); +c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8.8 en 8.29); d) alle bijbehorende programmabronbibliotheken updaten; @@ -6352,7 +6352,7 @@ gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden. -Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5). +Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5.22). De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren. @@ -6401,11 +6401,11 @@ apparatuur (bijvouters, switches); d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten -met de ICT-systemen, al naargelang de situatie (zie 5; +met de ICT-systemen, al naargelang de situatie (zie 5.3) -e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden; +e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5.14, 8.24, 5.34 en 6.7). Er kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden; -f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8); +f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8.15 en 8.16); g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast; @@ -6540,9 +6540,9 @@ De organisatie behoort te overwegen de beveiliging van grote netwerken te behere -De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie. +De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5.15), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie. -Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd. +Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8.20), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd. **Overige informatie** @@ -6589,7 +6589,7 @@ websites die malware of phishinginhoud verspreiden); c) command-and-controlservers; -d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5; +d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5.7) e) websites die illegale inhoud delen. @@ -6644,7 +6644,7 @@ e) rollen en verantwoordelijkheden voor: 1) het implementeren van de regels voor doeltreffend gebruik van cryptografie; -2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8); +2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8.24); f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische @@ -6654,9 +6654,9 @@ g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen d op controle van de inhoud (bijvetectie van malware of het filteren van inhoud). -Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5). +Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5.31). -De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5). +De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5.20). Sleutelbeheer @@ -6752,40 +6752,40 @@ Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden: -a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8); +a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8.31); b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling: -1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8); +1) beveiliging in de softwareontwikkelmethodiek (zie 8.27 en 8.28); -2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8); +2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8.28); -c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5; +c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5.8) -d) beveiligingscontrolepunten in projecten (zie 5; +d) beveiligingscontrolepunten in projecten (zie 5.8) e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests -(zie 8); +(zie 8.29); -f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8; +f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8.4 en 8.9) -g) beveiliging in het versiebeheer (zie 8); +g) beveiliging in het versiebeheer (zie 8.9); -h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8); +h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8.28); i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren -(zie 8); +(zie 8.8); j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd -toekomstige licentieproblemen te voorkomen (zie 5). +toekomstige licentieproblemen te voorkomen (zie 5.32). -Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8). +Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8.30). **Overige informatie** @@ -6826,9 +6826,7 @@ Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie: -a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en - -8]; +a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5.17, 8.5 en 8.2)]; b) het identificeren van het door de toepassing te verwerken soort informatie en het @@ -6917,7 +6915,7 @@ d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp e e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen. -Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie). +Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8.24), waarbij wettelijke eisen in aanmerking worden genomen (zie 5.31 t/m 5.36, zie in het bijzonder 5.31 voor wetgeving betreffende cryptografie). **Overige informatie** @@ -6998,9 +6996,9 @@ c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versl d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen); -e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5); +e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5.15, 5.18 en 8.2); het omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5.17), gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12); -f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen. +f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5.17) en gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8.5) afdwingen. De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie. @@ -7082,7 +7080,7 @@ d) code documenteren en programmeerfouten verwijderen die anders misbruik van kw e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden. -Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd. +Er behoort tijdens en na het ontwikkelen te worden getest (zie 8.29). Met procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd. Alvorens software operationeel te maken, behoort: @@ -7096,7 +7094,7 @@ Nadat de code operationeel is gemaakt: a) behoren updates op beveiligde wijze te worden verpakt en ingezet; -b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8; +b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8.8) c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen; @@ -7163,11 +7161,11 @@ Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikk Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van: -a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)]; +a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8.5), toegangsbeperking (zie 8.3) en het gebruik van cryptografie (zie 8.24)]; -b) veilig coderen (zie 8); +b) veilig coderen (zie 8.28); -c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten. +c) beveiligde configuraties (zie 8.9, 8.20 en 8.21) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten. Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten: @@ -7189,9 +7187,9 @@ b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren. -Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria. +Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5.20). Voordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria. -Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8). +Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8.31). **Overige informatie** @@ -7228,13 +7226,13 @@ Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen: -a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5); +a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5.32); -b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8); +b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8.25 t/m 8.29); c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren; -d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8); +d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8.29); e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen); @@ -7246,7 +7244,7 @@ h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leveranci i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen; -j) beveiligingseisen voor de ontwikkelomgeving (zie 8); +j) beveiligingseisen voor de ontwikkelomgeving (zie 8.31); k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens). @@ -7293,7 +7291,7 @@ vanuit de ontwikkel- naar de productiestatus; c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen -voordat ze in productiesystemen worden toegepast (zie 8); +voordat ze in productiesystemen worden toegepast (zie 8.29); d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden; @@ -7336,11 +7334,11 @@ het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen. -Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie). +Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8.33) voor het beschermen van testinformatie. In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is. -Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8). +Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (zie 8.33). Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen. @@ -7385,7 +7383,7 @@ b) autorisatie van veranderingen; c) veranderingen aan relevante belanghebbenden communiceren; -d) tests en de aanvaarding van tests voor de veranderingen (zie 8); +d) tests en de aanvaarding van tests voor de veranderingen (zie 8.29); e) implementatie van veranderingen met inbegrip van inzetplannen; @@ -7395,7 +7393,7 @@ g) registraties onderhouden van veranderingen waarin alle bovenstaande punten wo opgenomen; -h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden +h) waarborgen dat bedieningsdocumentatie (zie 5.37) en gebruikersprocedures indien nodig worden gewijzigd om ze toepasbaar te houden; @@ -7409,7 +7407,7 @@ Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa. -Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates. +Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8.31). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates. De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren. @@ -7440,7 +7438,7 @@ De relevantie van het testen en de bescherming van operationele gegevens die voo **Richtlijn** -Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8). +Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8.31). De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt: @@ -7450,9 +7448,9 @@ b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien; -d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen; +d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8.11) bij gebruik voor testen; -e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen. +e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8.10) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen. Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt. @@ -7512,7 +7510,7 @@ Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en t **AAlgemeen** -Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4: +Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4.2): a) Typen beheersmaatregel (#Preventief, #Detectief, #Corrigerend) diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT Hoofdstukken.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT Hoofdstukken.md index 8973f49..6ab70d2 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT Hoofdstukken.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT Hoofdstukken.md @@ -34,7 +34,7 @@ d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlag -In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen. +In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4.2) kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md index 816f2a4..e711cf4 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md @@ -28,7 +28,7 @@ Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmid De procedure voor het toewijzen of intrekken van fysieke en logische toegangsrechten aan de geauthenticeerde identiteit van een entiteit behoort te omvatten: -a) autorisatie van de eigenaar van de informatie en andere gerelateerde bedrijfsmiddelen verkrijgen voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen (zie 5e verlening van aparte goedkeuring voor toegangsrechten door het management kan ook passend zijn; +a) autorisatie van de eigenaar van de informatie en andere gerelateerde bedrijfsmiddelen verkrijgen voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen (zie 5.9). De verlening van aparte goedkeuring voor toegangsrechten door het management kan ook passend zijn; b) de bedrijfseisen en het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie in overweging nemen; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten.md index 3873a91..82c0b22 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten.md @@ -60,7 +60,7 @@ i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren; j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen; -k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5, 5, 5, 5, 8); +k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5.24, 5.26, 5.29, 5.30, 8.14); l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT Informatiebeveiliging voor het gebruik van clouddiensten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT Informatiebeveiliging voor het gebruik van clouddiensten.md index c7faa4c..d0725b4 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT Informatiebeveiliging voor het gebruik van clouddiensten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT Informatiebeveiliging voor het gebruik van clouddiensten.md @@ -15,7 +15,7 @@ Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen. -De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beheren. Dit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5 en 5). +De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beheren. Dit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5.19 en 5.20). Het gebruik van clouddiensten kan gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt. Het is essentieel dat de verantwoordelijkheden voor zowel de aanbieder als de organisatie, handelend als afnemer van de clouddienst, op de juiste wijze worden gedefinieerd en geïmplementeerd. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md index f16b906..b0d3658 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md @@ -40,7 +40,7 @@ Het volgende behoort te worden overwogen: a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings- -gebeurtenissen met inbegrip van een contactpunt (zie 6; +gebeurtenissen met inbegrip van een contactpunt (zie 6.8) b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden; @@ -71,17 +71,17 @@ a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor informatiebeveiligingsincident uitmaakt; -b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen); +b) het monitoren (zie 8.15 en 8.16), detecteren (zie 8.16), classificeren (zie 5.25), analyseren en melden (zie 6.8) van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen); -c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden; +c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5.26), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden; d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe -belangengroepen en fora, leveranciers en klanten (zie 5en 5; +belangengroepen en fora, leveranciers en klanten (zie 5.5 en 5.6) e) het registreren van incidentbeheeractiviteiten; -f) het behandelen van bewijs (zie 5); +f) het behandelen van bewijs (zie 5.28); g) analyse van de onderliggende oorzaak of post-mortemprocedures; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md index f20640c..99dc918 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md @@ -27,7 +27,7 @@ Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewe De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen. -Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten. +Een speciaal team met de vereiste competentie (zie 5.24) behoort te reageren op informatiebeveiligingsincidenten. De reactie behoort de volgende aspecten te omvatten: @@ -35,11 +35,11 @@ a) de systemen die door het incident worden getroffen inperken als de gevolgen v kunnen uitbreiden; -b) zo snel mogelijk na het incident bewijs verzamelen (zie 5); +b) zo snel mogelijk na het incident bewijs verzamelen (zie 5.28); c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door -bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5); +bedrijfscontinuïteitsplannen in te roepen (zie 5.29 en 5.30); d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor @@ -53,14 +53,14 @@ f) met interne en externe partijen, waaronder overheidsinstanties, belangengroep g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt; -h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5); +h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5.28); i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het -wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5); +wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5.24); j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md index 467d871..7a88404 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md @@ -31,11 +31,11 @@ De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincide a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren -(zie 5); +(zie 5.24); b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten; -c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven +c) de bewustwording en training van gebruikers (zie 6.3) te verbeteren door voorbeelden te geven van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md index 1427dd2..119498c 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md @@ -105,7 +105,7 @@ Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omva a) contracten met klanten; -b) contracten met leveranciers (zie 5); +b) contracten met leveranciers (zie 5.20); c) verzekeringscontracten. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md index c179b0b..d596837 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md @@ -46,7 +46,7 @@ registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registrati Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen. -Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8). +Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8.24). Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md index 0b03d3a..0cc87b1 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md @@ -33,7 +33,7 @@ Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onaf De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard. -Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren. +Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1)], behoort het management corrigerende maatregelen te initiëren. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md index 7ce1d60..5a62918 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md @@ -44,7 +44,7 @@ d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid er om gebreken of zwakke plekken te identificeren. -Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied. +Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5.35) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied. Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md index e6c3356..334e663 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md @@ -48,27 +48,27 @@ b) de beveiligde installatie en configuratie van systemen; c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig; -d) back-up (zie 8) en veerkracht; +d) back-up (zie 8.13) en veerkracht; e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen; -f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen; +f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8.18)] die zich tijdens de uitvoering van een functie kunnen voordoen; g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden; -h) instructies voor het behandelen van opslagmedia (zie 7 en 7); +h) instructies voor het behandelen van opslagmedia (zie 7.10 en 7.14); i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van systeemstoringen; -j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en +j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8.15 en 8.16) en -videobewakingssystemen (zie 7; +videobewakingssystemen (zie 7.4) -k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies. +k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8.6 en 8.16); l) onderhoudsinstructies. Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md index 2ce25e8..e34d5d2 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md @@ -30,25 +30,21 @@ Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld: -a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6; +a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6.6) -b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of +b) wettelijke verantwoordelijkheden en rechten \[bijv. betreffende auteursrechtwetgeving of wetgeving inzake gegevensbescherming (zie 5.31 en 5.34)\]; -wetgeving inzake gegevensbescherming (zie 5 en 5)]; - -c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5); +c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5.9 t/m 5.13); d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen informatie; -e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt - -(zie 6. +e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt (zie 6.4) De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd. De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen. -Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6. +Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5) **Overige