fixed incomplete references as text

2026-04-21 13:50:02 +02:00 · 2026-04-21 13:50:02 +02:00 · 9dbe89d70f
commit 9dbe89d70f
parent e48550d135
49 changed files with 258 additions and 297 deletions
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO
@ -519,7 +519,7 @@ d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlag
 --- Bijlage B -- Overeenstemming met ISO/IEC 27002:2013
-In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.
+In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4.2) kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.
 Bijlage B laat zien hoe de beheersmaatregelen in deze editie van ISO/IEC 27002 overeenstemmen met de vorige editie uit 2013.
@ -2150,7 +2150,7 @@ i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren;
 j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen;
-k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5, 5, 5, 5, 8);
+k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5.24, 5.26, 5.29, 5.30, 8.14);
 l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten;
@ -2185,7 +2185,7 @@ Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren
 De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen.
-De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beherenit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5 en 5).
+De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beherenit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5.19 en 5.20).
 Het gebruik van clouddiensten kan gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedtet is essentieel dat de verantwoordelijkheden voor zowel de aanbieder als de organisatie, handelend als afnemer van de clouddienst, op de juiste wijze worden gedefinieerd en geïmplementeerd.
@ -2315,7 +2315,7 @@ Het volgende behoort te worden overwogen:
 a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings-
-gebeurtenissen met inbegrip van een contactpunt (zie 6;
+gebeurtenissen met inbegrip van een contactpunt (zie 6.8)
 b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden;
@ -2346,17 +2346,17 @@ a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor
 informatiebeveiligingsincident uitmaakt;
-b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
+b) het monitoren (zie 8.15 en 8.16), detecteren (zie 8.16), classificeren (zie 5.25), analyseren en melden (zie 6.8) van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
-c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
+c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5.26), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
 d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe
-belangengroepen en fora, leveranciers en klanten (zie 5en 5;
+belangengroepen en fora, leveranciers en klanten (zie 5.5 en 5.6)
 e) het registreren van incidentbeheeractiviteiten;
-f) het behandelen van bewijs (zie 5);
+f) het behandelen van bewijs (zie 5.28);
 g) analyse van de onderliggende oorzaak of post-mortemprocedures;
@ -2452,7 +2452,7 @@ Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewe
 De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen.
-Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten.
+Een speciaal team met de vereiste competentie (zie 5.24) behoort te reageren op informatiebeveiligingsincidenten.
 De reactie behoort de volgende aspecten te omvatten:
@ -2460,11 +2460,11 @@ a) de systemen die door het incident worden getroffen inperken als de gevolgen v
 kunnen uitbreiden;
-b) zo snel mogelijk na het incident bewijs verzamelen (zie 5);
+b) zo snel mogelijk na het incident bewijs verzamelen (zie 5.28);
 c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door
-bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5);
+bedrijfscontinuïteitsplannen in te roepen (zie 5.29 en 5.30);
 d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor
@ -2478,14 +2478,14 @@ f) met interne en externe partijen, waaronder overheidsinstanties, belangengroep
 g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt;
-h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5);
+h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5.28);
 i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het
-wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5);
+wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5.24);
 j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren.
@ -2523,11 +2523,11 @@ De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincide
 a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren
-(zie 5);
+(zie 5.24);
 b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten;
-c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven
+c) de bewustwording en training van gebruikers (zie 6.3) te verbeteren door voorbeelden te geven
 van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden.
@ -2825,7 +2825,7 @@ Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omva
 a) contracten met klanten;
-b) contracten met leveranciers (zie 5);
+b) contracten met leveranciers (zie 5.20);
 c) verzekeringscontracten.
@ -2962,7 +2962,7 @@ registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registrati
 Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen.
-Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8).
+Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8.24).
 Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan.
@ -3056,7 +3056,7 @@ Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onaf
 De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.
-Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren.
+Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1)], behoort het management corrigerende maatregelen te initiëren.
@ -3122,7 +3122,7 @@ d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid er
 om gebreken of zwakke plekken te identificeren.
-Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
+Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5.35) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
 Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld.
@ -3177,27 +3177,27 @@ b) de beveiligde installatie en configuratie van systemen;
 c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
-d) back-up (zie 8) en veerkracht;
+d) back-up (zie 8.13) en veerkracht;
 e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen;
-f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen;
+f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8.18)] die zich tijdens de uitvoering van een functie kunnen voordoen;
 g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van
 onverwachte bedienings- of technische moeilijkheden;
-h) instructies voor het behandelen van opslagmedia (zie 7 en 7);
+h) instructies voor het behandelen van opslagmedia (zie 7.10 en 7.14);
 i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van
 systeemstoringen;
-j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en
+j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8.15 en 8.16) en
-videobewakingssystemen (zie 7;
+videobewakingssystemen (zie 7.4)
-k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies.
+k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8.6 en 8.16); l) onderhoudsinstructies.
 Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen.
@ -3310,11 +3310,11 @@ Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het
 In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
-a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6;
+a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6.6)
 b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of
-wetgeving inzake gegevensbescherming (zie 5 en 5)];
+wetgeving inzake gegevensbescherming (zie 5.31 en 5.34)];
 c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5);
@ -3322,13 +3322,13 @@ d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen infor
 e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt
-(zie 6.
+(zie 6.4)
 De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd.
 De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen.
-Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.
+Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5)
 **Overige informatie**
@ -3441,7 +3441,7 @@ Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen be
 **Richtlijn**
-De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5).
+De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1).
 De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals:
@ -3574,7 +3574,7 @@ overeenkomst;
 j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst.
-De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5).
+De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5.31, 5.32, 5.33, 5.34).
 Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
@ -3617,7 +3617,7 @@ Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerp
 a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt;
-b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6;
+b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6.8)
 c) de verwachte fysieke werkomgevingen op afstand;
@ -3809,11 +3809,11 @@ Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde perso
 Met de volgende richtlijnen behoort rekening te worden gehouden:
-a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5);
+a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5.18);
 b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren
-en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen;
+en alle logbestanden (zie 5.33) en gevoelige authenticatie-informatie beschermen;
 c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones;
@ -4262,7 +4262,7 @@ wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de appara
 definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht;
-d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5);
+d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5.33);
 e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon
@ -4274,9 +4274,9 @@ implementeren.
 Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie:
-a) fysiek monitoren van de beveiliging (zie 7;
+a) fysiek monitoren van de beveiliging (zie 7.4)
-b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7;
+b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7.5)
 c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan;
@ -4353,7 +4353,7 @@ In deze beheersmaatregel worden onder media ook papieren documenten verstaanas b
 Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden:
-a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8);
+a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8.10);
 b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig
@ -4374,7 +4374,7 @@ f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het
 waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
-Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7).
+Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14).
 **Overige informatie**
@ -4549,7 +4549,7 @@ f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud te
 g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen;
-h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
+h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7.9) toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
 i) voldoen aan alle door de verzekering opgelegde onderhoudseisen;
@ -4557,7 +4557,7 @@ j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie
 waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert;
-k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7)
+k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7.14)
 indien wordt vastgesteld dat het nodig is apparatuur te verwijderen.
@ -4692,7 +4692,7 @@ l) het gebruik van internetdiensten en -toepassingen;
-m)analyse van het gedrag van de eindgebruiker (zie 8);
+m)analyse van het gedrag van de eindgebruiker (zie 8.16);
 n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en
@ -4702,7 +4702,7 @@ o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'use
 Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld.
-De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten.
+De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8.9) of geautomatiseerde instrumenten.
 <u>Gebruikersverantwoordelijkheid</u>
@ -4788,13 +4788,13 @@ Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten
 **Richtlijn**
-Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen:
+Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15)et volgende behoort te worden overwogen:
 a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of
 proces (bijvesturingssystemen, databasebeheersystemen en toepassingen);
-b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
+b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
 c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden;
@ -4804,9 +4804,9 @@ e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewu
 f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd;
-g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5);
+g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5.18);
-h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5);
+h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5.17);
 i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten;
@ -4980,7 +4980,7 @@ b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlen
 dat de risico\'s op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures;
-c) de procedures voor wijzigingsbeheer (zie 8) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
+c) de procedures voor wijzigingsbeheer (zie 8.32) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
 d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via
@ -5233,13 +5233,13 @@ noodprocedures, die de normale beheersmaatregelen tegen malware kan omzeilen;
 i) een proces implementeren om tijdelijk of permanent autorisatie te verlenen om bepaalde of alle maatregelen tegen malware uit te schakelen, waaronder bevoegdheden om in uitzonderingsgevallen goedkeuring te verlenen, gedocumenteerde onderbouwing en de beoordelingsdatumit kan nodig zijn wanneer de bescherming tegen malware een verstoring van de normale bedrijfsvoering veroorzaakt;
-j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8);
+j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8.13);
 k) omgevingen isoleren waar zich catastrofale gevolgen kunnen voordoen;
 l) procedures en verantwoordelijkheden vaststellen voor hoe om te gaan met bescherming tegen malware op systemen, met inbegrip van training in het gebruik ervan, het melden en herstellen van malwareaanvallen;
-m)alle gebruikers bewustmaken of trainen (zie 6 hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven];
+m)alle gebruikers bewustmaken of trainen (zie 6.3) hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven];
 n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals
@ -5294,7 +5294,7 @@ b) voor software en andere technologieën (op basis van de inventarislijst van b
 5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden;
-c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5);
+c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5.20);
 d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is;
@ -5305,7 +5305,7 @@ e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare pene
 f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit
-behoort te worden opgenomen in beveiligde codering (zie 8).
+behoort te worden opgenomen in beveiligde codering (zie 8.28).
 De organisatie behoort procedures en capaciteiten te ontwikkelen om:
@ -5335,7 +5335,7 @@ De volgende richtlijnen behoren in overweging te worden genomen om technische kw
 a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden;
-b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5);
+b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8.32) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5.26);
@ -5364,7 +5364,7 @@ beheersmaatregelen overwegen, zoals:
 3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van
-netwerken (zie 8 t/m 8);
+netwerken (zie 8.20 t/m 8.22);
 4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende
@ -5389,11 +5389,11 @@ Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddie
-omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
+omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5.23). Voor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
 **Overige informatie**
-Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8).
+Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8.32).
 Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren.
@ -5487,13 +5487,13 @@ g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf
 inactiviteitsduur automatisch afmelden;
-h) verifiëren dat aan licentie-eisen is voldaan (zie 5).
+h) verifiëren dat aan licentie-eisen is voldaan (zie 5.32).
 <u>Configuraties beheren</u>
 Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen.
-Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten:
+Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8.32). Configuratieregistraties kunnen het volgende, indien relevant, bevatten:
 a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;
@ -5774,7 +5774,7 @@ Een inherent element van het voorkomen van gegevenslekken is toezicht op de comm
-Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5).
+Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5.15 en 5.37).
 ## 8.13 Back-up van informatie
@ -5837,11 +5837,11 @@ voordat een back-up wordt gemaakt.
 Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen.
-Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
+Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5.30). Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
 Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie.
-Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
+Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8.10) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
 **Overige informatie**
@ -5902,7 +5902,7 @@ Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante info
 **Overige informatie**
-Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
+Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5.30), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
 Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen.
@ -5988,7 +5988,7 @@ j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige geva
 toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product.
-Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
+Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8.17), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
 <u>Logbestanden beschermen</u>
@ -6006,14 +6006,14 @@ gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt ove
 Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand.
-Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5).
+Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5.28).
-Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
+Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8.11) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
-Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5).
+Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5.34).
 <u>Analyse van logbestanden</u>
@ -6066,7 +6066,7 @@ Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden g
 Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen.
-Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
+Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8.16) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
 Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases.
@ -6169,13 +6169,13 @@ Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar
 zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.
-Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
+Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5.36). Er behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5.26). Er behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
 **Overige informatie**
 Beveiligingsmonitoring kan worden verbeterd door:
-a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5;
+a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5.7)
 b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie;
@ -6265,7 +6265,7 @@ Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaat
 a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde
-gebruikers dat praktisch haalbaar is (zie 8;
+gebruikers dat praktisch haalbaar is (zie 8.2)
 b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen,
@ -6321,13 +6321,13 @@ De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen e
 a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met
-passende beheerdersrechten (zie 8;
+passende beheerdersrechten (zie 8.2)
 b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op
 operationele systemen wordt geïnstalleerd;
-c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8);
+c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8.8 en 8.29);
 d) alle bijbehorende programmabronbibliotheken updaten;
@ -6352,7 +6352,7 @@ gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot
 Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden.
-Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5).
+Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5.22).
 De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren.
@ -6401,11 +6401,11 @@ apparatuur (bijvouters, switches);
 d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten
-met de ICT-systemen, al naargelang de situatie (zie 5;
+met de ICT-systemen, al naargelang de situatie (zie 5.3)
-e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
+e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5.14, 8.24, 5.34 en 6.7). Er kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
-f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8);
+f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8.15 en 8.16);
 g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
@ -6540,9 +6540,9 @@ De organisatie behoort te overwegen de beveiliging van grote netwerken te behere
-De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
+De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5.15), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
-Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
+Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8.20), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
 **Overige informatie**
@ -6589,7 +6589,7 @@ websites die malware of phishinginhoud verspreiden);
 c) command-and-controlservers;
-d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5;
+d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5.7)
 e) websites die illegale inhoud delen.
@ -6644,7 +6644,7 @@ e) rollen en verantwoordelijkheden voor:
 1) het implementeren van de regels voor doeltreffend gebruik van cryptografie;
-2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8);
+2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8.24);
 f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische
@ -6654,9 +6654,9 @@ g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen d
 op controle van de inhoud (bijvetectie van malware of het filteren van inhoud).
-Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5).
+Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5.31).
-De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5).
+De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5.20).
 <u>Sleutelbeheer</u>
@ -6752,40 +6752,40 @@ Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van
 Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden:
-a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8);
+a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8.31);
 b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling:
-1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8);
+1) beveiliging in de softwareontwikkelmethodiek (zie 8.27 en 8.28);
-2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8);
+2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8.28);
-c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5;
+c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5.8)
-d) beveiligingscontrolepunten in projecten (zie 5;
+d) beveiligingscontrolepunten in projecten (zie 5.8)
 e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests
-(zie 8);
+(zie 8.29);
-f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8;
+f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8.4 en 8.9)
-g) beveiliging in het versiebeheer (zie 8);
+g) beveiliging in het versiebeheer (zie 8.9);
-h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8);
+h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8.28);
 i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren
-(zie 8);
+(zie 8.8);
 j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd
-toekomstige licentieproblemen te voorkomen (zie 5).
+toekomstige licentieproblemen te voorkomen (zie 5.32).
-Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8).
+Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8.30).
 **Overige informatie**
@ -6826,9 +6826,7 @@ Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk
 Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie:
-a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en
+a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5.17, 8.5 en 8.2)];
 8];
 b) het identificeren van het door de toepassing te verwerken soort informatie en het
@ -6917,7 +6915,7 @@ d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp e
 e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen.
-Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie).
+Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8.24), waarbij wettelijke eisen in aanmerking worden genomen (zie 5.31 t/m 5.36, zie in het bijzonder 5.31 voor wetgeving betreffende cryptografie).
 **Overige informatie**
@ -6998,9 +6996,9 @@ c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versl
 d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
-e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
+e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5.15, 5.18 en 8.2); het omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5.17), gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12);
-f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
+f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5.17) en gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8.5) afdwingen.
 De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
@ -7082,7 +7080,7 @@ d) code documenteren en programmeerfouten verwijderen die anders misbruik van kw
 e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden.
-Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
+Er behoort tijdens en na het ontwikkelen te worden getest (zie 8.29). Met procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
 Alvorens software operationeel te maken, behoort:
@ -7096,7 +7094,7 @@ Nadat de code operationeel is gemaakt:
 a) behoren updates op beveiligde wijze te worden verpakt en ingezet;
-b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8;
+b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8.8)
 c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen;
@ -7163,11 +7161,11 @@ Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikk
 Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van:
-a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)];
+a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8.5), toegangsbeperking (zie 8.3) en het gebruik van cryptografie (zie 8.24)];
-b) veilig coderen (zie 8);
+b) veilig coderen (zie 8.28);
-c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
+c) beveiligde configuraties (zie 8.9, 8.20 en 8.21) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
 Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten:
@ -7189,9 +7187,9 @@ b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in
 c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren.
-Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
+Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5.20). Voordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
-Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8).
+Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8.31).
