richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

finished restructuring the Dutch ISO 27002 corpus

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-20 17:04:48 +02:00
parent fb82a4c688
commit e48550d135
90 changed files with 16197 additions and 222 deletions
Download patch file Download diff file Expand all files Collapse all files

72
Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Index.md
View file

@ -2,39 +2,39 @@
Publicatiedatum: augustus 2023
| 2023 ID | Onderwerp | Brontekst | Normaal |
| :------ | :------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------ |
| **0** | **Inleiding** | [BT](ISO27001-2023-NL-0.md) | [[ISO_27001_2023_NL_NN 0 Inzicht in de organisatie en haar context \|NN]] |
| **1** | **Onderwerp en toepassingsgebied** | [BT](ISO27001-2023-NL-1.md) | [[ISO_27001_2023_NL_NN 1 Onderwerp en toepassingsgebied \|NN]] |
| **2** | **Normatieve verwijzingen** | [BT](ISO27001-2023-NL-2.md) | [[ISO_27001_2023_NL_NN 2 Normatieve verwijzingen \|NN]] |
| **3** | **Termen en definities** | [BT](ISO27001-2023-NL-3.md) | [[ISO_27001_2023_NL_NN 3 Termen en definities \|NN]] |
| **4** | **Context van de organisatie** | | |
| 4.1 | Inzicht in de organisatie en haar context | [BT](ISO27001-2023-NL-4.1.md) | [[ISO_27001_2023_NL_NN 4.1 Inzicht in de organisatie en haar context \|NN]] |
| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [BT](ISO27001-2023-NL-4.2.md) | [[ISO_27001_2023_NL_NN 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden \|NN]] |
| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.3.md) | [[ISO_27001_2023_NL_NN 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging \|NN]] |
| 4.4 | Managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.4.md) | [[ISO_27001_2023_NL_NN 4.4 Managementsysteem voor informatiebeveiliging \|NN]] |
| **5** | **Leiderschap** | | |
| 5.1 | Leiderschap en betrokkenheid | [BT](ISO27001-2023-NL-5.1.md) | [[ISO_27001_2023_NL_NN 5.1 Leiderschap en betrokkenheid \|NN]] |
| 5.2 | Beleid | [BT](ISO27001-2023-NL-5.2.md) | [[ISO_27001_2023_NL_NN 5.2 Beleid \|NN]] |
| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [BT](ISO27001-2023-NL-5.3.md) | [[ISO_27001_2023_NL_NN 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie \|NN]] |
| **6** | **Planning** | | |
| 6.1 | Acties om risico's en kansen op te pakken | [BT](ISO27001-2023-NL-6.1.md) | [[ISO_27001_2023_NL_NN 6.1 Acties om risico's en kansen op te pakken \|NN]] |
| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [BT](ISO27001-2023-NL-6.2.md) | [[ISO_27001_2023_NL_NN 6.2 Informatiebeveiligings[doelstellingen en de planning om ze te bereiken \|NN]] |
| 6.3 | Planning van wijzigingen | [BT](ISO27001-2023-NL-6.3.md) | [[ISO_27001_2023_NL_NN 6.3 Planning van wijzigingen \|NN]] |
| **7** | **Ondersteuning** | | |
| 7.1 | Middelen | [BT](ISO27001-2023-NL-7.1.md) | [[ISO_27001_2023_NL_NN N.N 7.1 Middelen \|NN]] |
| 7.2 | Competentie | [BT](ISO27001-2023-NL-7.2.md) | [[ISO_27001_2023_NL_NN N.N 7.2 Competentie \|NN]] |
| 7.3 | Bewustzijn | [BT](ISO27001-2023-NL-7.3.md) | [[ISO_27001_2023_NL_NN N.N 7.3 Bewustzijn \|NN]] |
| 7.4 | Communicatie | [BT](ISO27001-2023-NL-7.4.md) | [[ISO_27001_2023_NL_NN N.N 7.4 Communicatie \|NN]] |
| 7.5 | Gedocumenteerde informatie | [BT](ISO27001-2023-NL-7.5.md) | [[ISO_27001_2023_NL_NN N.N 7.5 Gedocumenteerde informatie \|NN]] |
| **8** | **Uitvoering** | | |
| 8.1 | Operationele planning en beheersing | [BT](ISO27001-2023-NL-8.1.md) | [[ISO_27001_2023_NL_NN 8.1 Operationele planning en beheersing \|NN]] |
| 8.2 | Risicobeoordeling van informatiebeveiliging | [BT](ISO27001-2023-NL-8.2.md) | [[ISO_27001_2023_NL_NN 8.2 Risicobeoordeling van informatiebeveiliging \|NN]] |
| 8.3 | Informatiebeveiligingsrisico's behandelen | [BT](ISO27001-2023-NL-8.3.md) | [[ISO_27001_2023_NL_NN 8.3 Informatiebeveiligingsrisico's behandelen \|NN]] |
| **9** | **Evaluatie van de prestaties** | | |
| 9.1 | Monitoren, meten, analyseren en evalueren | [BT](ISO27001-2023-NL-9.1.md) | [[ISO_27001_2023_NL_NN N.N 9.1 Monitoren, meten, analyseren en evalueren \|NN]] |
| 9.2 | Interne audit | [BT](ISO27001-2023-NL-9.2.md) | [[ISO_27001_2023_NL_NN N.N 9.2 Interne audit \|NN]] |
| 9.3 | Management review | [BT](ISO27001-2023-NL-9.3.md) | [[ISO_27001_2023_NL_NN N.N 9.3 Management review \|NN]] |
| **10** | **Verbetering** | | |
| 10.1 | Continue verbetering | [BT](ISO27001-2023-NL-10.1.md) | [[ISO_27001_2023_NL_NN N.N 10.1 Continue verbetering \|NN]] |
| 10.2 | Afwijkingen en corrigerende maatregelen | [BT](ISO27001-2023-NL-10.2.md) | [[ISO_27001_2023_NL_NN N.N 10.1 Afwijkingen en corrigerende maatregelen \|NN]] |
| 2023 ID | Onderwerp | Brontekst |
| :------ | :------------------------------------------------------------------------- | :----------------------------- |
| **0** | **Inleiding** | [BT](ISO27001-2023-NL-0.md) |
| **1** | **Onderwerp en toepassingsgebied** | [BT](ISO27001-2023-NL-1.md) |
| **2** | **Normatieve verwijzingen** | [BT](ISO27001-2023-NL-2.md) |
| **3** | **Termen en definities** | [BT](ISO27001-2023-NL-3.md) |
| **4** | **Context van de organisatie** | |
| 4.1 | Inzicht in de organisatie en haar context | [BT](ISO27001-2023-NL-4.1.md) |
| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [BT](ISO27001-2023-NL-4.2.md) |
| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.3.md) |
| 4.4 | Managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.4.md) |
| **5** | **Leiderschap** | |
| 5.1 | Leiderschap en betrokkenheid | [BT](ISO27001-2023-NL-5.1.md) |
| 5.2 | Beleid | [BT](ISO27001-2023-NL-5.2.md) |
| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [BT](ISO27001-2023-NL-5.3.md) |
| **6** | **Planning** | |
| 6.1 | Acties om risico's en kansen op te pakken | [BT](ISO27001-2023-NL-6.1.md) |
| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [BT](ISO27001-2023-NL-6.2.md) |
| 6.3 | Planning van wijzigingen | [BT](ISO27001-2023-NL-6.3.md) |
| **7** | **Ondersteuning** | |
| 7.1 | Middelen | [BT](ISO27001-2023-NL-7.1.md) |
| 7.2 | Competentie | [BT](ISO27001-2023-NL-7.2.md) |
| 7.3 | Bewustzijn | [BT](ISO27001-2023-NL-7.3.md) |
| 7.4 | Communicatie | [BT](ISO27001-2023-NL-7.4.md) |
| 7.5 | Gedocumenteerde informatie | [BT](ISO27001-2023-NL-7.5.md) |
| **8** | **Uitvoering** | |
| 8.1 | Operationele planning en beheersing | [BT](ISO27001-2023-NL-8.1.md) |
| 8.2 | Risicobeoordeling van informatiebeveiliging | [BT](ISO27001-2023-NL-8.2.md) |
| 8.3 | Informatiebeveiligingsrisico's behandelen | [BT](ISO27001-2023-NL-8.3.md) |
| **9** | **Evaluatie van de prestaties** | |
| 9.1 | Monitoren, meten, analyseren en evalueren | [BT](ISO27001-2023-NL-9.1.md) |
| 9.2 | Interne audit | [BT](ISO27001-2023-NL-9.2.md) |
| 9.3 | Management review | [BT](ISO27001-2023-NL-9.3.md) |
| **10** | **Verbetering** | |
| 10.1 | Continue verbetering | [BT](ISO27001-2023-NL-10.1.md) |
| 10.2 | Afwijkingen en corrigerende maatregelen | [BT](ISO27001-2023-NL-10.2.md) |

8962
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md Normal file
View file

File diff suppressed because it is too large Load diff

266
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_3.1_BT Termen en definities.md Normal file
View file