informatie** diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md index 2513622..180b1fb 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md @@ -25,7 +25,7 @@ Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen be **Richtlijn** -De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5). +De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1). De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals: diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md index 52d6231..0788305 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md @@ -25,7 +25,7 @@ De belangen van de organisatie beschermen als onderdeel van de wijzigings- of be **Richtlijn** -Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6erantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6ndere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden +Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6.6). Verantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6.2). Andere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden op het gebied van informatiebeveiliging bevatten. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md index 9739708..c143899 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md @@ -64,7 +64,7 @@ overeenkomst; j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst. -De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5). +De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5.31, 5.32, 5.33, 5.34). Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md index cbad6d6..66be0a9 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md @@ -36,7 +36,7 @@ Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerp a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt; -b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6; +b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6.8) c) de verwachte fysieke werkomgevingen op afstand; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md index 7289c64..f5f0637 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md @@ -68,7 +68,7 @@ In deze beheersmaatregel worden onder media ook papieren documenten verstaanas b Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden: -a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8); +a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8.10); b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig @@ -89,7 +89,7 @@ f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden. -Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7). +Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14). **Overige informatie** diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md index 089e954..03680e8 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md @@ -48,7 +48,7 @@ f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud te g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen; -h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht; +h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7.9) toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht; i) voldoen aan alle door de verzekering opgelegde onderhoudseisen; @@ -56,7 +56,7 @@ j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert; -k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7) +k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7.14) indien wordt vastgesteld dat het nodig is apparatuur te verwijderen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md index 68c8e21..bf1fb19 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md @@ -32,11 +32,11 @@ Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde perso Met de volgende richtlijnen behoort rekening te worden gehouden: -a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5); +a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5.18); b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren -en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen; +en alle logbestanden (zie 5.33) en gevoelige authenticatie-informatie beschermen; c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones; @@ -115,7 +115,7 @@ gevaarlijke materialen voordat ze vanaf laad- en loslocaties worden overgebracht e) inkomende leveringen bij binnenkomst op de zone in overeenstemming met de procedures voor -bedrijfsmiddelenbeheer registreren (zie 5en 7); +bedrijfsmiddelenbeheer registreren (zie 5.9 en 7.10); f) waar mogelijk, inkomende en uitgaande zendingen fysiek scheiden; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md index fe01765..c73404a 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md @@ -42,7 +42,7 @@ wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de appara definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht; -d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5); +d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5.33); e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon @@ -54,9 +54,9 @@ implementeren. Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie: -a) fysiek monitoren van de beveiliging (zie 7; +a) fysiek monitoren van de beveiliging (zie 7.4) -b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7; +b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7.5) c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md index e767339..9777823 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md @@ -73,4 +73,4 @@ Een inherent element van het voorkomen van gegevenslekken is toezicht op de comm -Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5). +Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5.15 en 5.37). diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md index 19cbb17..24d3f9f 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md @@ -62,11 +62,11 @@ voordat een back-up wordt gemaakt. Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen. -Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen. +Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5.30). Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen. Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie. -Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen. +Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8.10) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen. **Overige informatie** diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md index 693f59c..6085101 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md @@ -56,7 +56,7 @@ Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante info **Overige informatie** -Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. +Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5.30), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md index c381c7f..f478254 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md @@ -74,7 +74,7 @@ j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige geva toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product. -Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten. +Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8.17), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten. Logbestanden beschermen @@ -92,14 +92,14 @@ gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt ove Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand. -Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5). +Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5.28). -Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen. +Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8.11) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen. -Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5). +Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5.34). Analyse van logbestanden @@ -152,7 +152,7 @@ Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden g Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen. -Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen. +Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8.16) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen. Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md index d56474a..d73cf54 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md @@ -96,13 +96,13 @@ Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren. -Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken. +Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5.36). Er behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5.26). Er behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken. **Overige informatie** Beveiligingsmonitoring kan worden verbeterd door: -a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5; +a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5.7) b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md index c8fb69f..2666d96 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md @@ -25,21 +25,15 @@ Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aa Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen: -a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde +a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde gebruikers dat praktisch haalbaar is (zie 8.2) -gebruikers dat praktisch haalbaar is (zie 8; - -b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, - -met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt; +b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt; c) het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen; d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen; -e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot - -toepassingen op systemen waarbij segmentatie van functies vereist is; +e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot toepassingen op systemen waarbij segmentatie van functies vereist is; f) het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md index acd0291..ed4f2b6 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md @@ -27,19 +27,15 @@ De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen e a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met -passende beheerdersrechten (zie 8; +passende beheerdersrechten (zie 8.2) -b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op +b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op operationele systemen wordt geïnstalleerd; -operationele systemen wordt geïnstalleerd; - -c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8); +c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8.8 en 8.29); d) alle bijbehorende programmabronbibliotheken updaten; -e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie - -te beheersen; +e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie te beheersen; f) een roll-backstrategie definiëren alvorens wijzigingen te implementeren; @@ -47,18 +43,13 @@ g) een auditlogbestand bijhouden van alle updates van operationele software; h) oude versies van software, samen met alle vereiste informatie en parameters, procedures, configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang de software nodig is om gearchiveerde gegevens te lezen of te verwerken. -Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen)oftwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8en 8). +Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen). Softwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8.8 en 8.19). -Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijvoftwareprogramma\'s met modules die op externe locaties worden gehost)eze behoren te worden - - - - -gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden. +Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijv. softwareprogramma\'s met modules die op externe locaties worden gehost). Deze behoren te worden gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden. Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden. -Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5). +Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5.22). De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md index ba5413a..3469dc9 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md @@ -61,7 +61,7 @@ l) het gebruik van internetdiensten en -toepassingen; -m)analyse van het gedrag van de eindgebruiker (zie 8); +m)analyse van het gedrag van de eindgebruiker (zie 8.16); n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en @@ -71,7 +71,7 @@ o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'use Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld. -De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten. +De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8.9) of geautomatiseerde instrumenten. Gebruikersverantwoordelijkheid diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md index ca499da..574e7a9 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md @@ -42,11 +42,11 @@ apparatuur (bijvouters, switches); d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten -met de ICT-systemen, al naargelang de situatie (zie 5; +met de ICT-systemen, al naargelang de situatie (zie 5.3) -e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden; +e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5.14, 8.24, 5.34 en 6.7). Er kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden; -f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8); +f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8.15 en 8.16); g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md index 7abc9ba..f5750fd 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md @@ -28,9 +28,9 @@ De organisatie behoort te overwegen de beveiliging van grote netwerken te behere -De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie. +De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5.15), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie. -Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd. +Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8.20), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd. **Overige informatie** diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md index 5d3d3cc..08ab74b 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md @@ -42,7 +42,7 @@ websites die malware of phishinginhoud