 **Overige informatie**
@ -7228,13 +7226,13 @@ Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen
 Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
-a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5);
+a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5.32);
-b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8);
+b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8.25 t/m 8.29);
 c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren;
-d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8);
+d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8.29);
 e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen);
@ -7246,7 +7244,7 @@ h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leveranci
 i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
-j) beveiligingseisen voor de ontwikkelomgeving (zie 8);
+j) beveiligingseisen voor de ontwikkelomgeving (zie 8.31);
 k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens).
@ -7293,7 +7291,7 @@ vanuit de ontwikkel- naar de productiestatus;
 c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen
-voordat ze in productiesystemen worden toegepast (zie 8);
+voordat ze in productiesystemen worden toegepast (zie 8.29);
 d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden;
@ -7336,11 +7334,11 @@ het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot
 Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen.
-Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie).
+Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8.33) voor het beschermen van testinformatie.
 In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is.
-Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8).
+Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (zie 8.33).
 Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen.
@ -7385,7 +7383,7 @@ b) autorisatie van veranderingen;
 c) veranderingen aan relevante belanghebbenden communiceren;
-d) tests en de aanvaarding van tests voor de veranderingen (zie 8);
+d) tests en de aanvaarding van tests voor de veranderingen (zie 8.29);
 e) implementatie van veranderingen met inbegrip van inzetplannen;
@ -7395,7 +7393,7 @@ g) registraties onderhouden van veranderingen waarin alle bovenstaande punten wo
 opgenomen;
-h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden
+h) waarborgen dat bedieningsdocumentatie (zie 5.37) en gebruikersprocedures indien nodig worden
 gewijzigd om ze toepasbaar te houden;
@ -7409,7 +7407,7 @@ Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten
 Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
-Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
+Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8.31). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
 De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren.
@ -7440,7 +7438,7 @@ De relevantie van het testen en de bescherming van operationele gegevens die voo
 **Richtlijn**
-Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8).
+Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8.31).
 De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt:
@ -7450,9 +7448,9 @@ b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd
 c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien;
-d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen;
+d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8.11) bij gebruik voor testen;
-e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
+e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8.10) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
 Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt.
@ -7512,7 +7510,7 @@ Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en t
 **AAlgemeen**
-Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4:
+Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4.2):
 a) Typen beheersmaatregel (#Preventief, #Detectief, #Corrigerend)
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_4.1_BT
@ -34,7 +34,7 @@ d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlag
-In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.
+In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4.2) kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT
@ -28,7 +28,7 @@ Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmid
 De procedure voor het toewijzen of intrekken van fysieke en logische toegangsrechten aan de geauthenticeerde identiteit van een entiteit behoort te omvatten:
-a) autorisatie van de eigenaar van de informatie en andere gerelateerde bedrijfsmiddelen verkrijgen voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen (zie 5e verlening van aparte goedkeuring voor toegangsrechten door het management kan ook passend zijn;
+a) autorisatie van de eigenaar van de informatie en andere gerelateerde bedrijfsmiddelen verkrijgen voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen (zie 5.9). De verlening van aparte goedkeuring voor toegangsrechten door het management kan ook passend zijn;
 b) de bedrijfseisen en het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie in overweging nemen;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.22_BT
@ -60,7 +60,7 @@ i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren;
 j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen;
-k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5, 5, 5, 5, 8);
+k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5.24, 5.26, 5.29, 5.30, 8.14);
 l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.23_BT
@ -15,7 +15,7 @@ Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren
 De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen.
-De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beheren. Dit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5 en 5).
+De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beheren. Dit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5.19 en 5.20).
 Het gebruik van clouddiensten kan gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt. Het is essentieel dat de verantwoordelijkheden voor zowel de aanbieder als de organisatie, handelend als afnemer van de clouddienst, op de juiste wijze worden gedefinieerd en geïmplementeerd.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT
@ -40,7 +40,7 @@ Het volgende behoort te worden overwogen:
 a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings-
-gebeurtenissen met inbegrip van een contactpunt (zie 6;
+gebeurtenissen met inbegrip van een contactpunt (zie 6.8)
 b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden;
@ -71,17 +71,17 @@ a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor
 informatiebeveiligingsincident uitmaakt;
-b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
+b) het monitoren (zie 8.15 en 8.16), detecteren (zie 8.16), classificeren (zie 5.25), analyseren en melden (zie 6.8) van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
-c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
+c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5.26), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
 d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe
-belangengroepen en fora, leveranciers en klanten (zie 5en 5;
+belangengroepen en fora, leveranciers en klanten (zie 5.5 en 5.6)
 e) het registreren van incidentbeheeractiviteiten;
-f) het behandelen van bewijs (zie 5);
+f) het behandelen van bewijs (zie 5.28);
 g) analyse van de onderliggende oorzaak of post-mortemprocedures;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT
@ -27,7 +27,7 @@ Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewe
 De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen.
-Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten.
+Een speciaal team met de vereiste competentie (zie 5.24) behoort te reageren op informatiebeveiligingsincidenten.
 De reactie behoort de volgende aspecten te omvatten:
@ -35,11 +35,11 @@ a) de systemen die door het incident worden getroffen inperken als de gevolgen v
 kunnen uitbreiden;
-b) zo snel mogelijk na het incident bewijs verzamelen (zie 5);
+b) zo snel mogelijk na het incident bewijs verzamelen (zie 5.28);
 c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door
-bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5);
+bedrijfscontinuïteitsplannen in te roepen (zie 5.29 en 5.30);
 d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor
@ -53,14 +53,14 @@ f) met interne en externe partijen, waaronder overheidsinstanties, belangengroep
 g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt;
-h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5);
+h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5.28);
 i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het
-wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5);
+wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5.24);
 j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT
@ -31,11 +31,11 @@ De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincide
 a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren
-(zie 5);
+(zie 5.24);
 b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten;
-c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven
+c) de bewustwording en training van gebruikers (zie 6.3) te verbeteren door voorbeelden te geven
 van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT
@ -105,7 +105,7 @@ Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omva
 a) contracten met klanten;
-b) contracten met leveranciers (zie 5);
+b) contracten met leveranciers (zie 5.20);
 c) verzekeringscontracten.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT
@ -46,7 +46,7 @@ registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registrati
 Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen.
-Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8).
+Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8.24).
 Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT
@ -33,7 +33,7 @@ Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onaf
 De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.
-Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren.
+Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1)], behoort het management corrigerende maatregelen te initiëren.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT
@ -44,7 +44,7 @@ d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid er
 om gebreken of zwakke plekken te identificeren.
-Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
+Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5.35) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
 Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT
@ -48,27 +48,27 @@ b) de beveiligde installatie en configuratie van systemen;
 c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
-d) back-up (zie 8) en veerkracht;
+d) back-up (zie 8.13) en veerkracht;
 e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen;
-f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen;
+f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8.18)] die zich tijdens de uitvoering van een functie kunnen voordoen;
 g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van
 onverwachte bedienings- of technische moeilijkheden;
-h) instructies voor het behandelen van opslagmedia (zie 7 en 7);
+h) instructies voor het behandelen van opslagmedia (zie 7.10 en 7.14);
 i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van
 systeemstoringen;
-j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en
+j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8.15 en 8.16) en
-videobewakingssystemen (zie 7;
+videobewakingssystemen (zie 7.4)
-k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies.
+k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8.6 en 8.16); l) onderhoudsinstructies.
 Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT
@ -30,25 +30,21 @@ Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het
 In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
-a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6;
+a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6.6)
-b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of
+b) wettelijke verantwoordelijkheden en rechten \[bijv. betreffende auteursrechtwetgeving of wetgeving inzake gegevensbescherming (zie 5.31 en 5.34)\];
-wetgeving inzake gegevensbescherming (zie 5 en 5)];
+c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5.9 t/m 5.13);
 c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5);
 d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen informatie;
-e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt
+e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt (zie 6.4)
 (zie 6.
 De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd.
 De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen.
-Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.
+Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5)
 **Overige informatie**
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT
@ -25,7 +25,7 @@ Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen be
 **Richtlijn**
-De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5).
+De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1).
 De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals:
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT
@ -25,7 +25,7 @@ De belangen van de organisatie beschermen als onderdeel van de wijzigings- of be
 **Richtlijn**
-Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6erantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6ndere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden
+Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6.6). Verantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6.2). Andere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden
 op het gebied van informatiebeveiliging bevatten.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT
@ -64,7 +64,7 @@ overeenkomst;
 j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst.
-De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5).
+De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5.31, 5.32, 5.33, 5.34).
 Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT
@ -36,7 +36,7 @@ Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerp
 a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt;
-b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6;
+b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6.8)
 c) de verwachte fysieke werkomgevingen op afstand;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT
@ -68,7 +68,7 @@ In deze beheersmaatregel worden onder media ook papieren documenten verstaanas b
 Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden:
-a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8);
+a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8.10);
 b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig
@ -89,7 +89,7 @@ f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het
 waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
-Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7).
+Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14).
 **Overige informatie**
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT
@ -48,7 +48,7 @@ f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud te
 g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen;
-h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
+h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7.9) toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
 i) voldoen aan alle door de verzekering opgelegde onderhoudseisen;
@ -56,7 +56,7 @@ j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie
 waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert;
-k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7)
+k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7.14)
 indien wordt vastgesteld dat het nodig is apparatuur te verwijderen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT
@ -32,11 +32,11 @@ Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde perso
 Met de volgende richtlijnen behoort rekening te worden gehouden:
-a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5);
+a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5.18);
 b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren
-en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen;
+en alle logbestanden (zie 5.33) en gevoelige authenticatie-informatie beschermen;
 c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones;
@ -115,7 +115,7 @@ gevaarlijke materialen voordat ze vanaf laad- en loslocaties worden overgebracht
 e) inkomende leveringen bij binnenkomst op de zone in overeenstemming met de procedures voor
-bedrijfsmiddelenbeheer registreren (zie 5en 7);
+bedrijfsmiddelenbeheer registreren (zie 5.9 en 7.10);
 f) waar mogelijk, inkomende en uitgaande zendingen fysiek scheiden;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT
@ -42,7 +42,7 @@ wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de appara
 definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht;
-d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5);
+d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5.33);
 e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon
@ -54,9 +54,9 @@ implementeren.
 Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie:
-a) fysiek monitoren van de beveiliging (zie 7;
+a) fysiek monitoren van de beveiliging (zie 7.4)
-b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7;
+b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7.5)
 c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT
@ -73,4 +73,4 @@ Een inherent element van het voorkomen van gegevenslekken is toezicht op de comm
-Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5).
+Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5.15 en 5.37).
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT
@ -62,11 +62,11 @@ voordat een back-up wordt gemaakt.
 Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen.
-Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
+Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5.30). Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
 Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie.
-Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
+Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8.10) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
 **Overige informatie**
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT
@ -56,7 +56,7 @@ Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante info
 **Overige informatie**
-Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
+Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5.30), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
 Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT
@ -74,7 +74,7 @@ j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige geva
 toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product.
-Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
+Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8.17), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
 <u>Logbestanden beschermen</u>
@ -92,14 +92,14 @@ gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt ove
 Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand.
-Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5).
+Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5.28).
-Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
+Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8.11) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
-Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5).
+Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5.34).
 <u>Analyse van logbestanden</u>
@ -152,7 +152,7 @@ Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden g
 Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen.
-Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
+Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8.16) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
 Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT
@ -96,13 +96,13 @@ Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar
 zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.
-Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
+Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5.36). Er behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5.26). Er behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
 **Overige informatie**
 Beveiligingsmonitoring kan worden verbeterd door:
-a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5;
+a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5.7)
 b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT
@ -25,21 +25,15 @@ Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aa
 Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen:
-a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde
+a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde gebruikers dat praktisch haalbaar is (zie 8.2)
-gebruikers dat praktisch haalbaar is (zie 8;
+b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen, met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
 b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen,
 met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
 c) het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;
 d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen;
-e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot
+e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot toepassingen op systemen waarbij segmentatie van functies vereist is;
 toepassingen op systemen waarbij segmentatie van functies vereist is;
 f) het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT
@ -27,19 +27,15 @@ De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen e
 a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met
-passende beheerdersrechten (zie 8;
+passende beheerdersrechten (zie 8.2)
-b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op
+b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op operationele systemen wordt geïnstalleerd;
-operationele systemen wordt geïnstalleerd;
+c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8.8 en 8.29);
 c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8);
 d) alle bijbehorende programmabronbibliotheken updaten;
-e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie
+e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie te beheersen;
 te beheersen;
 f) een roll-backstrategie definiëren alvorens wijzigingen te implementeren;
@ -47,18 +43,13 @@ g) een auditlogbestand bijhouden van alle updates van operationele software;
 h) oude versies van software, samen met alle vereiste informatie en parameters, procedures, configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang de software nodig is om gearchiveerde gegevens te lezen of te verwerken.
-Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen)oftwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8en 8).
+Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen). Softwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8.8 en 8.19).
-Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijvoftwareprogramma\'s met modules die op externe locaties worden gehost)eze behoren te worden
+Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijv. softwareprogramma\'s met modules die op externe locaties worden gehost). Deze behoren te worden gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
 gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
 Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden.
-Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5).
+Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5.22).
 De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT
@ -61,7 +61,7 @@ l) het gebruik van internetdiensten en -toepassingen;
-m)analyse van het gedrag van de eindgebruiker (zie 8);
+m)analyse van het gedrag van de eindgebruiker (zie 8.16);
 n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en
@ -71,7 +71,7 @@ o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'use
 Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld.
-De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten.
+De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8.9) of geautomatiseerde instrumenten.
 <u>Gebruikersverantwoordelijkheid</u>
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT
@ -42,11 +42,11 @@ apparatuur (bijvouters, switches);
 d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten
-met de ICT-systemen, al naargelang de situatie (zie 5;
+met de ICT-systemen, al naargelang de situatie (zie 5.3)
-e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
+e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5.14, 8.24, 5.34 en 6.7). Er kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
-f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8);
+f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8.15 en 8.16);
 g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT
@ -28,9 +28,9 @@ De organisatie behoort te overwegen de beveiliging van grote netwerken te behere
-De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
+De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5.15), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
-Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
+Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8.20), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
 **Overige informatie**
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT
@ -42,7 +42,7 @@ websites die malware of phishinginhoud verspreiden);
 c) command-and-controlservers;
-d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5;
+d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5.7)
 e) websites die illegale inhoud delen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT
@ -44,7 +44,7 @@ e) rollen en verantwoordelijkheden voor:
 1) het implementeren van de regels voor doeltreffend gebruik van cryptografie;
-2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8);
+2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8.24);
 f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische
@ -54,9 +54,9 @@ g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen d
 op controle van de inhoud (bijvetectie van malware of het filteren van inhoud).
-Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5).
+Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5.31).
-De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5).
+De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5.20).
 <u>Sleutelbeheer</u>
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT
@ -25,40 +25,40 @@ Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van
 Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden:
-a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8);
+a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8.31);
 b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling:
-1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8);
+1) beveiliging in de softwareontwikkelmethodiek (zie 8.27 en 8.28);
-2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8);
+2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8.28);
-c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5;
+c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5.8)
-d) beveiligingscontrolepunten in projecten (zie 5;
+d) beveiligingscontrolepunten in projecten (zie 5.8)
 e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests
-(zie 8);
+(zie 8.29);
-f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8;
+f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8.4 en 8.9)
-g) beveiliging in het versiebeheer (zie 8);
+g) beveiliging in het versiebeheer (zie 8.9);
-h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8);
+h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8.28);
 i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren
-(zie 8);
+(zie 8.8);
 j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd
-toekomstige licentieproblemen te voorkomen (zie 5).
+toekomstige licentieproblemen te voorkomen (zie 5.32).
-Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8).
+Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8.30).
 **Overige informatie**
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT
@ -36,9 +36,7 @@ Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk
 Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie:
-a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en
+a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5.17, 8.5 en 8.2)];
 8];
 b) het identificeren van het door de toepassing te verwerken soort informatie en het
@ -127,7 +125,7 @@ d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp e
 e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen.
-Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie).
+Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8.24), waarbij wettelijke eisen in aanmerking worden genomen (zie 5.31 t/m 5.36, zie in het bijzonder 5.31 voor wetgeving betreffende cryptografie).
 **Overige informatie**
@ -208,9 +206,9 @@ c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versl
 d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
-e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
+e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5.15, 5.18 en 8.2); het omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5.17), gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12);
-f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
+f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5.17) en gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8.5) afdwingen.
 De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT
@ -71,9 +71,9 @@ c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versl
 d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
-e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
+e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5.15, 5.18 en 8.2); het omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5.17), gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12);
-f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
+f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5.17) en gebruikersidentiteiten (zie 5.16), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5.12), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8.5) afdwingen.