@ -0,0 +1,266 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
In het kader van dit document zijn de volgende termen en definities van toepassing.
ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
— ISO Online browsing platform: te bereiken op https://www.iso.org/obp
— IEC Electropedia: te bereiken op https://www.electropedia.org/
### 3.1.1 toegangsbeveiliging
middel om te zorgen dat fysieke en logische toegang tot *bedrijfsmiddelen* (32) wordt goedgekeurd en beperkt op basis van de eisen voor bedrijfsvoering en informatiebeveiliging
### 3.1.2 bedrijfsmiddel
alles wat waarde heeft voor de organisatie
Opmerking 1 bij de term: In de context van informatiebeveiliging kunnen twee soorten bedrijfsmiddelen worden onderscheiden:
- de primaire bedrijfsmiddelen:
- informatie;
- bedrijfs*processen* (3.1.27) en -activiteiten;
- de ondersteunende bedrijfsmiddelen (waarop de primaire bedrijfsmiddelen steunen) van allerlei soorten, bijvoorbeeld:
- hardware;
- software;
- netwerk;
- *personeel* (3.1.20);
- locatie;
- structuur van de organisatie.
### 3.1.3 aanval
geslaagde of mislukte onbevoegde poging om een *bedrijfsmiddel* (3.1.2) te vernietigen, aan te passen, buiten werking te stellen of er toegang toe te verkrijgen, of een poging om een *bedrijfsmiddel* (3.1.2) openbaar te maken, te stelen of er onbevoegd gebruik van te maken
### 3.1.4 authenticatie
het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek van een *entiteit* (3.1.11)
### 3.1.5 authenticiteit
eigenschap dat een *entiteit* (3.1.11) is wat zij claimt te zijn
### 3.1.6 bewakingsketen
aantoonba(a)r(e) bezit, verplaatsing, behandeling en locatie van materiaal vanaf een bepaald moment tot een ander moment
Opmerking 1 bij de term: Materiaal omvat informatie en andere gerelateerde *bedrijfsmiddelen* (3.1.2) in de context van ISO/IEC 27002.
[BRON: ISO/IEC 27050-1:2019, 3 gewijzigd -- Opmerking 1 bij de term toegevoegd]
### 3.1.7 vertrouwelijke informatie
informatie die niet bedoeld is om beschikbaar of bekend te worden gemaakt aan onbevoegde personen, *entiteiten* (3.1.11) of *processen* (3.1.27)
### 3.1.8 beheersmaatregel
maatregel die risico in stand houdt en/of wijzigt
Opmerking 1 bij de term: Een beheersmaatregel kan onder andere elke vorm van *proces* (3.1.27), *beleid* (3.1.24), voorziening, werkwijze of andere omstandigheid of maatregel zijn waarmee het risico in stand wordt gehouden en/of wordt gewijzigd.
Opmerking 2 bij de term: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde wijzigende effect.
[BRON: ISO 31000:2018, 3.10]
### 3.1.9 verstoring
incident, al dan niet geanticipeerd, dat een niet-geplande, negatieve afwijking van de verwachte levering van producten en diensten volgens de doelstellingen van een organisatie veroorzaakt
[BRON: ISO 22301:2019, 3.10]
### 3.1.10 'endpoint device'
met een netwerk verbonden informatie- en communicatietechnologie (ICT)-hardwareapparaat
Opmerking 1 bij de term: 'Endpoint device' kan verwijzen naar pc\'s, laptops, smartphones, tablets, thin clients, printers of andere specialistische hardware waaronder slimme meters en IoT- ('internet of things') apparaten.
### 3.1.11 entiteit
object dat relevant is voor het uitvoeringsdoel van een domein dat een herkenbaar onderscheiden bestaan heeft
Opmerking 1 bij de term: Een entiteit kan een fysieke of een logische belichaming hebben.
VOORBEELD Een persoon, een organisatie, een apparaat, een groep van dergelijke objecten, een menselijke
abonnee op een telecommunicatiedienst, een simkaart, een paspoort, een netwerkinterfacekaart, een softwaretoepassing, een dienst of een website.
[BRON: ISO/IEC 24760-1:2019, 3.1.1]
### 3.1.12 informatieverwerkende faciliteit
elk informatieverwerkend(e) systeem, dienst of infrastructuur of de fysieke locatie waar dit of deze is ondergebracht
[BRON: ISO/IEC 27000:2018, 3.27, gewijzigd -- faciliteiten is vervangen door faciliteit]
### 3.1.13 inbreuk op de informatiebeveiliging
compromittering van de informatiebeveiliging die leidt tot ongewenst(e) vernietiging, verlies, wijziging, bekendmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte beschermde informatie
### 3.1.14 informatiebeveiligingsgebeurtenis
voorval dat op een mogelijke *inbreuk op de informatiebeveiliging* (3.1.13) of een falen van *beheersmaatregelen* (3.1.8) duidt
[BRON: ISO/IEC 27035-1:2016, 3.3 gewijzigd -- niet relevant voor de Nederlandse vertaling]
### 3.1.15 informatiebeveiligingsincident
een of meer samenhangende en geïdentificeerde *informatiebeveiligingsgebeurtenissen* (3.1.14) die de *bedrijfsmiddelen* (3.1.2) van een organisatie kunnen schaden of haar bedrijfsvoering kunnen compromitteren
[BRON: ISO/IEC 27035-1:2016, 3.4]
### 3.1.16 beheer van informatiebeveiligingsincidenten
uitoefening van een consequente en doeltreffende aanpak bij het behandelen van *informatiebeveiligingsincidenten* (3.1.15)
[BRON: ISO/IEC 27035-1:2016, 3.5]
### 3.1.17 informatiesysteem
stelsel van toepassingen, diensten, informatietechnologische *bedrijfsmiddelen* (3.1.2) of andere gegevensverwerkende componenten
[BRON: ISO/IEC 27000:2018, 3.35]
### 3.1.18 belanghebbende
stakeholder
persoon of organisatie die een besluit of activiteit kan beïnvloeden, door een besluit of activiteit kan worden beïnvloed, of zichzelf beschouwt als beïnvloed door een besluit of activiteit
[BRON: ISO/IEC 27000:2018, 3.37]
### 3.1.19 onweerlegbaarheid
vermogen om te bewijzen dat een geclaimde gebeurtenis of actie zich heeft voorgedaan en welke *entiteiten* (3.1.11) deze hebben veroorzaakt
### 3.1.20 personeel
personen die onder leiding van de organisatie werk verrichten
Opmerking 1 bij de term: Het concept van personeel omvat de leden van de organisatie, zoals het bestuursorgaan, de directie, medewerkers, tijdelijke medewerkers, contractanten en vrijwilligers.
### 3.1.21 persoonsgegevens
alle informatie die a) kan worden gebruikt om een verband te leggen tussen de informatie en de natuurlijke persoon op wie die informatie betrekking heeft, of b) direct of indirect met een natuurlijke persoon in verband wordt of kan worden gebracht
Opmerking 1 bij de term: De 'natuurlijke persoon' in de definitie is de *betrokkene* (3.1.22) om vast te stellen of een betrokkene geïdentificeerd kan worden, behoort rekening te worden gehouden met alle middelen die redelijkerwijs door de privacystakeholder die de gegevens in bezit heeft of door een andere partij kunnen worden gebruikt om het verband te leggen tussen de verzameling persoonsgegevens en de natuurlijke persoon.
[BRON: ISO/IEC 29100:2011/Amd2018, 2.9]
### 3.1.22 betrokkene
natuurlijke persoon op wie de *persoonsgegevens* (3.1.21) betrekking hebben
Opmerking 1 bij de term: Afhankelijk van de jurisdictie en de specifieke databescherming- en privacywetgeving, kan het synoniem 'datasubject' worden gebruikt in plaats van de term 'betrokkene'.
[BRON: ISO/IEC 29100:2011, 2.11]
### 3.1.23 verwerker van persoonsgegevens
privacystakeholder die *persoonsgegevens* (3.1.21) namens en volgens de instructies van een verwerkingsverantwoordelijke verwerkt *)
[BRON: ISO/IEC 29100:2011, 2.12]
\*) Nederlandse voetnoot: Vgle definitie van Cyberveilig Nederland: 'De partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant)'
### 3.1.24 beleid
intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
[BRON: ISO/IEC 27000:2018, 3.53]
### 3.1.25 privacy-effectbeoordeling **)
**PEB**
algeheel *proces* (3.1.27) van het identificeren, analyseren, evalueren, raadplegen, communiceren en plannen van de behandeling van mogelijke privacy-effecten met betrekking tot de verwerking van *persoonsgegevens* (3.1.21), ingekaderd binnen het bredere risicobeheerkader van een organisatie
[BRON: ISO/IEC 29134:2017, 3.7 gewijzigd -- Opmerking 1 bij de term verwijderd.]
\*\*) Nederlandse voetnoot: In Nederland wordt een DPIA ('Data Protection Impact Assessment') gehanteerden organisatie onderzoekt vooraf wat de risico\'s van gegevensverwerking zijn voor de privacy van personenit is vaak verplicht volgens de Algemene verordening gegevensbeschermingBron: Cyberveilig Nederland)
### 3.1.26 procedure
gespecificeerde wijze van uitvoering van een activiteit of *proces* (3.1.27)
[BRON: ISO 30000:2009, 3.12]
### 3.1.27 proces
geheel van samenhangende of elkaar beïnvloedende activiteiten die input gebruiken of omzetten om een resultaat te leveren
[BRON: ISO 9000:2015, 3.4.1, gewijzigd -- Opmerkingen bij de term verwijderd.]
### 3.1.28 registratie
informatie die als bewijs en als *bedrijfsmiddel* (3.1.2) wordt aangemaakt, ontvangen en onderhouden door een organisatie of persoon om wettelijke verplichtingen na te komen of voor zakelijke transacties
Opmerking 1 bij de term: Wettelijke verplichtingen omvatten in deze context alle eisen van wet- en regelgeving, statutaire en contractuele eisen.
[BRON: ISO 15489-1:2016, 3.14
### 3.1.29 RPO
punt in de tijd waarnaar gegevens moeten worden hersteld nadat er zich een *verstoring* (3.1.9) heeft voorgedaan
[BRON: ISO/IEC 27031:2011, 3.12]
### 3.1.30 hersteltijddoelstelling
recovery time objective
**RTO**
tijdsperiode waarbinnen minimale niveaus van diensten en/of producten en de ondersteunende systemen, toepassingen of functies moeten worden hersteld nadat er zich een *verstoring* (3.1.9) heeft voorgedaan
[BRON: ISO/IEC 27031:2011, 3.13]
### 3.1.31 betrouwbaarheid
eigenschap van consistent beoogd gedrag en consistente beoogde resultaten
### 3.1.32 regel
aanvaard beginsel of aanvaarde instructie waarin de verwachtingen van de organisatie over welke handelingen vereist zijn, wat is toegestaan of niet is toegestaan uiteen worden gezet
Opmerking 1 bij de term: Regels kunnen formeel kenbaar worden gemaakt in *onderwerpspecifieke beleidsregels* (3.1.35) en andere soorten documenten.
### 3.1.33 gevoelige informatie
informatie die dient te worden beschermd tegen het niet-beschikbaar zijn, onbevoegde toegang, wijziging of openbaarmaking vanwege mogelijke nadelige gevolgen voor een persoon, organisatie, de nationale veiligheid of de openbare veiligheid
### 3.1.34 dreiging \*)
potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een organisatie
[BRON: ISO/IEC 27000:2018, 3.74]
\*) Nederlandse voetnoot: In NEN-ISO/IEC 27000 vertaald als 'bedreiging', maar tegenwoordig heeft de term 'dreiging' de voorkeur.
### 3.1.35 onderwerpspecifiek beleid
oogmerken en sturing voor een specifiek onderwerp of thema, zoals formeel kenbaar gemaakt door het passende managementniveau
Opmerking 1 bij de term: Onderwerpspecifieke beleidsregels kunnen formeel *regels* (3.1.32) of normen van de organisatie kenbaar maken.
Opmerking 2 bij de term: Bepaalde organisaties gebruiken andere termen voor deze onderwerpspecifieke beleidsregels.
Opmerking 3 bij de term: De onderwerpspecifieke beleidsregels waarnaar in dit document wordt verwezen, houden verband met informatiebeveiliging.
VOORBEELD Onderwerpspecifiek beleid inzake *toegangsbeveiliging* (3.1.1), onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen'.
### 3.1.36 gebruiker
*belanghebbende* (3.1.18) met toegang tot de *informatiesystemen* (3.1.17) van de organisatie
VOORBEELD *Personeel* (3.1.20), klanten, leveranciers.
### 3.1.37 'endpoint device' van gebruiker
*'endpoint device'* (3.1.10) waarmee gebruikers toegang krijgen tot informatieverwerkende diensten
Opmerking 1 bij de term: 'Endpoint device' van gebruiker kan verwijzen naar pc's, laptops, smartphones, tablets, thin clients enz.
### 3.1.38 kwetsbaarheid
zwak punt van een *bedrijfsmiddel* (3.1.2) of *beheersmaatregel* (3.1.8) waar een of meer *dreigingen* (3.1.34) gebruik van kunnen maken
[BRON: ISO/IEC 27000:2018, 3.77]

8
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.10_BT Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen.md
View file

@ -33,7 +33,7 @@ b) wat wordt beschouwd als toegestaan en verboden gebruik van informatie en ande
c) welke monitoringactiviteiten de organisatie uitvoert.
Er behoren procedures voor aanvaardbaar gebruik te worden opgesteld voor de volledige levenscyclus van de informatie overeenkomstig de classificatie ervan (zie 5.12) en de vastgestelde risico\'s. Met de volgende aspecten behoort rekening te worden gehouden:
Er behoren procedures voor aanvaardbaar gebruik te worden opgesteld voor de volledige levenscyclus van de informatie overeenkomstig de classificatie ervan (zie [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md)) en de vastgestelde risico\'s. Met de volgende aspecten behoort rekening te worden gehouden:
a) toegangsbeperkingen die de beschermingseisen van elk classificatieniveau ondersteunen;
@ -41,11 +41,11 @@ b) onderhoud van een registratie van de bevoegde gebruikers van informatie en an
c) bescherming van tijdelijke of permanente kopieën van de informatie tot een niveau dat consistent is met de bescherming van de originele informatie;
d) opslag van bedrijfsmiddelen die samenhangen met informatie in overeenstemming met de voorschriften van de fabrikant (zie 7.8);
d) opslag van bedrijfsmiddelen die samenhangen met informatie in overeenstemming met de voorschriften van de fabrikant (zie [7.8](ISO_27002_2022_NL_7.8_BT%20Plaatsen%20en%20beschermen%20van%20apparatuur.md));
e) duidelijke markering van alle kopieën van (elektronische of fysieke) opslagmedia ter attentie van de bevoegde ontvanger (zie 7.10);
e) duidelijke markering van alle kopieën van (elektronische of fysieke) opslagmedia ter attentie van de bevoegde ontvanger (zie [7.10](ISO_27002_2022_NL_7.10_BT%20Opslagmedia.md));
f) autorisatie van het verwijderen van informatie en andere gerelateerde bedrijfsmiddelen en ondersteunde wismethode(n) (zie 8.10).
f) autorisatie van het verwijderen van informatie en andere gerelateerde bedrijfsmiddelen en ondersteunde wismethode(n) (zie [8.10](ISO_27002_2022_NL_8.10_BT%20Wissen%20van%20informatie.md)).
**Overige informatie**

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.11_BT Retourneren van bedrijfsmiddelen.md
View file

@ -26,7 +26,7 @@ De bedrijfsmiddelen van de organisatie beschermen als onderdeel van de procedure
In de wijzigings- of beëindigingsprocedure behoort formeel het retourneren van alle eerder verstrekte fysieke en elektronische bedrijfsmiddelen die het eigendom zijn van of toevertrouwd zijn aan de organisatie, te worden opgenomen.
Ingeval personeel en andere belanghebbenden apparatuur van de organisatie kopen of eigen persoonlijke apparatuur gebruiken, behoren procedures te worden gevolgd om ervoor te zorgen dat alle relevante informatie wordt getraceerd en aan de organisatie wordt overgedragen en nauwkeurig van de apparatuur wordt verwijderd (zie 7.14).
Ingeval personeel en andere belanghebbenden apparatuur van de organisatie kopen of eigen persoonlijke apparatuur gebruiken, behoren procedures te worden gevolgd om ervoor te zorgen dat alle relevante informatie wordt getraceerd en aan de organisatie wordt overgedragen en nauwkeurig van de apparatuur wordt verwijderd (zie [7.14](ISO_27002_2022_NL_7.14_BT%20Veilig%20verwijderen%20of%20hergebruiken%20van%20apparatuur.md)).
Indien personeel en andere belanghebbenden beschikken over kennis die belangrijk is voor de lopende bedrijfsvoering, behoort die informatie te worden gedocumenteerd en aan de organisatie te worden overgedragen.

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.12_BT Classificeren van informatie.md
View file

@ -32,7 +32,7 @@ Eigenaren van informatie behoren verantwoordelijk te zijn voor de classificatie
Het classificatieschema behoort regels voor het classificeren te bevatten en criteria voor het na verloop van tijd opnieuw beoordelen van de classificatie. Resultaten van classificatie behoren te worden geactualiseerd in overeenstemming met wijzigingen in de waarde, gevoeligheid en het belang van informatie in de loop van de levenscyclus.
Het schema behoort te worden afgestemd op het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie [[ISO_27002_2022_NL_BT 5.1 Beleidsregels voor informatiebeveiliging|5.1]]) en het behoort te kunnen ingaan op specifieke bedrijfsbehoeften van de organisatie.
Het schema behoort te worden afgestemd op het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie [5.1](ISO_27002_2022_NL_[5.1](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md)_BT%20Beleidsregels%20voor%20informatiebeveiliging.md)) en het behoort te kunnen ingaan op specifieke bedrijfsbehoeften van de organisatie.
De classificatie kan worden vastgesteld aan de hand van de mate van effect die compromittering van de informatie zou hebben op de organisatielk in het schema gedefinieerd niveau behoort een naam te krijgen die betekenis heeft in de context van de toepassing van het classificatieschema.