verspreiden); c) command-and-controlservers; -d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5; +d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5.7) e) websites die illegale inhoud delen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md index 245ae4c..e0b4b0e 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md @@ -44,7 +44,7 @@ e) rollen en verantwoordelijkheden voor: 1) het implementeren van de regels voor doeltreffend gebruik van cryptografie; -2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8); +2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8.24); f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische @@ -54,9 +54,9 @@ g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen d op controle van de inhoud (bijvetectie van malware of het filteren van inhoud). -Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5). +Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5.31). -De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5). +De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5.20). Sleutelbeheer diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md index 6fa408b..995c59e 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md @@ -25,40 +25,40 @@ Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden: -a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8); +a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8.31); b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling: -1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8); +1) beveiliging in de softwareontwikkelmethodiek (zie 8.27 en 8.28); -2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8); +2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8.28); -c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5; +c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5.8) -d) beveiligingscontrolepunten in projecten (zie 5; +d) beveiligingscontrolepunten in projecten (zie 5.8) e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests -(zie 8); +(zie 8.29); -f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8; +f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8.4 en 8.9) -g) beveiliging in het versiebeheer (zie 8); +g) beveiliging in het versiebeheer (zie 8.9); -h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8); +h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8.28); i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren -(zie 8); +(zie 8.8); j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd -toekomstige licentieproblemen te voorkomen (zie 5). +toekomstige licentieproblemen te voorkomen (zie 5.32). -Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8). +Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8.30). **Overige informatie** diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md index 5f97d8c..077712b 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md @@ -36,9 +36,7 @@ Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie: -a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en - -8]; +a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5.17, 8.5 en 8.2)]; b) het identificeren van het door de toepassing te verwerken soort informatie en het @@ -127,7 +125,7 @@ d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp e e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen. -Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie). +Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8.24), waarbij wettelijke eisen in aanmerking worden genomen (zie 5.31 t/m 5.36, zie in het bijzonder 5.31 voor wetgeving betreffende cryptografie). **Overige informatie** @@ -208,9 +206,9 @@ c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versl d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen); -e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5); +e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5.15, 5.18 en 8.2); het omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5.17), gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12); -f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen. +f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5.17) en gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8.5) afdwingen. De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md index 608a55d..296baab 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md @@ -71,9 +71,9 @@ c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versl d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen); -e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5); +e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5.15, 5.18 en 8.2); het omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5.17), gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12); -f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen. +f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5.17) en gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8.5) afdwingen. De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md index 2b5eb19..fc04adb 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md @@ -65,7 +65,7 @@ d) code documenteren en programmeerfouten verwijderen die anders misbruik van kw e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden. -Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd. +Er behoort tijdens en na het ontwikkelen te worden getest (zie 8.29). Met procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd. Alvorens software operationeel te maken, behoort: @@ -79,7 +79,7 @@ Nadat de code operationeel is gemaakt: a) behoren updates op beveiligde wijze te worden verpakt en ingezet; -b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8; +b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8.8) c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md index d8581a0..628979f 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md @@ -27,11 +27,11 @@ Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikk Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van: -a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)]; +a) beveiligingsfuncties \[bijv. authenticatie van gebruikers (zie 8.5), toegangsbeperking (zie 8.3) en het gebruik van cryptografie (zie 8.24)\]; -b) veilig coderen (zie 8); +b) veilig coderen (zie 8.28); -c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten. +c) beveiligde configuraties (zie 8.9, 8.20 en 8.21) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten. Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten: @@ -45,7 +45,7 @@ d) een besluit over verdere acties naarmate nodig is. De organisatie kan geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoort het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren. -Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5et volgende behoort te worden overwogen: +Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5.8). Het volgende behoort te worden overwogen: a) het uitvoeren van activiteiten om code te beoordelen als relevant element voor het testen op zwakke plekken in de beveiliging, met inbegrip van onvoorziene inputs en omstandigheden; @@ -53,9 +53,9 @@ b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren. -Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria. +Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgd. In de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5.20). Voordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria. -Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8). +Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8.31). **Overige informatie** diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md index b18837e..81fb2ab 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md @@ -26,13 +26,13 @@ Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten **Richtlijn** -Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen: +Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15)et volgende behoort te worden overwogen: a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of proces (bijvesturingssystemen, databasebeheersystemen en toepassingen); -b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol); +b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol); c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden; @@ -42,9 +42,9 @@ e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewu f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd; -g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5); +g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5.18); -h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5); +h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5.17); i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten; diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md index 0db7c3c..64e780c 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md @@ -30,13 +30,13 @@ Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen: -a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5); +a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5.32); -b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8); +b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8.25 t/m 8.29); c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren; -d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8); +d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8.29); e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen); @@ -48,7 +48,7 @@ h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leveranci i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen; -j) beveiligingseisen voor de ontwikkelomgeving (zie 8); +j) beveiligingseisen voor de ontwikkelomgeving (zie 8.31); k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens). diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md index 81044a2..00c0209 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md @@ -40,7 +40,7 @@ vanuit de ontwikkel- naar de productiestatus; c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen -voordat ze in productiesystemen worden toegepast (zie 8); +voordat ze in productiesystemen worden toegepast (zie 8.29); d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden; @@ -83,10 +83,10 @@ het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen. -Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie). +Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8.33) voor het beschermen van testinformatie. In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is. -Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8). +Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (zie 8.33). Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md index c8dda66..fbbfd42 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md @@ -42,7 +42,7 @@ b) autorisatie van veranderingen; c) veranderingen aan relevante belanghebbenden communiceren; -d) tests en de aanvaarding van tests voor de veranderingen (zie 8); +d) tests en de aanvaarding van tests voor de veranderingen (zie 8.29); e) implementatie van veranderingen met inbegrip van inzetplannen; @@ -52,7 +52,7 @@ g) registraties onderhouden van veranderingen waarin alle bovenstaande punten wo opgenomen; -h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden +h) waarborgen dat bedieningsdocumentatie (zie 5.37) en gebruikersprocedures indien nodig worden gewijzigd om ze toepasbaar te houden; @@ -66,6 +66,6 @@ Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa. -Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates. +Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8.31). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates. De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md index 2e2542e..5107222 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md @@ -25,7 +25,7 @@ De relevantie van het testen en de bescherming van operationele gegevens die voo **Richtlijn** -Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8). +Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8.31). De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt: @@ -35,9 +35,9 @@ b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien; -d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen; +d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8.11) bij gebruik voor testen; -e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen. +e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8.10) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen. Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md index d5bedb3..c0d1d69 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md @@ -52,7 +52,7 @@ Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en t **AAlgemeen** -Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4: +Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4.2): a) Typen beheersmaatregel (#Preventief, #Detectief, #Corrigerend) diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode.md index 1181e96..3e1f384 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode.md @@ -44,7 +44,7 @@ b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlen dat de risico\'s op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures; -c) de procedures voor wijzigingsbeheer (zie 8) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen; +c) de procedures voor wijzigingsbeheer (zie 8.32) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen; d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT Bescherming tegen malware.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT Bescherming tegen malware.md index f04935a..5b211b5 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT Bescherming tegen malware.