 De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT
@ -65,7 +65,7 @@ d) code documenteren en programmeerfouten verwijderen die anders misbruik van kw
 e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden.
-Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
+Er behoort tijdens en na het ontwikkelen te worden getest (zie 8.29). Met procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
 Alvorens software operationeel te maken, behoort:
@ -79,7 +79,7 @@ Nadat de code operationeel is gemaakt:
 a) behoren updates op beveiligde wijze te worden verpakt en ingezet;
-b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8;
+b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8.8)
 c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT
@ -27,11 +27,11 @@ Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikk
 Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van:
-a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)];
+a) beveiligingsfuncties \[bijv. authenticatie van gebruikers (zie 8.5), toegangsbeperking (zie 8.3) en het gebruik van cryptografie (zie 8.24)\];
-b) veilig coderen (zie 8);
+b) veilig coderen (zie 8.28);
-c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
+c) beveiligde configuraties (zie 8.9, 8.20 en 8.21) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
 Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten:
@ -45,7 +45,7 @@ d) een besluit over verdere acties naarmate nodig is.
 De organisatie kan geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoort het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren.
-Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5et volgende behoort te worden overwogen:
+Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5.8). Het volgende behoort te worden overwogen:
 a) het uitvoeren van activiteiten om code te beoordelen als relevant element voor het testen op zwakke plekken in de beveiliging, met inbegrip van onvoorziene inputs en omstandigheden;
@ -53,9 +53,9 @@ b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in
 c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren.
-Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
+Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgd. In de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5.20). Voordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
-Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8).
+Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8.31).
 **Overige informatie**
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT
@ -26,13 +26,13 @@ Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten
 **Richtlijn**
-Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen:
+Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15)et volgende behoort te worden overwogen:
 a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of
 proces (bijvesturingssystemen, databasebeheersystemen en toepassingen);
-b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
+b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
 c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden;
@ -42,9 +42,9 @@ e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewu
 f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd;
-g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5);
+g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5.18);
-h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5);
+h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5.17);
 i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten;
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT
@ -30,13 +30,13 @@ Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen
 Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
-a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5);
+a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5.32);
-b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8);
+b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8.25 t/m 8.29);
 c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren;
-d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8);
+d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8.29);
 e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen);
@ -48,7 +48,7 @@ h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leveranci
 i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
-j) beveiligingseisen voor de ontwikkelomgeving (zie 8);
+j) beveiligingseisen voor de ontwikkelomgeving (zie 8.31);
 k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens).
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT
@ -40,7 +40,7 @@ vanuit de ontwikkel- naar de productiestatus;
 c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen
-voordat ze in productiesystemen worden toegepast (zie 8);
+voordat ze in productiesystemen worden toegepast (zie 8.29);
 d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden;
@ -83,10 +83,10 @@ het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot
 Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen.
-Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie).
+Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8.33) voor het beschermen van testinformatie.
 In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is.
-Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8).
+Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (zie 8.33).
 Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT
@ -42,7 +42,7 @@ b) autorisatie van veranderingen;
 c) veranderingen aan relevante belanghebbenden communiceren;
-d) tests en de aanvaarding van tests voor de veranderingen (zie 8);
+d) tests en de aanvaarding van tests voor de veranderingen (zie 8.29);
 e) implementatie van veranderingen met inbegrip van inzetplannen;
@ -52,7 +52,7 @@ g) registraties onderhouden van veranderingen waarin alle bovenstaande punten wo
 opgenomen;
-h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden
+h) waarborgen dat bedieningsdocumentatie (zie 5.37) en gebruikersprocedures indien nodig worden
 gewijzigd om ze toepasbaar te houden;
@ -66,6 +66,6 @@ Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten
 Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
-Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
+Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8.31). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
 De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT
@ -25,7 +25,7 @@ De relevantie van het testen en de bescherming van operationele gegevens die voo
 **Richtlijn**
-Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8).
+Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8.31).