12
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.14_BT Overdragen van informatie.md
View file

@ -25,13 +25,13 @@ Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een or
<u>Algemeen</u>
De organisatie behoort een onderwerpspecifiek beleid inzake de overdracht van informatie vast te stellen en aan alle relevante belanghebbenden mee te delenegels, procedures en overeenkomsten om informatie die wordt overgedragen te beschermen, behoren de classificatie van de desbetreffende informatie te weerspiegelenanneer informatie wordt overgedragen tussen de organisatie en derden, behoren transportovereenkomsten (met inbegrip van authenticatie van de ontvanger) te worden vastgesteld en gehandhaafd om informatie in alle vormen tijdens overdracht te beschermen (zie 5.10).
De organisatie behoort een onderwerpspecifiek beleid inzake de overdracht van informatie vast te stellen en aan alle relevante belanghebbenden mee te delenegels, procedures en overeenkomsten om informatie die wordt overgedragen te beschermen, behoren de classificatie van de desbetreffende informatie te weerspiegelenanneer informatie wordt overgedragen tussen de organisatie en derden, behoren transportovereenkomsten (met inbegrip van authenticatie van de ontvanger) te worden vastgesteld en gehandhaafd om informatie in alle vormen tijdens overdracht te beschermen (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md)).
Informatie kan worden overgedragen via elektronische overdracht, door fysieke opslagmedia over te dragen en via mondelinge overdracht.
Voor alle soorten van overdracht van informatie behoren de regels, procedures en overeenkomsten het volgende te omvatten:
a) beheersmaatregelen die ervoor zijn ontworpen om overgedragen informatie te beschermen tegen interceptie, toegang door onbevoegden, kopiëren, wijziging, foutieve routering, vernietiging en 'denial of service', met inbegrip van toegangsbeveiligingsniveaus die passend zijn bij de classificatie van de desbetreffende informatie en eventuele speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals het gebruik van cryptografische technieken (zie 8.24);
a) beheersmaatregelen die ervoor zijn ontworpen om overgedragen informatie te beschermen tegen interceptie, toegang door onbevoegden, kopiëren, wijziging, foutieve routering, vernietiging en 'denial of service', met inbegrip van toegangsbeveiligingsniveaus die passend zijn bij de classificatie van de desbetreffende informatie en eventuele speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals het gebruik van cryptografische technieken (zie [8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md));
b) beheersmaatregelen om de traceerbaarheid en onweerlegbaarheid te waarborgen, met inbegrip van het in stand houden van een bewakingsketen voor informatie tijdens het overdragen;
@ -39,24 +39,24 @@ c) identificatie van passende contactpersonen met betrekking tot het overdragen,
d) verantwoordelijkheden en aansprakelijkheden in geval van informatiebeveiligingsincidenten, zoals verlies van fysieke opslagmedia of gegevens;
e) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie 5.13);
e) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md));
f) betrouwbaarheid en beschikbaarheid van de overdrachtdienst;
g) het onderwerpspecifieke beleid of richtlijnen over aanvaardbaar gebruik van overdragen van informatiefaciliteiten (zie 5.10);
g) het onderwerpspecifieke beleid of richtlijnen over aanvaardbaar gebruik van overdragen van informatiefaciliteiten (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md));
h) richtlijnen voor het bewaren en verwijderen van alle bedrijfsregistraties, met inbegrip van berichten;
OPMERKING Er kan lokale wet- en regelgeving bestaan inzake het bewaren en verwijderen van bedrijfsregistraties.
i) aandacht voor andere relevante eisen van wet- en regelgeving, statutaire en contractuele eisen (zie 5.31, 5.32, 5.33, 5.34) in verband met het overdragen van informatie (bijv. eisen voor elektronische handtekeningen).
i) aandacht voor andere relevante eisen van wet- en regelgeving, statutaire en contractuele eisen (zie [5.31](ISO_27002_2022_NL_5.31_BT%20Wettelijke,%20statutaire,%20regelgevende%20en%20contractuele%20eisen.md), [5.32](ISO_27002_2022_NL_5.32_BT%20Intellectuele-eigendomsrechten.md), [5.33](ISO_27002_2022_NL_5.33_BT%20Beschermen%20van%20registraties.md), [5.34](ISO_27002_2022_NL_5.34_BT%20Privacy%20en%20bescherming%20van%20persoonsgegevens.md)) in verband met het overdragen van informatie (bijv. eisen voor elektronische handtekeningen).
<u>Elektronisch transport</u>
In regels, procedures en overeenkomsten behoort ook rekening te worden gehouden met de volgende punten bij het gebruik van elektronische communicatiefaciliteiten voor het overdragen van informatie:
a) het detecteren van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie 8.7);
a) het detecteren van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie [8.7](ISO_27002_2022_NL_8.7_BT%20Bescherming%20tegen%20malware.md));
b) bescherming van als bijlage gecommuniceerde gevoelige elektronische informatie;

24
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging.md
View file

@ -29,27 +29,27 @@ Bij deze eisen en het onderwerpspecifieke beleid behoort rekening te worden geho
a) vaststellen voor welke entiteiten welke soort toegang tot de informatie en andere gerelateerde bedrijfsmiddelen vereist is;
b) beveiliging van toepassingen (zie 8.26);
b) beveiliging van toepassingen (zie [8.26](ISO_27002_2022_NL_8.26_BT%20Toepassingsbeveiligingseisen.md));
c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie 7.2, 7.3, 7.4);
c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie [7.2](ISO_27002_2022_NL_7.2_BT%20Fysieke%20toegangsbeveiliging.md), [7.3](ISO_27002_2022_NL_7.3_BT%20Beveiligen%20van%20kantoren,%20ruimten%20en%20faciliteiten.md), [7.4](ISO_27002_2022_NL_7.4_BT%20Monitoren%20van%20de%20fysieke%20beveiliging.md));
d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie 5.10, 5.12, 5.13);
d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md), [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md), [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md));
e) beperkingen op speciale toegangsrechten (zie 8.2);
e) beperkingen op speciale toegangsrechten (zie [8.2](ISO_27002_2022_NL_8.2_BT%20Speciale%20toegangsrechten.md));
f) functiescheiding (zie 5.3);
f) functiescheiding (zie [5.3](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md));
g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie 5.31, 5.32, 5.33, 5.34, 8.3);
g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie [5.31](ISO_27002_2022_NL_5.31_BT%20Wettelijke,%20statutaire,%20regelgevende%20en%20contractuele%20eisen.md), [5.32](ISO_27002_2022_NL_5.32_BT%20Intellectuele-eigendomsrechten.md), [5.33](ISO_27002_2022_NL_5.33_BT%20Beschermen%20van%20registraties.md), [5.34](ISO_27002_2022_NL_5.34_BT%20Privacy%20en%20bescherming%20van%20persoonsgegevens.md), [8.3](ISO_27002_2022_NL_8.3_BT%20Beperking%20toegang%20tot%20informatie.md));
h) scheiding van toegangsbeveiligingsfuncties (bijvoegangsverzoek, -autorisatie, -administratie);
i) formele autorisatie voor verzoeken om toegang (zie 5.16 en 5.18);
i) formele autorisatie voor verzoeken om toegang (zie [5.16](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md) en [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md));
j) het beheer van toegangsrechten (zie 5.18);
j) het beheer van toegangsrechten (zie [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md));
k) registratie (zie 8.15).
k) registratie (zie [8.15](ISO_27002_2022_NL_8.15_BT%20Logging.md)).
Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie 5.16). Een entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie [5.16](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md)). Een entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
Bij het definiëren en implementeren van regels voor toegangsbeveiliging behoort rekening te worden gehouden met het volgende:
@ -73,13 +73,13 @@ Bij het opstellen van regels voor toegangsbeveiliging behoort aandacht te worden
a) het vaststellen van regels gebaseerd op de vooronderstelling van het 'least privilege' (minste rechten): 'Alles is in principe verboden tenzij het uitdrukkelijk is toegelaten', in plaats van de zwakkere regel 'Alles is in principe toegelaten tenzij het uitdrukkelijk is verboden';
b) wijzigingen in informatielabels (zie 5.13) die automatisch door informatieverwerkende faciliteiten worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
b) wijzigingen in informatielabels (zie [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md)) die automatisch door informatieverwerkende faciliteiten worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
c) wijzigingen in toegangsrechten voor gebruikers die automatisch door het informatiesysteem worden aangebracht, en wijzigingen die door een beheerder worden aangebracht;
d) de momenten van het definiëren en regelmatig beoordelen van de goedkeuring.
Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie 5.17, 5.18, 8.2, 8.3, 8.4, 8.5, 8.18) en gedefinieerde verantwoordelijkheden (zie 5.2, 5.17).
Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie [5.17](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md), [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md), [8.2](ISO_27002_2022_NL_8.2_BT%20Speciale%20toegangsrechten.md), [8.3](ISO_27002_2022_NL_8.3_BT%20Beperking%20toegang%20tot%20informatie.md), [8.4](ISO_27002_2022_NL_8.4_BT%20Toegangsbeveiliging%20op%20broncode.md), [8.5](ISO_27002_2022_NL_8.5_BT%20Beveiligde%20authenticatie.md), [8.18](ISO_27002_2022_NL_8.18_BT%20Gebruik%20van%20speciale%20systeemhulpmiddelen.md)) en gedefinieerde verantwoordelijkheden (zie [5.2](ISO_27002_2022_NL_5.2_BT%20Rollen%20en%20verantwoordelijkheden%20bij%20informatiebeveiliging.md), [5.17](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md)).
Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging).

4
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.16_BT Identiteitsbeheer.md
View file

@ -39,7 +39,7 @@ f) registraties worden bijgehouden van alle belangrijke gebeurtenissen betreffen
De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omgaan met veranderingen aan informatie met betrekking tot gebruikersidentiteiten. Deze processen kunnen het opnieuw verifiëren van vertrouwde documenten met betrekking tot een persoon omvatten.
Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie 5.19) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie 5.17) omvatten.
Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie [5.19](ISO_27002_2022_NL_5.19_BT%20Informatiebeveiliging%20in%20leveranciersrelaties.md)) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie [5.17](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md)) omvatten.
**Overige informatie**
@ -53,4 +53,4 @@ c) het vaststellen van een identiteit;
d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen van gerelateerde authenticatiediensten;
e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie 5.18).
e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md)).

4
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie.md
View file

@ -55,7 +55,7 @@ c) wanneer wachtwoorden als authenticatie-informatie worden gebruikt, er sterke
d) een en hetzelfde wachtwoord niet voor verschillende diensten en op verschillende systemen wordt gebruikt;
e) de verplichting om deze regels na te leven ook wordt opgenomen in de arbeidsovereenkomst (zie 6.2);
e) de verplichting om deze regels na te leven ook wordt opgenomen in de arbeidsovereenkomst (zie [6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md));
**Systeem voor wachtwoordbeheer**
@ -77,7 +77,7 @@ g) wachtwoorden niet op het scherm te tonen als ze worden ingevoerd;
h) wachtwoorden in beschermde vorm op te slaan en te versturen.
Wachtwoordversleuteling en hashing behoren te worden uitgevoerd volgens goedgekeurde cryptografische technieken voor wachtwoorden (zie 8.24).
Wachtwoordversleuteling en hashing behoren te worden uitgevoerd volgens goedgekeurde cryptografische technieken voor wachtwoorden (zie [8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)).
### Overige informatie

4
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md
View file

@ -34,7 +34,7 @@ Zorgen voor passende authenticatie en voorkomen van fouten in het proces.
- Authenticatie-informatie mag niet met anderen worden gedeeld. Bij niet-persoonlijke accounts (bijv. groepsaccounts) mag de informatie alleen met bevoegde personen (bijv. leden van die groep) gedeeld worden.
- Als authenticatie-informatie gelekt is ('gecompromitteerd'), moet die onmiddellijk gewijzigd worden.
- Gebruik nooit hetzelfde wachtwoord voor verschillende systemen of diensten;
- Zorg dat deze regels als verplichting worden opgenomen in de arbeidsovereenkomst (zie [[ISO_27002_2022_NL_NN 6.2 Arbeidsovereenkomst|6.2]]);
- Zorg dat deze regels als verplichting worden opgenomen in de arbeidsovereenkomst (zie [6.2](ISO_27002_2022_NL_[6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md)_BT%20Arbeidsovereenkomst.md));
#### Overige informatie
- Het frequent afdwingen van wachtwoordwijzigingen kan contra-productief zijn: het zorgt voor irritatie bij gebruikers, nieuwe wachtwoorden worden gemakkelijk vergeten en op onveilige plekken worden genoteerd, en gebruikers kiezen sneller voor gemakkelijk te onthouden (en te raden) wachtwoorden.
@ -57,5 +57,5 @@ Andere gerelateerde ISO 27x beheersmaatregelen:
[^1]: Gebruik voor versleuteling en hashing goedgekeurde technieken (zie [[ISO_27002_2022_NL_NN 8.24 Gebruik van cryptografie|8.24]]).
[^1]: Gebruik voor versleuteling en hashing goedgekeurde technieken (zie [8.24](ISO_27002_2022_NL_[8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)_BT%20Gebruik%20van%20cryptografie.md)).