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT Bescherming tegen malware.md @@ -25,23 +25,13 @@ Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen beschermd zijn **Richtlijn** -Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te +Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te worden overwogen: -worden overwogen: +a) regels en beheersmaatregelen implementeren die het gebruik van niet-geautoriseerde software voorkomen of detecteren \[bijv. een lijst maken van toegestane toepassingen ('allowlisting')\] (zie 8.19 en 8.32); -a) regels en beheersmaatregelen implementeren die het gebruik van niet-geautoriseerde software +b) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige websites voorkomen of detecteren (bijv. een blokkeerlijst opstellen ('blocklisting')); -voorkomen of detecteren [bijven lijst maken van toegestane toepassingen ('allowlisting')] (zie - -8 en 8); - -b) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige - -websites voorkomen of detecteren (bijven blokkeerlijst opstellen ('blocklisting')); - -c) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware [bijvia beheer - -van technische kwetsbaarheden (zie 8en 8)]; +c) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware \[bijv. via beheer van technische kwetsbaarheden (zie 8.8 en 8.19)\]; d) regelmatig geautomatiseerde validatie uitvoeren van de software en gegevensinhoud van systemen, met name voor systemen die kritische bedrijfsprocessen ondersteunen; de aanwezigheid van niet- goedgekeurde bestanden of ongeautoriseerde wijzigingen onderzoeken; @@ -51,17 +41,13 @@ bestanden en software van of via externe netwerken of op een ander medium; f) software voor het detecteren en herstellen van malware installeren en regelmatig bijwerken om computers en elektronische opslagmedia te scannen; reguliere scans uitvoeren die het volgende omvatten: -1) alle gegevens die via netwerken of via welke vorm van elektronische opslagmedia dan ook - -worden ontvangen, vóór gebruik op malware scannen; +1) alle gegevens die via netwerken of via welke vorm van elektronische opslagmedia dan ook worden ontvangen, vóór gebruik op malware scannen; 2) bijlagen bij e-mail en instantmessagingsystemen en downloads voorafgaand aan gebruik op malware scanneneze scan op verschillende plekken (bijvp mailservers, pc\'s) en bij binnenkomst in het netwerk van de organisatie uitvoeren; 3) webpagina\'s op malware scannen wanneer er toegang toe wordt gemaakt; - - g) de plaatsing en configuratie van hulpmiddelen voor het detecteren van malware en het herstel naar aanleiding daarvan vaststellen, op basis van de resultaten van de risicobeoordeling en rekening houdend met: 1) principes voor 'defence in depth' waar deze het doeltreffendst zouden zijnit kan bijvoorbeeld leiden tot de detectie van malware in een netwerkgateway (in verschillende toepassingsprotocollen zoals e-mail, bestandsoverdracht en internet) en in 'endpoint devices' van gebruikers en servers; @@ -76,20 +62,18 @@ noodprocedures, die de normale beheersmaatregelen tegen malware kan omzeilen; i) een proces implementeren om tijdelijk of permanent autorisatie te verlenen om bepaalde of alle maatregelen tegen malware uit te schakelen, waaronder bevoegdheden om in uitzonderingsgevallen goedkeuring te verlenen, gedocumenteerde onderbouwing en de beoordelingsdatumit kan nodig zijn wanneer de bescherming tegen malware een verstoring van de normale bedrijfsvoering veroorzaakt; -j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8); +j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8.13); k) omgevingen isoleren waar zich catastrofale gevolgen kunnen voordoen; l) procedures en verantwoordelijkheden vaststellen voor hoe om te gaan met bescherming tegen malware op systemen, met inbegrip van training in het gebruik ervan, het melden en herstellen van malwareaanvallen; -m)alle gebruikers bewustmaken of trainen (zie 6 hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven]; +m)alle gebruikers bewustmaken of trainen (zie 6.3) hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan \[de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven\]; -n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals - -abonnementen nemen op mailinglijsten of relevante websites bekijken; +n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals abonnementen nemen op mailinglijsten of relevante websites bekijken; o) verifiëren dat informatie met betrekking tot malware, zoals waarschuwingsbulletins, afkomstig is van gekwalificeerde en gerenommeerde bronnen (bijvetrouwbare internetsites of leveranciers van malwaredetectiesoftware), juist is en informatie biedt. **Overige informatie** -Het is niet altijd mogelijk om op bepaalde systemen (bijvepaalde industriële besturingssystemen) software te installeren die tegen malware beschermtepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken. +Het is niet altijd mogelijk om op bepaalde systemen (bijv. bepaalde industriële besturingssystemen) software te installeren die tegen malware beschermt. Bepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden.md index 58086e7..0ccc11a 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden.md @@ -41,7 +41,7 @@ b) voor software en andere technologieën (op basis van de inventarislijst van b 5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden; -c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5); +c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5.20); d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is; @@ -52,7 +52,7 @@ e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare pene f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit -behoort te worden opgenomen in beveiligde codering (zie 8). +behoort te worden opgenomen in beveiligde codering (zie 8.28). De organisatie behoort procedures en capaciteiten te ontwikkelen om: @@ -82,7 +82,7 @@ De volgende richtlijnen behoren in overweging te worden genomen om technische kw a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden; -b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5); +b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8.32) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5.26); @@ -111,7 +111,7 @@ beheersmaatregelen overwegen, zoals: 3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van -netwerken (zie 8 t/m 8); +netwerken (zie 8.20 t/m 8.22); 4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende @@ -136,11 +136,11 @@ Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddie -omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt. +omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5.23). Voor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt. **Overige informatie** -Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8). +Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8.32). Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren. diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md index a48c5fb..95c262f 100644 --- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md +++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md @@ -72,13 +72,13 @@ g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf inactiviteitsduur automatisch afmelden; -h) verifiëren dat aan licentie-eisen is voldaan (zie 5). +h) verifiëren dat aan licentie-eisen is voldaan (zie 5.32). Configuraties beheren Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen. -Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten: +Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8.32). Configuratieregistraties kunnen het volgende, indien relevant, bevatten: a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;