 De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt:
@ -35,9 +35,9 @@ b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd
 c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien;
-d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen;
+d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8.11) bij gebruik voor testen;
-e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
+e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8.10) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
 Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT
@ -52,7 +52,7 @@ Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en t
 **AAlgemeen**
-Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4:
+Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4.2):
 a) Typen beheersmaatregel (#Preventief, #Detectief, #Corrigerend)
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT
@ -44,7 +44,7 @@ b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlen
 dat de risico\'s op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures;
-c) de procedures voor wijzigingsbeheer (zie 8) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
+c) de procedures voor wijzigingsbeheer (zie 8.32) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
 d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT
@ -25,23 +25,13 @@ Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen beschermd zijn
 **Richtlijn**
-Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te
+Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te worden overwogen:
-worden overwogen:
+a) regels en beheersmaatregelen implementeren die het gebruik van niet-geautoriseerde software voorkomen of detecteren \[bijv. een lijst maken van toegestane toepassingen ('allowlisting')\] (zie 8.19 en 8.32);
-a) regels en beheersmaatregelen implementeren die het gebruik van niet-geautoriseerde software
+b) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige websites voorkomen of detecteren (bijv. een blokkeerlijst opstellen ('blocklisting'));
-voorkomen of detecteren [bijven lijst maken van toegestane toepassingen ('allowlisting')] (zie
+c) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware \[bijv. via beheer van technische kwetsbaarheden (zie 8.8 en 8.19)\];
 8 en 8);
 b) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige
 websites voorkomen of detecteren (bijven blokkeerlijst opstellen ('blocklisting'));
 c) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware [bijvia beheer
 van technische kwetsbaarheden (zie 8en 8)];
 d) regelmatig geautomatiseerde validatie uitvoeren van de software en gegevensinhoud van systemen, met name voor systemen die kritische bedrijfsprocessen ondersteunen; de aanwezigheid van niet- goedgekeurde bestanden of ongeautoriseerde wijzigingen onderzoeken;
@ -51,17 +41,13 @@ bestanden en software van of via externe netwerken of op een ander medium;
 f) software voor het detecteren en herstellen van malware installeren en regelmatig bijwerken om computers en elektronische opslagmedia te scannen; reguliere scans uitvoeren die het volgende omvatten:
-1) alle gegevens die via netwerken of via welke vorm van elektronische opslagmedia dan ook
+1) alle gegevens die via netwerken of via welke vorm van elektronische opslagmedia dan ook worden ontvangen, vóór gebruik op malware scannen;
 worden ontvangen, vóór gebruik op malware scannen;
 2) bijlagen bij e-mail en instantmessagingsystemen en downloads voorafgaand aan gebruik op malware scanneneze scan op verschillende plekken (bijvp mailservers, pc\'s) en bij binnenkomst in het netwerk van de organisatie uitvoeren;
 3) webpagina\'s op malware scannen wanneer er toegang toe wordt gemaakt;
 g) de plaatsing en configuratie van hulpmiddelen voor het detecteren van malware en het herstel naar aanleiding daarvan vaststellen, op basis van de resultaten van de risicobeoordeling en rekening houdend met:
 1) principes voor 'defence in depth' waar deze het doeltreffendst zouden zijnit kan bijvoorbeeld leiden tot de detectie van malware in een netwerkgateway (in verschillende toepassingsprotocollen zoals e-mail, bestandsoverdracht en internet) en in 'endpoint devices' van gebruikers en servers;
@ -76,20 +62,18 @@ noodprocedures, die de normale beheersmaatregelen tegen malware kan omzeilen;
 i) een proces implementeren om tijdelijk of permanent autorisatie te verlenen om bepaalde of alle maatregelen tegen malware uit te schakelen, waaronder bevoegdheden om in uitzonderingsgevallen goedkeuring te verlenen, gedocumenteerde onderbouwing en de beoordelingsdatumit kan nodig zijn wanneer de bescherming tegen malware een verstoring van de normale bedrijfsvoering veroorzaakt;
-j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8);
+j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8.13);
 k) omgevingen isoleren waar zich catastrofale gevolgen kunnen voordoen;
 l) procedures en verantwoordelijkheden vaststellen voor hoe om te gaan met bescherming tegen malware op systemen, met inbegrip van training in het gebruik ervan, het melden en herstellen van malwareaanvallen;
-m)alle gebruikers bewustmaken of trainen (zie 6 hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven];
+m)alle gebruikers bewustmaken of trainen (zie 6.3) hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan \[de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven\];
-n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals
+n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals abonnementen nemen op mailinglijsten of relevante websites bekijken;
 abonnementen nemen op mailinglijsten of relevante websites bekijken;
 o) verifiëren dat informatie met betrekking tot malware, zoals waarschuwingsbulletins, afkomstig is van gekwalificeerde en gerenommeerde bronnen (bijvetrouwbare internetsites of leveranciers van malwaredetectiesoftware), juist is en informatie biedt.
 **Overige informatie**
-Het is niet altijd mogelijk om op bepaalde systemen (bijvepaalde industriële besturingssystemen) software te installeren die tegen malware beschermtepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken.
+Het is niet altijd mogelijk om op bepaalde systemen (bijv. bepaalde industriële besturingssystemen) software te installeren die tegen malware beschermt. Bepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT
@ -41,7 +41,7 @@ b) voor software en andere technologieën (op basis van de inventarislijst van b
 5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden;
-c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5);
+c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5.20);
 d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is;
@ -52,7 +52,7 @@ e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare pene
 f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit
-behoort te worden opgenomen in beveiligde codering (zie 8).
+behoort te worden opgenomen in beveiligde codering (zie 8.28).
 De organisatie behoort procedures en capaciteiten te ontwikkelen om:
@ -82,7 +82,7 @@ De volgende richtlijnen behoren in overweging te worden genomen om technische kw
 a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden;
-b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5);
+b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8.32) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5.26);
@ -111,7 +111,7 @@ beheersmaatregelen overwegen, zoals:
 3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van
-netwerken (zie 8 t/m 8);
+netwerken (zie 8.20 t/m 8.22);
 4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende
@ -136,11 +136,11 @@ Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddie
-omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
+omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5.23). Voor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
 **Overige informatie**
-Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8).
+Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8.32).
 Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren.
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT
@ -72,13 +72,13 @@ g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf
 inactiviteitsduur automatisch afmelden;
-h) verifiëren dat aan licentie-eisen is voldaan (zie 5).
+h) verifiëren dat aan licentie-eisen is voldaan (zie 5.32).
 <u>Configuraties beheren</u>
 Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen.
-Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten:
+Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8.32). Configuratieregistraties kunnen het volgende, indien relevant, bevatten:
 a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;
`@ -34,7 +34,7 @@ d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlag`



	`In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.`	`In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4.2) kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.`
`@ -33,7 +33,7 @@ Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onaf`

	`De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.`	`De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.`

	`Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren.`	`Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1)], behoort het management corrigerende maatregelen te initiëren.`
`@ -73,4 +73,4 @@ Een inherent element van het voorkomen van gegevenslekken is toezicht op de comm`



	`Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5).`	`Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5.15 en 5.37).`