6
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md
View file

@ -38,7 +38,7 @@ d) bewerkstelligen dat toegangsrechten worden ingetrokken wanneer iemand geen to
e) overwegen tijdelijke toegangsrechten voor beperkte duur te verlenen en deze op de afloopdatum in te trekken, met name voor tijdelijk personeel of indien slechts tijdelijk toegang vereist is voor het personeel;
f) verifiëren dat het toegekende toegangsniveau in overeenstemming is met de onderwerpspecifieke beleidsregels inzake toegangsbeveiliging (zie 5.15) en aansluit op andere informatiebeveiligingseisen zoals functiescheiding (zie 5.3);
f) verifiëren dat het toegekende toegangsniveau in overeenstemming is met de onderwerpspecifieke beleidsregels inzake toegangsbeveiliging (zie [5.15](ISO_27002_2022_NL_5.15_BT%20Toegangsbeveiliging.md)) en aansluit op andere informatiebeveiligingseisen zoals functiescheiding (zie [5.3](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md));
g) waarborgen dat toegangsrechten pas worden geactiveerd (bijvoor dienstverleners) nadat de autorisatieprocedures succesvol zijn afgerond;
@ -56,7 +56,7 @@ Bij het regelmatig beoordelen van fysieke en logische toegangsrechten behoren de
a) de toegangsrechten van gebruikers na een verandering binnen dezelfde organisatie (bijv. verandering van functie, promotie, demotie) of beëindiging van het dienstverband (zie 6.1 t/m 6.5);
a) de toegangsrechten van gebruikers na een verandering binnen dezelfde organisatie (bijv. verandering van functie, promotie, demotie) of beëindiging van het dienstverband (zie [6.1](ISO_27002_2022_NL_6.1_BT%20Screening.md) t/m [6.5](ISO_27002_2022_NL_6.5_BT%20Verantwoordelijkheden%20na%20beëindiging%20of%20wijziging%20van%20het%20dienstverband.md));
@ -92,7 +92,7 @@ Er behoort op te worden gelet dat gebruikerstoegangsrollen worden vastgesteld op
Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor personeel dat onbevoegde toegang probeert te verkrijgen (zie 5.20, 6.2, 6.4, 6.6).
Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor personeel dat onbevoegde toegang probeert te verkrijgen (zie [5.20](ISO_27002_2022_NL_5.20_BT%20Adresseren%20van%20informatiebeveiliging%20in%20leveranciersovereenkomsten.md), [6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md), [6.4](ISO_27002_2022_NL_6.4_BT%20Disciplinaire%20procedure.md), [6.6](ISO_27002_2022_NL_6.6_BT%20Vertrouwelijkheids-%20of%20geheimhoudingsovereenkomsten.md)).

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten.md
View file

@ -29,7 +29,7 @@ Om aan de vastgestelde informatiebeveiligingseisen te voldoen kan worden overwog
a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te verschaffen of toegankelijk te maken;
b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 5.10, 5.12, 5.13);
b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md), [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md), [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md));
c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de leverancier;

115
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md Normal file
View file

@ -0,0 +1,115 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
| Attribuut | Waarde |
| :----------------------------------- | :----------------------------------------------- |
| Type beheersmaatregel: | #Corrigerend |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Reageren |
| Operationele capaciteiten: | #Beheer_van_infor- matiebeveiligings- gebeurtenissen |
| Beveiligingsdomeinen: | #Verdediging |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+====================================================================+=====================+
| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Governance #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Herstellen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren.
**Doel**
Een snelle, doeltreffende, consistente en geordende reactie op informatiebeveiligingsincidenten, met inbegrip van communicatie over informatiebeveiligingsgebeurtenissen, bewerkstelligen.
**Richtlijn**
<u>Rollen en verantwoordelijkheden</u>
De organisatie behoort passende processen voor het beheer van informatiebeveiligingsincidenten op te stellenollen en verantwoordelijkheden voor het uitvoeren van de procedures voor incidentenbeheer behoren te worden vastgesteld en op doeltreffende wijze te worden gecommuniceerd aan de relevante interne en externe belanghebbenden.
Het volgende behoort te worden overwogen:
a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings-
gebeurtenissen met inbegrip van een contactpunt (zie 6;
b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden;
c) een proces opstellen voor het reageren op incidenten waardoor de organisatie het vermogen krijgt
informatiebeveiligingsincidenten te beoordelen, erop te reageren en er lering uit te trekken;
d) alleen competent personeel toestaan de kwesties te behandelen die verband houden met informatiebeveiligingsincidenten binnen de organisatieit personeel behoort te worden voorzien van documentatie over de procedures en periodieke training;
e) een proces opstellen voor het identificeren van vereiste training, certificering en voortdurende
professionele ontwikkeling van personeel dat de taak heeft op incidenten te reageren.
<u>Procedures voor incidentenbeheer</u>
De doelstellingen voor het beheer van informatiebeveiligingsincidenten behoren met het management te worden overeengekomen en er behoort te worden gewaarborgd dat de personen die verantwoordelijk zijn voor het beheer van informatiebeveiligingsincidenten, op de hoogte zijn van de prioriteiten van de organisatie voor het behandelen van informatiebeveiligingsincidenten met
inbegrip van een op de mogelijke gevolgen en ernst gebaseerde tijdspanne voor het oplossen ervanr
behoren procedures voor incidentenbeheer te worden geïmplementeerd die aan deze doelstellingen en prioriteiten voldoen.
Het management behoort te bewerkstelligen dat er een plan voor het beheer van informatiebeveiligingsincidenten wordt opgesteld waarbij rekening wordt gehouden met verschillende scenario\'s en dat er procedures worden ontwikkeld en geïmplementeerd voor de volgende activiteiten:
a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor wat een
informatiebeveiligingsincident uitmaakt;
b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe
belangengroepen en fora, leveranciers en klanten (zie 5en 5;
e) het registreren van incidentbeheeractiviteiten;
f) het behandelen van bewijs (zie 5);
g) analyse van de onderliggende oorzaak of post-mortemprocedures;
h) identificatie van getrokken lering en eventueel vereiste verbeteringen van de procedures voor
incidentenbeheer of de beheersmaatregelen voor informatiebeveiliging in het algemeen.
<u>Meldings- en rapportageprocedures</u>
Meldings- en rapportageprocedures behoren de volgende aspecten te omvatten:
a) de in geval van een informatiebeveiligingsgebeurtenis te treffen maatregelen (bijvnmiddellijk alle relevante details zoals de optredende storing en berichten op het scherm noteren, onmiddellijk melden bij het contactpunt en alleen gecoördineerde actie ondernemen);
b) het gebruik van incidentenformulieren om het personeel te ondersteunen bij het verrichten van alle
noodzakelijke handelingen bij het melden van informatiebeveiligingsincidenten;
c) passende feedbackprocedures om te bewerkstelligen dat de personen die informatiebeveiligingsgebeurtenissen melden, voor zover mogelijk over de resultaten worden geïnformeerd nadat de kwestie is opgepakt en afgesloten;
d) het opstellen van rapportage over incidenten.
Bij het implementeren van procedures voor incidentenbeheer behoren externe eisen ten aanzien van het binnen het gedefinieerde tijdsbestek melden van incidenten aan relevante belanghebbenden (bijvisen voor het melden van inbreuken aan de regelgevende instanties) in aanmerking te worden genomen.
**Overige informatie**
Informatiebeveiligingsincidenten kunnen de grenzen van organisaties en landen overschrijdenm op dergelijke incidenten te kunnen reageren is het nuttig om indien van toepassing opvolging te coördineren en informatie over deze incidenten te delen met externe organisaties.
De ISO/IEC 27035-reeks biedt gedetailleerde richtlijnen over het beheer van informatiebeveiligingsincidenten.

36
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen.md Normal file
View file

@ -0,0 +1,36 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Reageren | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten.
**Doel**
Doeltreffende categorisering en prioritering van informatiebeveiligingsgebeurtenissen bewerkstelligen.
**Richtlijn**
Er behoort een categoriserings- en prioriteringsschema voor informatiebeveiligingsincidenten te worden overeengekomen voor het identificeren van de gevolgen en prioriteit van een incidentet schema behoort de criteria te omvatten voor het als informatiebeveiligingsincident categoriseren van gebeurtenissenet contactpunt behoort elke informatiebeveiligingsgebeurtenis aan de hand van het overeengekomen schema te beoordelen.
Personeel dat verantwoordelijk is voor het coördineren van en reageren op informatiebeveiligings- incidenten behoort de beoordeling uit te voeren en een besluit te nemen over informatiebeveiligingsgebeurtenissen.
Resultaten van de beoordeling en het besluit behoren in detail te worden geregistreerd ten behoeve van toekomstige raadpleging en verificatie.
**Overige informatie**
De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.

69
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md Normal file
View file

@ -0,0 +1,69 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Herstellen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
**Doel**
Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewerkstelligen.
**Richtlijn**
De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen.
Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten.
De reactie behoort de volgende aspecten te omvatten:
a) de systemen die door het incident worden getroffen inperken als de gevolgen van het incident zich
kunnen uitbreiden;
b) zo snel mogelijk na het incident bewijs verzamelen (zie 5);
c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door
bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5);
d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor
latere analyse;
e) het bestaan van het informatiebeveiligingsincident of relevante details daarvan volgens het 'need-
to-know'-principe aan alle relevante in- en externe belanghebbenden communiceren;
f) met interne en externe partijen, waaronder overheidsinstanties, belangengroepen en fora, leveranciers en klanten, afstemmen om de doeltreffendheid van de reactie te verbeteren en de gevolgen voor andere organisaties tot het minimum te helpen beperken;
g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt;
h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5);
i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het
wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5);
j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren.
**Overige informatie**
De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.

44
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md Normal file
View file

@ -0,0 +1,44 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Beschermen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren.
**Doel**
De waarschijnlijkheid of de gevolgen van toekomstige incidenten verminderen.
**Richtlijn**
De organisatie behoort procedures op te stellen om de soorten, volumes en kosten van informatiebeveiligingsincidenten te kwantificeren en te monitoren.
De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincidenten behoort te worden gebruikt om:
a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren
(zie 5);
b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten;
c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven
van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden.
**Overige informatie**
De ISO/IEC 27035-reeks geeft verdere richtlijnen.

53
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal.md Normal file
View file

@ -0,0 +1,53 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| | | #Reageren | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.
**Doel**
In het kader van disciplinaire en gerechtelijke stappen consistent en doeltreffend beheer bewerkstelligen van bewijsmateriaal in verband met informatiebeveiligingsincidenten.
**Richtlijn**
Bij het in het kader van disciplinaire en gerechtelijke stappen omgaan met bewijs met betrekking tot informatiebeveiligingsgebeurtenissen behoren interne procedures te worden ontwikkeld en gevolgde eisen van verschillende rechtsgebieden behoren in aanmerking te worden genomen om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden.
In het algemeen behoren deze procedures voor het beheren van bewijs instructies in te houden voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs in overeenstemming met de verschillende soorten opslagmedia, apparaten en de status van de apparaten (dzn- of uitgeschakeld)ewoonlijk is het nodig bewijsmateriaal dusdanig te verzamelen dat het voor de bevoegde nationale rechters of een ander disciplinair forum toelaatbaar iset behoort mogelijk te zijn aan te tonen dat:
a) registraties volledig zijn en op geen enkele wijze zijn gemanipuleerd;
b) kopieën van elektronische bewijsstukken waarschijnlijk identiek zijn aan de originelen;
c) elk informatiesysteem waarvan bewijsmateriaal is verkregen, correct werkte op het moment van
vastlegging van het bewijsmateriaal.
Indien beschikbaar, behoort certificatie of andere relevante methoden om personeel en middelen te kwalificeren te worden gezocht om de waarde van het verkregen bewijs te versterken.
Digitaal bewijs kan grenzen van organisaties of rechtsgebieden overschrijdenn zulke gevallen behoort te worden gewaarborgd dat de organisatie het recht heeft de vereiste informatie als digitaal bewijs te verzamelen.
**Overige informatie**
Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet altijd duidelijk of de gebeurtenis zal leiden tot gerechtelijke stappenet gevaar bestaat dan ook dat noodzakelijk bewijs bewust of toevallig wordt vernietigd voordat de ernst van het incident wordt onderkendet is raadzaam om vroegtijdig juridisch advies of de rechtshandhavers in te schakelen als gerechtelijke stappen worden overwogen en advies in te winnen over het vereiste bewijs.
ISO/IEC 27037 biedt definities en richtlijnen voor het identificeren, verzamelen, verkrijgen en bewaren van digitaal bewijs.
De ISO/IEC 27050-reeks behandelt elektronische ontdekking, hetgeen gepaard gaat met het als bewijsmiddel verwerken van elektronisch opgeslagen informatie.

53
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring.md Normal file
View file

@ -0,0 +1,53 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+====================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Continuïteit | #Bescherming |
| | | | | |
| #Corrigerend | | #Reageren | | #Veerkracht |
+------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.
**Doel**
Informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring beschermen.
**Richtlijn**
De organisatie behoort haar eisen vast te stellen voor het tijdens een verstoring aanpassen van beheersmaatregelen voor informatiebeveiligingnformatiebeveiligingseisen behoren te worden opgenomen in de processen voor bedrijfscontinuïteitsbeheer van de organisatie.
Er behoren plannen te worden ontwikkeld, geïmplementeerd, getest, beoordeeld en geëvalueerd om de beveiliging van informatie van essentiële bedrijfsprocessen in stand te houden of te herstellen na een (ver)storinge beveiliging van informatie behoort op het vereiste niveau en binnen de vereiste tijdsbestekken te worden hersteld.
De organisatie behoort het volgende te implementeren en te onderhouden:
a) beheersmaatregelen voor informatiebeveiliging, ondersteunende systemen en hulpmiddelen
binnen bedrijfscontinuïteits- en ICT-continuïteitsplannen;
b) processen om bestaande beheersmaatregelen voor informatiebeveiliging tijdens een verstoring in
stand te houden;
c) compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebeveiliging die
tijdens een verstoring niet kunnen worden gehandhaafd.
**Overige informatie**
In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandighedenls onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen bedrijfscontinuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioriteerd.
Informatie over systemen voor bedrijfscontinuïteitsbeheer is te vinden in ISO 22301 en ISO 22313erdere richtlijnen voor bedrijfsimpactanalyse (BIA) zijn te vinden in ISO/TS 22317.

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging.md
View file

@ -22,7 +22,7 @@ Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de impl
**Richtlijn**
Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie [5.1](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md)). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
a) de bescherming van informatie en andere gerelateerde bedrijfsmiddelen;

112
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md Normal file
View file

@ -0,0 +1,112 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+==============================+============================================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ Ecosysteem #Bescherming |
+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
**Beheersmaatregel**
Eisen van wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen behoren te worden vastgesteld, gedocumenteerd en actueel gehouden.
**Doel**
De naleving bewerkstelligen van wettelijke, statutaire, regelgevende en contractuele eisen in verband met informatiebeveiliging.
**Richtlijn**
<u>Algemeen</u>
Externe eisen, met inbegrip van wettelijke, statutaire, regelgevende en contractuele eisen behoren in aanmerking te worden genomen bij het:
a) ontwikkelen van informatiebeveiligingsbeleid en -procedures;
b) ontwerpen, implementeren of wijzigen van beheersmaatregelen voor informatiebeveiliging;
c) classificeren van informatie en andere gerelateerde bedrijfsmiddelen in het kader van het proces voor het vaststellen van informatiebeveiligingseisen voor interne behoeften of voor overeenkomsten met leveranciers;
d) uitvoeren van risicobeoordelingen met het oog op informatiebeveiliging en het vaststellen van de
activiteiten voor de behandeling van informatiebeveiligingsrisico's;
e) vaststellen van processen plus de bijbehorende rollen en verantwoordelijkheden met betrekking
tot informatiebeveiliging;
f) vaststellen van de contractuele eisen voor leveranciers die relevant zijn voor de organisatie en de
reikwijdte van de levering van producten en diensten.
<u>Wet- en regelgeving</u>
De organisatie behoort:
a) alle wet- en regelgeving te identificeren die relevant zijn voor de informatiebeveiliging van de
organisatie om op de hoogte te zijn van de eisen voor haar soort bedrijf;
b) het voldoen eraan in alle relevante landen in aanmerking te nemen, indien de organisatie: --- zaken doet in andere landen;
--- producten en diensten gebruikt uit andere landen waar wet- en regelgeving van invloed kunnen
zijn op de organisatie;
--- informatie over de grenzen van rechtsgebieden transporteert waar wet- en regelgeving van
invloed kunnen zijn op de organisatie;
c) de geïdentificeerde wet- en regelgeving regelmatig te beoordelen om op de hoogte te blijven van
wijzigingen en nieuwe wetgeving te identificeren;
d) de specifieke processen en individuele verantwoordelijkheden om aan deze eisen te voldoen te
definiëren en documenteren.
<u>Cryptografie</u>
Cryptografie is een gebied waarvoor vaak specifieke wettelijke eisen geldenet naleven van de relevante overeenkomsten en wet- en regelgeving met betrekking tot de volgende punten behoort in aanmerking te worden genomen:
a) beperkingen op de import of export van computerhardware en -software voor het uitvoeren van
cryptografische functies;
b) beperkingen op de import of export van computerhardware en -software die zo zijn ontworpen dat
er cryptografische functies aan kunnen worden toegevoegd;
c) beperkingen op de toepassing van cryptografie;
d) verplichte of discretionaire methoden voor de toegang van de overheidsinstanties van de landen tot
versleutelde informatie;
e) geldigheid van digitale handtekeningen, zegels en certificaten.
Het wordt aanbevolen juridisch advies in te winnen om ervoor te zorgen dat de relevante wet- en regelgeving wordt nageleefd, vooral wanneer versleutelde informatie of cryptografie-instrumenten tot voorbij de grenzen van rechtsgebieden worden verplaatst.
<u>Contracten</u>
Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omvatten die zijn vermeld in:
a) contracten met klanten;
b) contracten met leveranciers (zie 5);
c) verzekeringscontracten.
**Overige informatie** Geen overige informatie.

88
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten.md Normal file
View file

@ -0,0 +1,88 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+==============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen.
**Doel**
De naleving bewerkstelligen van eisen van wet- en regelgeving, statutaire en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van gepatenteerde producten.
**Richtlijn**
De volgende richtlijnen behoren in overweging te worden genomen om materiaal dat kan worden beschouwd als intellectuele eigendom te beschermen:
a) onderwerpspecifiek beleid inzake de bescherming van intellectuele-eigendomsrechten definiëren
en communiceren;
b) procedures voor het voldoen aan intellectuele-eigendomsrechten publiceren die het gebruik van
software en informatieproducten volgens de eisen definiëren;
c) software alleen aanschaffen bij bekende bronnen met een goede reputatie, om te waarborgen dat
het auteursrecht niet wordt geschonden;
d) geschikte registers van bedrijfsmiddelen bijhouden, en alle bedrijfsmiddelen waarbij bescherming
van intellectuele-eigendomsrechten vereist is, identificeren;
e) bewijs en bewijsmateriaal bijhouden van de eigendom van licenties, handleidingen enz.
f) bewerkstelligen dat een maximumaantal gebruikers of middelen (bijvPU\'s) dat eventueel door de
licentie is toegestaan, niet wordt overschreden;
g) beoordelingen uitvoeren om te bewerkstelligen dat alleen goedgekeurde software en in licentie
gegeven producten zijn geïnstalleerd;
h) procedures vaststellen voor het handhaven van de juiste licentievoorwaarden;
i) procedures vaststellen voor het verwijderen of aan anderen overdragen van software;
j) voldoen aan voorwaarden voor software en informatie verkregen van openbare netwerken en
externe bronnen;
k) niet dupliceren, naar een ander formaat converteren of een uittreksel maken van commerciële opnamen (video, audio), tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan;
l) geen normen (bijvnternationale normen van ISO/IEC), boeken, artikelen, rapporten of andere documenten geheel of ten dele kopiëren, tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan.
**Overige informatie**
Onder intellectuele-eigendomsrechten vallen auteursrechten op software of documenten, ontwerprechten, handelsmerken, patenten en broncodelicenties.
Eigendomssoftwareproducten worden gewoonlijk geleverd op basis van een licentieovereenkomst die de licentievoorwaarden vermeldt, bijvet gebruik van de producten beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-upkopieënie de ISO/IEC 19770-reeks voor nadere informatie over het beheer van IT-bedrijfsmiddelen.
Gegevens kunnen worden verkregen uit externe bronnenoorgaans worden dergelijke gegevens verkregen op grond van een overeenkomst voor het delen van gegevens of een soortgelijk juridisch
instrumentn zulke overeenkomsten voor het delen van gegevens behoort duidelijk te worden gemaakt welke verwerking is toegestaan voor de verkregen gegevenset is ook raadzaam dat de herkomst van de gegevens duidelijk wordt vermeldie ISO/IEC 23751 voor meer informatie over overeenkomsten voor het delen van gegevens.
Eisen van wet- en regelgeving, statutaire en contractuele eisen kunnen beperkingen inhouden voor het kopiëren van eigendomsmateriaaln het bijzonder kan worden bepaald dat alleen materiaal mag worden gebruikt dat is ontwikkeld door de organisatie zelf of dat door de ontwikkelaar in licentie is gegeven aan de organisatie of aan de organisatie is geleverdchending van auteursrecht kan leiden
tot gerechtelijke stappen, die kunnen resulteren in een geldboete of een strafproces.
Afgezien van het feit dat het nodig is dat de organisatie voldoet aan haar verplichtingen wat betreft de intellectuele-eigendomsrechten van derden, behoren de risico\'s dat personeel en derden de eigen intellectuele-eigendomsrechten van de organisatie niet behartigen ook te worden beheerst.

61
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md Normal file
View file

@ -0,0 +1,61 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+======================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Beheer_van_bedrijfs- middelen #Informatiebescher- ming | #Verdediging |
| | | | | |
| | | #Beschermen | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.
**Doel**
De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen, alsmede gemeenschaps- of maatschappelijke verwachtingen, met betrekking tot de bescherming en beschikbaarheid van registraties.
**Richtlijn**
De organisatie behoort de volgende stappen te ondernemen om de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van registraties te beschermen, aangezien de bedrijfscontext en de eisen voor het beheer ervan na verloop van tijd veranderen:
a) richtlijnen uitvaardigen inzake de opslag, de bewakingsketen voor de hantering, en het verwijderen van registraties, hetgeen ook het voorkomen van manipulatie van registraties omvateze richtlijnen behoren te worden afgestemd op het onderwerpspecifieke beleid van de organisatie inzake het beheer van registraties en andere eisen aan registraties;
b) een bewaarschema opstellen waarin registraties en de periode dat ze behoren te worden bewaard,
zijn gedefinieerd.
Het systeem waarmee gegevens worden opgeslagen en behandeld, behoort de identificatie van registraties en hun bewaarperiode te waarborgen, rekening houdend, indien van toepassing, met nationale of regionale wet- of regelgeving, evenals de verwachtingen vanuit de gemeenschap of de
maatschappijit systeem behoort toe te staan dat registraties na afloop van die termijn op een passende manier worden vernietigd als de organisatie ze niet langer nodig heeft.
Bij besluitvorming over bescherming van specifieke registraties van de organisatie behoort de informatiebeveiligingsclassificatie daarvan, gebaseerd op het classificatieschema van de organisatie, in overweging te worden genomenegistraties behoren te worden gecategoriseerd naar types
registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registraties)ij elk type behoren de bewaartermijn en de toegestane soorten opslagmedia (fysiek of elektronisch) te worden vermeld.
Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen.
Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8).
Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan.
**Overige informatie**
Registraties documenteren individuele gebeurtenissen of transacties of kunnen samenvoegingen zijn van gegevens die ervoor zijn opgezet om arbeidsprocessen, activiteiten of functies te documenterene vormen het bewijs van zowel bedrijfsactiviteiten als van informatiebedrijfsmiddelenlke informatieverzameling, ongeacht structuur of vorm, kan als registratie worden beheerdit omvat informatie in de vorm van een document, een verzameling gegevens of andere soorten digitale of analoge informatie die in het kader van de bedrijfsvoering worden aangemaakt, vastgelegd en beheerd.
In het kader van het beheren van registraties zijn metagegevens gegevens die de context, inhoud en structuur van registraties, evenals het beheer ervan in de loop van de tijd, beschrijvenetagegevens zijn een essentieel bestanddeel van elke registratie.
Het kan nodig zijn sommige registraties veilig te bewaren om te voldoen aan eisen van wet- en regelgeving, statutaire en contractuele eisen, en om essentiële bedrijfsactiviteiten te ondersteunene bewaartermijn en de soort informatie die behoort te worden bewaard, kunnen zijn vastgelegd in nationale wet- of regelgevingerdere informatie over beheer van registraties is te vinden in
ISO 15489.

47
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens.md Normal file
View file

@ -0,0 +1,47 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Informatiebescherming | #Bescherming |
| | | | | |
| | | #Beschermen | #Juridisch_en_compliance | |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.
**Doel**
De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot de informatiebeveiligingsaspecten voor de bescherming van persoonsgegevens.
**Richtlijn**
De organisatie behoort een onderwerpspecifiek beleid inzake privacy en bescherming van persoonsgegevens vast te stellen en aan alle relevante belanghebbenden mee te delen.
De organisatie behoort procedures te ontwikkelen en te implementeren voor het behoud van privacy en het beschermen van persoonsgegevenseze procedures behoren te worden gecommuniceerd aan alle relevante belanghebbenden die betrokken zijn bij het verwerken van persoonsgegevens.
Naleving van deze procedures en van alle relevante wet- en regelgeving betreffende het behoud van privacy en het beschermen van persoonsgegevens vereist passende rollen, verantwoordelijkheden en beheersmaatregelenaak kan dit het beste worden bereikt door een persoon te benoemen die hiervoor verantwoordelijk is, zoals een privacyfunctionaris, die richtlijnen behoort te geven aan personeel, dienstverleners en andere belanghebbenden over hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd.
Verantwoordelijkheid voor het omgaan met persoonsgegevens behoort met inachtneming van de desbetreffende wet- en regelgeving te worden behandeld.
Er behoren passende technische en organisatorische maatregelen te worden geïmplementeerd om persoonsgegevens te beschermen.
**Overige informatie**
Een aantal landen heeft wetgeving ingevoerd waardoor er beheersmaatregelen zijn ingesteld voor het verzamelen, verwerken, verzenden en wissen van persoonsgegevensfhankelijk van de respectieve nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan personen die persoonsgegevens verzamelen, verwerken en verspreiden, en kunnen zij ook de bevoegdheid voor het versturen van persoonsgegevens naar andere landen beperken.
ISO/IEC 29100 voorziet in een kader op hoog niveau voor de bescherming van persoonsgegevens binnen ICT-systemenerdere informatie over privacy-informatiebeheersystemen is te vinden in ISO/IEC 27701pecifieke informatie met betrekking tot privacy-informatiebeheer voor publieke clouds die als verwerkers van persoonsgegevens fungeren is te vinden in ISO/IEC 27018.
ISO/IEC 29134 geeft richtlijnen voor privacy-effectbeoordelingen (PIA) en een voorbeeld van de structuur en inhoud van een PIA-rapportn vergelijking met ISO/IEC 27005 is dit toegespitst op het verwerken van persoonsgegevens en is het relevant voor die organisaties die persoonsgegevens verwerkenit kan helpen bij het identificeren van privacyrisico\'s en mogelijke beperkende maatregelen om deze risico\'s tot een aanvaardbaar niveau terug te brengen.

57
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md Normal file
View file

@ -0,0 +1,57 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
| | | | | |
| #Corrigerend | | #Beschermen | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
**Beheersmaatregel**
De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
**Doel**
Waarborgen dat de organisatie continu een geschikte, toereikende en doeltreffende aanpak voor het beheer van informatiebeveiliging hanteert.
**Richtlijn**
De organisatie behoort te beschikken over processen om onafhankelijke beoordelingen uit te voeren.
Het management behoort periodieke onafhankelijke beoordelingen te plannen en te initiërene beoordelingen behoren tevens het beoordelen van verbetermogelijkheden en de noodzaak om wijzigingen aan te brengen in de informatiebeveiligingsaanpak te omvatten, met inbegrip van het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en andere beheersmaatregelen.
Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied (bijvoor de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen)ersonen die deze beoordelingen uitvoeren, behoren te beschikken over de passende competentiem te garanderen dat de persoon die de beoordelingen uitvoert voldoende onafhankelijk is om een beoordeling uit te voeren, behoort hij of zij geen deel uit te maken van de hiërarchie.
De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.
Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren.
In aanvulling op de periodieke onafhankelijke beoordelingen behoort de organisatie te overwegen onafhankelijke beoordelingen uit te voeren wanneer:
a) wet- en regelgeving die van invloed is op de organisatie, verandert;
b) er zich belangrijke incidenten voordoen;
c) de organisatie een nieuw bedrijf start of een bestaand bedrijf verandert;
d) de organisatie een nieuw product of nieuwe dienst gaat gebruiken of het gebruik van een actueel
gebruikt(e) product of dienst wijzigt;
e) de organisatie de beheersmaatregelen en procedures voor informatiebeveiliging significant wijzigt.
**Overige informatie**
ISO/IEC 27007 en ISO/IEC TS 27008 voorzien in richtlijnen voor het uitvoeren van onafhankelijke beoordelingen.

53
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md Normal file
View file

@ -0,0 +1,53 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
| | | | | |
| | | #Beschermen | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoort regelmatig te worden beoordeeld.
**Doel**
Bewerkstelligen dat informatiebeveiliging in overeenstemming met het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en normen van de organisatie wordt geïmplementeerd en uitgevoerd.
**Richtlijn**
Managers of de eigenaren van diensten, producten of informatie behoren vast te stellen op welke manier wordt beoordeeld of aan informatiebeveiligingseisen zoals gedefinieerd in het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels, normen en andere toepasselijke regelgeving, wordt nageleefdoor een doeltreffende regelmatige beoordeling behoort te worden overwogen om automatische meet- en rapportage-instrumenten in te zetten.
Indien de beoordeling een geval van niet-naleving oplevert, behoren managers:
a) de oorzaken van de niet-naleving vast te stellen;
b) de noodzaak te evalueren tot het treffen van corrigerende maatregelen om naleving te
bewerkstelligen;
c) passende corrigerende maatregelen te implementeren;
d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid ervan te verifiëren en
om gebreken of zwakke plekken te identificeren.
Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld.
**Overige informatie**
Operationele monitoring van het gebruik van systemen wordt behandeld in 8, 8, 8.

80
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md Normal file
View file

@ -0,0 +1,80 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=========================================================================================================================================================================================================================+=========================================================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs\_ middelen #Fysieke_beveiliging #Systeem- \_en_netwerkbeveiliging #Toepassingsbeveili- ging #Veilige_configuratie #Identiteits- \_en_toegangsbeheer #Beheer_van_dreigin- gen_en_kwetsbaar- heden | #Governance_en\_ Ecosysteem #Bescherming #Verdediging |
| | | | | |
| #Corrigerend | | #Herstellen | #Continuïteit #Beheer_van_infor- matiebeveiligings- gebeurtenissen | |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
**Beheersmaatregel**
Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft.
**Doel**
De correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
**Richtlijn**
Er behoren gedocumenteerde procedures te worden opgesteld voor de operationele activiteiten van de organisatie die verband houden met informatiebeveiliging, bijvoorbeeld:
a) wanneer het nodig is dat de activiteit door veel mensen op dezelfde manier wordt uitgevoerd;
b) wanneer de activiteit zelden wordt uitgevoerd en waarschijnlijk vergeten zal zijn als zij weer wordt
uitgevoerd;
c) wanneer de activiteit nieuw is en een risico inhoudt als zij niet correct wordt uitgevoerd;
d) voorafgaand aan de overdracht van de activiteit aan nieuwe medewerkers.
In de bedieningsprocedures behoort het volgende te worden gespecificeerd:
a) welke personen verantwoordelijk zijn;
b) de beveiligde installatie en configuratie van systemen;
c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
d) back-up (zie 8) en veerkracht;
e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen;
f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen;
g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van
onverwachte bedienings- of technische moeilijkheden;
h) instructies voor het behandelen van opslagmedia (zie 7 en 7);
i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van
systeemstoringen;
j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en
videobewakingssystemen (zie 7;
k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies.
Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen.
**Overige informatie** Geen overige informatie.
# 6 Mensgerichte beheersmaatregelen

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden.md
View file

@ -33,7 +33,7 @@ b) richtlijnen ontvangen die de verwachtingen met betrekking tot hun informatieb
c) verplicht worden te voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie;
d) een niveau van bewustwording van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie 6.3);
d) een niveau van bewustwording van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie [6.3](ISO_27002_2022_NL_6.3_BT%20Bewustwording%20van,%20opleiding%20en%20training%20in%20informatiebeveiliging.md));
e) de arbeids- of contractvoorwaarden en de voorwaarden van overeenkomsten, met inbegrip van het informatiebeveiligingsbeleid en passende werkmethoden, naleven [\*)];

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties.md
View file

@ -34,4 +34,4 @@ Contacten met overheidsinstanties behoren ook te worden gebruikt om inzicht moge
Organisaties die worden aangevallen, kunnen instanties verzoeken om actie te ondernemen tegen de aanvaller.
Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie 5.24 t/m 5.28) of de noodplan- en bedrijfscontinuïteitsprocessen (zie 5.29 en 5.30). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].
Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie [5.24](ISO_27002_2022_NL_5.24_BT%20Plannen%20en%20voorbereiden%20van%20het%20beheer%20van%20informatiebeveiligingsincidenten.md) t/m [5.28](ISO_27002_2022_NL_5.28_BT%20Verzamelen%20van%20bewijsmateriaal.md)) of de noodplan- en bedrijfscontinuïteitsprocessen (zie [5.29](ISO_27002_2022_NL_5.29_BT%20Informatiebeveiliging%20tijdens%20een%20verstoring.md) en [5.30](ISO_27002_2022_NL_5.30_BT%20ICT-gereedheid%20voor%20bedrijfscontinuïteit.md)). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].

2
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen.md
View file

@ -34,7 +34,7 @@ d) toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging;
e) informatie over nieuwe technologieën, producten, diensten, dreigingen of kwetsbaarheden te delen en uit te wisselen;
f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie 5.24 t/m 5.28).
f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie [5.24](ISO_27002_2022_NL_5.24_BT%20Plannen%20en%20voorbereiden%20van%20het%20beheer%20van%20informatiebeveiligingsincidenten.md) t/m [5.28](ISO_27002_2022_NL_5.28_BT%20Verzamelen%20van%20bewijsmateriaal.md)).
**Overige informatie**
Geen overige informatie.

6
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen.md
View file

@ -38,13 +38,13 @@ De locatie van een bedrijfsmiddel behoort al naargelang de situatie in de invent
De inventarislijst hoeft niet één lijst te zijn van informatie en andere gerelateerde bedrijfsmiddelenangezien de inventarislijst van bedrijfsmiddelen door de relevante functies behoort te worden onderhouden, kan deze worden beschouwd als een verzameling dynamische inventarislijsten, zoals inventarislijsten voor informatiebedrijfsmiddelen, hardware, software, virtuele machines (VM\'s), faciliteiten, personeel, competenties, capaciteiten en registraties.
Elk bedrijfsmiddel behoort te worden geclassificeerd overeenkomstig de classificatie van de met dat bedrijfsmiddel gerelateerde informatie (zie 5.12).
Elk bedrijfsmiddel behoort te worden geclassificeerd overeenkomstig de classificatie van de met dat bedrijfsmiddel gerelateerde informatie (zie [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md)).
Het niveau van granulariteit van de inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen behoort te passen bij de behoeften van de organisatieoms is het vanwege de aard van het bedrijfsmiddel niet praktisch uitvoerbaar om specifieke instanties van bedrijfsmiddelen in de informatielevenscyclus te documenterenen voorbeeld van een bedrijfsmiddel met een korte levensduur is een instantie van een VM die van korte duur kan zijn.
[Eigendom]
Voor de geïdentificeerde informatie- en andere gerelateerde bedrijfsmiddelen behoort de eigendom van het bedrijfsmiddel te worden toegewezen aan een persoon of een groep en behoort de classificatie te worden geïdentificeerd (zie 5.12, 5.13). Er behoort een procedure te worden geïmplementeerd die ervoor zorgt dat de benoeming van de eigenaar van bedrijfsmiddelen tijdig plaatsvindtet eigenaarschap behoort te worden toegekend als bedrijfsmiddelen worden aangemaakt of als bedrijfsmiddelen naar de organisatie worden overgebrachtet eigenaarschap van een bedrijfsmiddel behoort naarmate nodig is opnieuw te worden toegekend wanneer de huidige eigenaren van een bedrijfsmiddel vertrekken of een andere functie krijgen.
Voor de geïdentificeerde informatie- en andere gerelateerde bedrijfsmiddelen behoort de eigendom van het bedrijfsmiddel te worden toegewezen aan een persoon of een groep en behoort de classificatie te worden geïdentificeerd (zie [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md), [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md)). Er behoort een procedure te worden geïmplementeerd die ervoor zorgt dat de benoeming van de eigenaar van bedrijfsmiddelen tijdig plaatsvindtet eigenaarschap behoort te worden toegekend als bedrijfsmiddelen worden aangemaakt of als bedrijfsmiddelen naar de organisatie worden overgebrachtet eigenaarschap van een bedrijfsmiddel behoort naarmate nodig is opnieuw te worden toegekend wanneer de huidige eigenaren van een bedrijfsmiddel vertrekken of een andere functie krijgen.
[Taken van de eigenaar]
@ -58,7 +58,7 @@ c) de classificatie periodiek wordt beoordeeld;
d) er een lijst wordt opgesteld van de componenten die technologische bedrijfsmiddelen ondersteunen, zoals database-, opslag-, softwarecomponenten en -subcomponenten, en deze worden gekoppeld;
e) eisen voor het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen (zie 5.10) worden vastgesteld;
e) eisen voor het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md)) worden vastgesteld;
f) de toegangsbeperkingen overeenstemmen met de classificatie, doeltreffend zijn en periodiek worden beoordeeld;

75
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.1_BT Screening.md Normal file
View file

@ -0,0 +1,75 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
De achtergrond van alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaaldierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving, voorschriften en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico\'s.
**Doel**
Bewerkstelligen dat al het personeel in aanmerking komt en geschikt is voor de functies waarvoor zij worden overwogen en dat zij hiervoor gedurende hun dienstverband in aanmerking blijven komen en geschikt blijven.
**Richtlijn**
Al het personeel, met inbegrip van voltijd-, deeltijd- en tijdelijk personeel, behoort te worden gescreendndien deze personen via dienstverleners worden ingehuurd, behoren screeningeisen te worden opgenomen in de contractuele afspraken tussen de organisatie en de dienstverleners.
Informatie over alle kandidaten die in aanmerking komen voor posities binnen de organisatie, behoort te worden verzameld en verwerkt met inachtneming van de relevante wetgeving in het relevante rechtsgebiedn bepaalde rechtsgebieden kan het wettelijk vereist zijn dat de organisatie de kandidaten vooraf op de hoogte stelt van de screeningsactiviteiten.
Bij deze controle behoort alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving in acht te worden genomen, en de controle behoort, voor zover toegestaan, het volgende te omvatten:
a) de beschikbaarheid van positieve referenties (bijvakelijke en persoonlijke referenties);
b) een controle (op volledigheid en nauwkeurigheid) van het curriculum vitae van de sollicitant;
c) bevestiging van de geclaimde academische en beroepskwalificaties;
d) onafhankelijke identiteitscontrole (bijven paspoort of ander aanvaardbaar document dat is
afgegeven door een passende instantie);
e) meer gedetailleerde controle, zoals controle op kredietwaardigheid of strafblad indien de kandidaat
een essentiële rol krijgt.
Als een persoon wordt ingehuurd voor een specifieke informatiebeveiligingsrol, behoort de organisatie zich ervan te vergewissen dat:
a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de
organisatie.
Als een functie, hetzij bij een eerste aanstelling, hetzij bij promotie, met zich meebrengt dat de persoon toegang heeft tot faciliteiten die informatie verwerken, en, in het bijzonder, indien het hierbij gaat om vertrouwelijke informatie (bijvinanciële, persoonlijke of medische informatie of zeer vertrouwelijke informatie), behoort de organisatie ook verdere, meer gedetailleerde verificaties te overwegen.
In procedures behoren criteria en beperkingen voor controleonderzoeken te worden gedefinieerd (bijvie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd).
In situaties waarin de controle niet tijdig kan worden voltooid, behoren beperkende beheersmaatregelen te worden geïmplementeerd totdat de beoordeling is voltooid, bijvoorbeeld:
a) uitgestelde 'onboarding';
b) uitgestelde inzet van bedrijfsmiddelen van het bedrijf;
c) 'onboarding' met beperkte toegang;
d) beëindiging van het dienstverband.
Deze controles behoren op gezette tijden te worden herhaald om te bevestigen dat personeel nog altijd geschikt is, afhankelijk van hoe essentieel de rol van een persoon is.
**Overige informatie** Geen overige informatie.

61
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md Normal file
View file

@ -0,0 +1,61 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| | | | | ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.
**Doel**
Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging voor de rollen waarvoor zij mogelijk in aanmerking komen.
**Richtlijn**
In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6;
b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of
wetgeving inzake gegevensbescherming (zie 5 en 5)];
c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5);
d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen informatie;
e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt
(zie 6.
De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd.
De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen.
Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.
**Overige informatie**
Er kan een gedragscode worden gebruikt die de verantwoordelijkheden van het personeel in het kader van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, bescherming van persoonsgegevens, ethiek, passend gebruik van de informatie en andere gerelateerde
bedrijfsmiddelen van de organisatie, alsmede ten aanzien van door de organisatie verwacht moreel verantwoord handelen.
Een externe partij waarmee personeel van leveranciers is verbonden, kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken.
Indien de organisatie geen rechtspersoon is en geen werknemers heeft, kan het equivalent van een contractuele overeenkomst en van contractuele voorwaarden in aanmerking worden genomen, overeenkomstig de richtlijnen van deze beheersmaatregel.

73
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging.md Normal file
View file

@ -0,0 +1,73 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
Personeel van de organisatie en relevante belanghebbenden behoren een passend(e) bewustwording van, opleiding, training en bijscholing in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen.
**Doel**
Ervoor zorgen dat personeel en relevante belanghebbenden zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
**Richtlijn**
<u>Algemeen</u>
Een bewustwordingsprogramma, -opleiding en -training voor informatiebeveiliging behoren te worden vastgesteld in overeenstemming met het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en relevante procedures inzake informatiebeveiliging van de organisatie, rekening houdend met de te beschermen informatie van de organisatie en de beheersmaatregelen voor informatiebeveiliging die zijn geïmplementeerd om de informatie te beschermen.
Opleiding en training voor bewustwording van informatiebeveiliging behoort periodiek plaats te vindenen basisbewustwordingsprogramma, -opleiding en -training kunnen van toepassing zijn op nieuw personeel en op personeel dat naar nieuwe functies of rollen met substantieel andere informatiebeveiligingseisen overstapt.
Om de kennisoverdracht en doeltreffendheid van het bewustwordings-, opleidings- of trainingsprogramma te testen behoort aan het eind van een bewustwordings-, opleidings- of trainingsactiviteit een beoordeling van het inzicht van het personeel te worden uitgevoerd.
<u>Bewustwording</u>
Een bewustwordingsprogramma voor informatiebeveiliging behoort erop gericht te zijn om personeel bewust te maken van hun verantwoordelijkheden voor informatiebeveiliging en de manieren waarop personeel zich van deze verantwoordelijkheden kan kwijten.
Bij het plannen van het bewustwordingsprogramma behoort rekening te worden gehouden met de rollen van het personeel binnen de organisatie, met inbegrip van intern en extern personeel (bijvxterne consultants, personeel van leveranciers)e activiteiten in het bewustwordingsprogramma behoren op zo'n manier te worden gespreid en bij voorkeur regelmatig te worden uitgevoerd dat de activiteiten worden herhaald en nieuw personeel deze ook meemakenr behoort te worden voortgebouwd op lering die is getrokken uit informatiebeveiligingsincidenten.
Het bewustwordingsprogramma behoort een aantal bewustwordingsactiviteiten te bevatten via passende fysieke of virtuele kanalen, zoals campagnes, boekjes, posters, nieuwsbrieven, websites, informatiesessies, briefings, e-learningmodules en e-mails.
Bewustwording van informatiebeveiliging behoort algemene aspecten te omvatten zoals:
a) de betrokkenheid van het management bij informatiebeveiliging in de gehele organisatie;
b) de noodzaak van bekend zijn met en het voldoen aan de van toepassing zijnde regels en verplichtingen met betrekking tot informatiebeveiliging, rekening houdend met informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels, normen, wetten, statuten, regelgeving, contracten en overeenkomsten;
c) persoonlijke verantwoordelijkheid voor eigen doen en laten, en algemene verantwoordelijkheden ten opzichte van het beveiligen of beschermen van informatie die eigendom is van de organisatie en belanghebbenden;
d) basisprocedures op informatiebeveiliging [zoals het melden van informatiebeveiligings-
gebeurtenissen (6] en basisbeheersmaatregelen [zoals wachtwoordbeveiliging (5)];
e) contactpunten en bronnen voor aanvullende informatie en advies over informatiebeveiligings- aangelegenheden, met inbegrip van aanvullende materialen voor het verhogen van bewustwording van informatiebeveiliging.
<u>Opleiding en training</u>
De organisatie behoort een passend trainingsplan vast te stellen, voor te bereiden en te implementeren voor technische teams met rollen die specifieke vaardigheden en deskundigheid vereisenechnische teams behoren te beschikken over de vaardigheden voor het configureren en in
stand houden van het vereiste beveiligingsniveau voor apparaten, systemen, toepassingen en dienstenndien er vaardigheden ontbreken, behoort de organisatie actie te ondernemen om deze vaardigheden te verwerven.
Voor het opleidings- en trainingsprogramma behoren verschillende vormen te worden overwogen [bijvessen of zelfstudie, begeleiding door deskundig personeel of consultants (training in de praktijk), het rouleren van personeelsleden om verschillende activiteiten te volgen, mensen met de juiste vaardigheden werven en consultants inhuren]it kan via verschillende middelen worden geleverd, bijvlassikaal, via afstandsonderwijs, via internet, in eigen tempoechnisch personeel behoort zijn kennis op peil te houden door zich te abonneren op nieuwsbrieven en tijdschriften of door conferenties en evenementen te bezoeken die zich richten op technische en professionele verbetering.
**Overige informatie**
Bij het opstellen van een bewustwordingsprogramma is het belangrijk niet alleen de aandacht te richten op het 'wat' en 'hoe', maar ook op het 'waarom', indien mogelijket is belangrijk dat personeel het doel van informatiebeveiliging en de mogelijke uitwerking, positief en negatief, van het eigen gedrag op de organisatie begrijpt.
Bewustwording van, opleiding en training in informatiebeveiliging kunnen onderdeel zijn van, of worden gegeven in combinatie met andere activiteiten, bijvoorbeeld algemene informatiemanagement-, ICT-, beveiligings-, privacy- of veiligheidstraining.

46
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md Normal file
View file

@ -0,0 +1,46 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
| | | | | |
| #Corrigerend | | #Reageren | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.
**Doel**
Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen begrijpen van schending van het informatiebeveiligingsbeleid, personeel en andere relevante belanghebbenden ervan weerhouden zich schuldig te maken aan een schending, en personeel en andere relevante belanghebbenden die zich schuldig hebben gemaakt aan een schending op de juiste manier aanpakken.
**Richtlijn**
De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5).
De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals:
a) de aard (wie, wat, wanneer, hoe) en ernst van de inbreuk en de gevolgen ervan;
b) of de overtreding opzettelijk (kwaadwillig) of onopzettelijk (per ongeluk) was;
c) of het al dan niet een eerste overtreding betreft;
d) of de overtreder al dan niet naar behoren was opgeleid.
Bij de reactie behoort rekening te worden gehouden met relevante eisen van wet- en regelgeving, statutaire, contractuele en bedrijfseisen evenals andere factoren voor zover vereiste disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat personeel en andere relevante belanghebbenden het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures voor informatiebeveiliging overtredenpzettelijke schendingen van het informatiebeveiligingsbeleid kunnen onmiddellijke maatregelen vereisen.
**Overige informatie**
Indien mogelijk behoort de identiteit van personen tegen wie disciplinaire actie wordt ondernomen overeenkomstig de toepasselijke eisen te worden beschermd.
Wanneer personen blijk hebben gegeven van uitstekend gedrag met betrekking tot informatiebeveiliging, kunnen ze worden beloond om de informatiebeveiliging te bevorderen en goed gedrag te stimuleren.

49
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md Normal file
View file

@ -0,0 +1,49 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===========================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging #Beheer_van_be- drijfsmiddelen | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
**Beheersmaatregel**
Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden.
**Doel**
De belangen van de organisatie beschermen als onderdeel van de wijzigings- of beëindigingsprocedure van dienstverband of contracten.
**Richtlijn**
Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6erantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6ndere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden
op het gebied van informatiebeveiliging bevatten.
Wijzigingen in verantwoordelijkheid of dienstverband behoren te worden beheerst als het beëindigen van de desbetreffende verantwoordelijkheid of het desbetreffende dienstverband behoort te worden gecombineerd met het initiëren van de nieuwe verantwoordelijkheid of het nieuwe dienstverband.
De informatiebeveiligingsrollen en -verantwoordelijkheden van een persoon die een rol of functie neerlegt of van rol of functie verandert, behoren te worden geïdentificeerd en op een andere persoon te worden overgedragen.
Er behoort een proces te worden opgesteld om de wijzigingen en operationele procedures te communiceren naar het personeel, andere belanghebbenden en relevante contactpersonen (bijvlanten en leveranciers).
Het proces voor het beëindigen of wijzigen van een dienstverband behoort ook te worden toegepast
op extern personeel (dzeveranciers) wanneer een dienstverband van personeel, het contract of de functie bij de organisatie wordt beëindigd of wanneer er een verandering van functie binnen de organisatie is.
**Overige informatie**
In veel organisaties is de afdeling personeelszaken doorgaans verantwoordelijk voor de totale beëindigingsprocedure en werkt deze afdeling samen met de direct leidinggevende van de persoon die
overstapt om de informatiebeveiligingsaspecten van de relevante procedures af te handelenls het gaat om personeel dat is ingehuurd via een externe partij (bijvia een leverancier), dan wordt deze beëindigingsprocedure uitgevoerd door de externe partij in overeenstemming met het contract tussen de organisatie en de externe partij.

73
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md Normal file
View file

@ -0,0 +1,73 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele capaciteiten** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+=======================================================================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Personeelsbeveiliging #Informatiebescherming #Leveranciersrelaties | #Governance_en\_ |
| | | | | |
| | | | | Ecosysteem |
+------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.
**Doel**
De vertrouwelijkheid van informatie waartoe personeel of externe partijen toegang hebben handhaven.
**Richtlijn**
Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren de eis van bescherming van vertrouwelijke informatie te behandelen binnen juridisch afdwingbare voorwaardenertrouwelijkheids- of geheimhoudingsovereenkomsten zijn van toepassing op belanghebbenden en personeel van de organisatiep basis van de informatiebeveiligingseisen van een organisatie behoren de voorwaarden in de overeenkomsten te worden vastgesteld door te kijken naar de soort informatie waarmee de belanghebbenden of het personeel zullen omgaan, het classificatieniveau en het gebruik ervan en de toegestane toegang door de andere partijij het vaststellen van eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten, behoren de volgende elementen in overweging te worden genomen:
a) een definitie van de te beschermen informatie (bijvertrouwelijke informatie);
b) de verwachte looptijd van een overeenkomst, met inbegrip van gevallen waarin het nodig kan zijn
de vertrouwelijkheid onbeperkt te handhaven of tot de informatie openbaar beschikbaar wordt;
c) de vereiste acties als een overeenkomst is beëindigd;
d) de verantwoordelijkheden en acties van de ondertekenaars betreffende het vermijden van
onbevoegd openbaar maken van informatie;
e) de eigendom van informatie, handelsgeheimen en intellectuele eigendom, en hoe dit zich verhoudt
tot de bescherming van vertrouwelijke informatie;
f) het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om de
informatie te gebruiken;
g) het recht om activiteiten waar vertrouwelijke informatie voor uiterst gevoelige omstandigheden bij
is betrokken, te auditen en te monitoren;
h) de procedure voor het notificeren en melden van ongeoorloofde openbaarmaking of lekken van
vertrouwelijke informatie;
i) de voorwaarden voor retourneren of vernietigen van informatie na beëindiging van de
overeenkomst;
j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst.
De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5).
Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
**Overige informatie**
Vertrouwelijkheids- en geheimhoudingsovereenkomsten beschermen informatie van de organisatie en informeren de ondertekenaars over hun verantwoordelijkheid om informatie op een verantwoordelijke en bevoegde manier te beschermen, te gebruiken en openbaar te maken.

98
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md Normal file
View file

@ -0,0 +1,98 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===================================================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescher- ming #Fysieke_beveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.
**Doel**
De beveiliging van informatie waarborgen wanneer personeel op afstand werkt.
**Richtlijn**
Er is sprake van werken op afstand telkens wanneer personeel van de organisatie vanaf een locatie buiten het gebouw en/of terrein van de organisatie werkt en toegang maakt tot informatie, hetzij in gedrukte vorm of elektronisch via ICT-apparatuurmgevingen voor werken op afstand zijn onder andere omgevingen die worden aangeduid als 'telewerken', 'teleforenzen', 'flexibele werkplek', 'virtuele werkomgevingen' en 'onderhoud op afstand'.
OPMERKING Het is mogelijk dat niet alle aanbevelingen in deze richtlijn kunnen worden toegepast als gevolg
van lokale wet- en regelgeving in verschillende rechtsgebieden.
Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerpspecifiek beleid inzake werken op afstand uit te vaardigen waarin de desbetreffende voorwaarden en beperkingen worden gedefinieerdaar van toepassing geacht, behoort rekening te worden gehouden met de volgende zaken:
a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt;
b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6;
c) de verwachte fysieke werkomgevingen op afstand;
d) de beveiligingseisen die voor communicatie gelden, waarbij rekening wordt gehouden met de behoefte aan toegang op afstand tot de systemen van de organisatie, de gevoeligheid van de informatie die wordt ingezien en via de communicatiekoppeling wordt doorgegeven, en de gevoeligheid van de systemen en toepassingen;
e) het gebruik van toegang op afstand zoals virtuele desktoptoegang die verwerking en opslag van
informatie op privéapparatuur ondersteunt;
f) de dreiging van onbevoegde toegang tot informatie of middelen van andere gebruikers op de locatie
vanwaaraf op afstand wordt gewerkt (bijvamilie en vrienden);
g) de dreiging van onbevoegde toegang tot informatie of middelen door andere personen op openbare
plekken;
h) het gebruik van thuisnetwerken en openbare netwerken en de eisen of beperkingen van de
configuratie van draadloze netwerkdiensten;
i) het gebruik van beveiligingsmaatregelen, zoals firewalls en bescherming tegen malware;
j) beveiligde mechanismen voor het op afstand inzetten en initialiseren van systemen;
k) beveiligde mechanismen voor het authenticeren en inschakelen van speciale toegangsrechten, rekening houdend met de kwetsbaarheid van eenfactorauthenticatiemechanismen waarbij toegang tot het netwerk van de organisatie vanaf een externe locatie is toegestaan.
De in acht te nemen richtlijnen en maatregelen behoren te omvatten:
a) het beschikbaar stellen van passende apparatuur en opbergmeubelen voor de activiteiten van het werken op afstand, waarbij het gebruik van privéapparatuur die niet onder het beheer van de organisatie staat, niet is toegelaten;
b) een definitie van geoorloofde werkzaamheden, de classificatie van informatie waarover men kan beschikken en de interne systemen en diensten waartoe de persoon die werkt op afstand, bevoegde toegang heeft;
c) het voorzien in training voor personeel dat werkt op afstand en personeel dat ondersteuning biedt.
Dit behoort ook in te gaan op hoe men veilig kan zakendoen tijdens het werken op afstand;
d) het voorzien in passende communicatieapparatuur, met inbegrip van methoden voor het beveiligen van toegang op afstand, zoals eisen inzake schermvergrendeling en inactiviteitstimers; de mogelijkheid om de locatie van apparaten te traceren; de installatie van mogelijkheden om apparaten op afstand schoon te vegen;
e) fysieke beveiliging;
f) regels en richtlijnen voor toegang voor familie en bezoekers tot apparatuur en informatie;
g) het beschikbaar stellen van ondersteuning en onderhoud van hardware en software;
h) het regelen van de verzekering;
i) de procedures voor de back-up en de bedrijfscontinuïteit;
j) audit en monitoren van de beveiliging;
k) intrekking van bevoegdheid en toegangsrechten en het inleveren van apparatuur na beëindiging
van de werkactiviteiten op afstand.
**Overige informatie** Geen overige informatie.

61
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen.md Normal file
View file

@ -0,0 +1,61 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.
**Doel**
Tijdige, consistente en doeltreffende melding ondersteunen van informatiebeveiligingsgebeurtenissen die door personeel kunnen worden geïdentificeerd.
**Richtlijn**
Al het personeel en alle gebruikers behoren bewust te worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te melden om het effect van informatiebeveiligingsincidenten te voorkomen of tot het minimum te beperkenij behoren ook te worden geïnformeerd over de procedure voor het melden van informatiebeveiligingsgebeurtenissen en het contactpunt waar de gebeurtenissen behoren te worden gemeldet meldmechanisme behoort zo eenvoudig, toegankelijk en beschikbaar mogelijk te zijnnformatiebeveiligingsgebeurtenissen zijn onder andere incidenten, inbreuken en kwetsbaarheden.
Wat betreft het melden van informatiebeveiligingsgebeurtenissen, behoort rekening te worden gehouden met de volgende situaties:
a) ondoeltreffende informatiebeveiligingsbeheersmaatregelen;
b) schending van informatievertrouwelijkheid, -integriteit of aanwezige verwachtingen;
c) menselijke fouten;
d) het niet naleven van het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels of
toepasselijke normen;
e) schending van fysieke beveiligingsmaatregelen;
f) wijzigingen aan systemen die niet het proces voor wijzigingsbeheer hebben doorlopen;
g) storingen of ander afwijkend systeemgedrag van software of hardware;
h) overtredingen van de toegangsregeling;
i) kwetsbaarheden;
j) vermoedelijke besmetting door malware.
Personeel en gebruikers behoort te worden geadviseerd niet te proberen om de vermeende aanwezigheid van kwetsbaarheden op het gebied van informatiebeveiliging aan te tonenet testen op kwetsbaarheden kan worden uitgelegd als potentieel misbruik van het systeem en kan ook schade veroorzaken aan het informatiesysteem en het kan digitaal bewijs corrumperen of aan het oog onttrekkeniteindelijk kan dit leiden tot wettelijke aansprakelijkheid voor de persoon die de tests uitvoert.
**Overige informatie**
Zie de ISO/IEC 27035-reeks voor aanvullende informatie.
# 7 Fysieke beheersmaatregelen

96
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md Normal file
View file

@ -0,0 +1,96 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.
**Doel**
Uitsluitend geoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van informatie op opslagmedia bewerkstelligen.
**Richtlijn**
<u>Verwijderbare opslagmedia</u>
Voor het beheren van verwijderbare opslagmedia behoren de volgende richtlijnen te worden overwogen:
a) onderwerpspecifiek beleid inzake het beheer van verwijderbare opslagmedia vaststellen en dit onderwerpspecifieke beleid communiceren aan iedereen die verwijderbare opslagmedia gebruikt of hanteert;
b) indien nodig en haalbaar, goedkeuring vereisen om opslagmedia uit de organisatie te verwijderen
en een registratie van dergelijke verwijderingen bijhouden om een audittraject te onderhouden;
c) alle opslagmedia opslaan in een veilige, beveiligde omgeving overeenkomstig de desbetreffende informatieclassificatie en beschermen tegen dreigingen van buitenaf (zoals warmte, vocht, luchtvochtigheid, elektronische velden of veroudering), overeenkomstig de specificaties van de fabrikant;
d) indien vertrouwelijkheid of integriteit van informatie belangrijke overwegingen zijn,
cryptografische technieken gebruiken om informatie op verwijderbare media te beschermen;
e) om het risico te verkleinen dat opslagmedia in kwaliteit achteruitgaan terwijl de opgeslagen informatie nog nodig is, de informatie op nieuwe opslagmedia overbrengen voordat deze onleesbaar wordt;
f) van waardevolle informatie meerdere kopieën op afzonderlijke opslagmedia opslaan om het risico
op toevallige beschadiging of verlies van informatie verder te beperken;
g) verwijderbare opslagmedia registreren om de kans dat informatie verloren gaat, te beperken;
h) poorten voor verwijderbare opslagmedia (bijvD-kaartsleuven en USB-poorten) alleen
inschakelen indien er vanuit de organisatie een reden voor het gebruik ervan is;
i) als er behoefte is om verwijderbare opslagmedia te gebruiken, de overdracht van informatie op
dergelijke opslagmedia monitoren;
j) informatie kan tijdens fysiek transport gevoelig zijn voor onbevoegde toegang, misbruik of
beschadiging, bijvoorbeeld wanneer opslagmedia per post- of koeriersdienst worden verzonden.
In deze beheersmaatregel worden onder media ook papieren documenten verstaanas bij het transport van fysieke opslagmedia de beveiligingsmaatregelen van 5 toe.
<u>Beveiligd hergebruiken of verwijderen</u>
Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden:
a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8);
b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig
zijn (bijvoor ze te vernietigen, versnipperen of de inhoud ervan op beveiligde wijze te wissen);
c) procedures instellen om media te identificeren waarvan het nodig kan zijn ze veilig te verwijderen;
d) veel organisaties bieden inzamelings- en verwijderingsdiensten aan voor opslagmediaen geschikte externe leverancier met toereikende beheersmaatregelen en ervaring behoort met zorg te worden gekozen;
e) de verwijdering van gevoelige zaken in een logbestand bijhouden om een audittraject te
onderhouden;
f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het aggregatie-effect,
waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7).
**Overige informatie**
Als vertrouwelijke informatie op opslagmedia niet versleuteld is, behoort aanvullende fysieke bescherming van de opslagmedia te worden overwogen.

61
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen.md Normal file
View file

@ -0,0 +1,61 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+---------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+=====================+======================+========================+=====================+
| #Preventief | #Integriteit | #Beschermen | #Fysieke_beveiliging | #Bescherming |
| | | | | |
| #Detectief | #Beschikbaarheid | #Detecteren | | |
+------------------------+---------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Informatieverwerkende faciliteiten behoren te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.
**Doel**
Verlies, schade of compromittering van informatie en andere gerelateerde bedrijfsmiddelen of onderbreking van de bedrijfsvoering van de organisatie vanwege verstoring en ontregeling van ondersteunende nutsvoorzieningen voorkomen.
**Richtlijn**
Organisaties zijn afhankelijk van nutsvoorzieningen (bijvlektriciteit, telecommunicatie, water, gas, riolering, ventilatie en airconditioning) om hun informatieverwerkende faciliteiten te ondersteunenaarom behoort de organisatie:
a) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, geconfigureerd, bediend
en onderhouden wordt volgens de specificaties van de desbetreffende fabrikant;
b) te bewerkstelligen dat nutsvoorzieningen regelmatig worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
c) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, regelmatig wordt
geïnspecteerd en getest om te garanderen dat deze naar behoren functioneert;
d) zo nodig te voorzien in alarmmeldingen om disfunctioneren van nutsvoorzieningen te detecteren;
e) voor zover nodig, te bewerkstelligen dat nutsvoorzieningen over meervoudige aanvoer of voeding
via verschillende fysieke routes beschikken;
f) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt en met een netwerk is
verbonden, met een ander netwerk is verbonden dan de informatieverwerkende faciliteiten;
g) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, uitsluitend op beveiligde
wijze en slechts wanneer dat nodig is met het internet wordt verbonden.
Noodverlichting en communicatiemiddelen behoren aanwezig te zijnabij nooduitgangen of ruimten waar apparatuur aanwezig is, behoren noodschakelaars en knoppen te zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeldontactgegevens voor noodgevallen behoren te worden geregistreerd en bij uitval ter beschikking van het personeel te staan.
**Overige informatie**
Redundantie voor netwerkverbinding kan worden verkregen via meerdere routes vanaf meer dan één aanbieder.

65
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling.md Normal file
View file

@ -0,0 +1,65 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
| | | | | |
| | #Beschikbaarheid | | | |
+------------------------+----------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen onderschepping, interferentie of beschadiging.
**Doel**
Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie in verband met voedings- en communicatiekabels voorkomen.
**Richtlijn**
Met de volgende richtlijnen voor beveiligen van bekabeling behoort rekening te worden gehouden:
a) voedings- en telecommunicatieleidingen naar informatieverwerkende faciliteiten: waar mogelijk onder de grond of op een andere passende wijze beschermd, zoals met een vloerkabelgoot en een nutspaal; ondergrondse kabels: beschermd tegen onopzettelijk doorsteken (bijvet een mantel of detectiesignalen);
b) voedingskabels van communicatiekabels scheiden om interferentie te voorkomen;
c) voor gevoelige of essentiële systemen kunnen de volgende aanvullende beheersmaatregelen
worden overwogen:
1) de installatie van gewapende kabelgoten en afgesloten kamers of dozen en alarmen bij inspectie-
en afsluitpunten;
2) het gebruik van elektromagnetische afscherming ter bescherming van de kabels;
3) periodieke technische schoonmaakbeurten en fysieke controles om aansluiting van
niet-goedgekeurde apparaten op de kabels op te sporen;
4) beveiligde toegang tot schakelpanelen en kabelruimten (bijvet mechanische sleutels of
pincodes);
5) het gebruik van glasvezelkabels;
d) kabels aan elk uiteinde voorzien van labels met voldoende informatie over de bron en de
bestemming om fysieke identificatie en inspectie van de kabel mogelijk te maken.
Specialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit incidenten met of disfunctioneren van kabels.
**Overige informatie**
Soms worden voedings- en telecommunicatiekabels door meer dan één organisatie op één locatie gedeeld.

65
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md Normal file
View file

@ -0,0 +1,65 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
| | | | | |
| | | | | #Veerkracht |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
Apparatuur behoort op de juiste wijze te worden onderhouden om de beschikbaarheid, integriteit en betrouwbaarheid van informatie te garanderen.
**Doel**
Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie door gebrekkig onderhoud voorkomen.
**Richtlijn**
De volgende richtlijnen voor onderhoud van apparatuur behoren in aanmerking te worden genomen:
a) apparatuur in overeenstemming met de door de leverancier aanbevolen frequentie voor
servicebeurten en voorschriften onderhouden;
b) het door de organisatie implementeren en monitoren van een onderhoudsprogramma;
c) alleen bevoegd onderhoudspersoneel reparaties en onderhoud aan apparatuur laten uitvoeren;
d) registraties bijhouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en
corrigerende onderhoud;
e) passende beheersmaatregelen implementeren wanneer onderhoud van apparatuur is gepland, rekening houdend met of dit onderhoud wordt uitgevoerd door personeel ter plaatse of door extern personeel, waarbij het onderhoudspersoneel gehouden is aan een passende geheimhoudingsovereenkomst;
f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud ter plaatse;
g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen;
h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
i) voldoen aan alle door de verzekering opgelegde onderhoudseisen;
j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie uitvoeren om te
waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert;
k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7)
indien wordt vastgesteld dat het nodig is apparatuur te verwijderen.
**Overige informatie**
Apparatuur omvat technische componenten van informatieverwerkende faciliteiten, UPS, batterijen en accu's, stroomgeneratoren, wisselstroomgeneratoren en vermogensomzetters, fysieke inbraakdetectiesystemen en -alarmen, rookmelders, brandblussers, airconditioning en liften.

70
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur.md Normal file
View file

@ -0,0 +1,70 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt.
**Doel**
Het lekken van informatie via af te voeren of te hergebruiken apparatuur voorkomen.
**Richtlijn**
Voorafgaand aan verwijdering of hergebruik behoort te worden gecontroleerd of apparatuur opslagmedia bevat.
Opslagmedia die vertrouwelijke of door auteursrecht beschermde informatie bevatten, behoren, in plaats van met de standaard 'delete'-functie te worden gewist, fysiek te worden vernietigd of de informatie behoort te worden vernietigd, verwijderd of overschreven met gebruikmaking van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halenie 7 voor gedetailleerde richtlijnen over het veilig verwijderen van opslagmedia en 8 voor richtlijnen over het wissen van informatie.
Labels en markeringen waarmee de organisatie wordt geïdentificeerd of die de classificatie, de eigenaar, het systeem of het netwerk aangeven, behoren voorafgaand aan het verwijderen, waaronder begrepen doorverkopen of aan een goed doel schenken, van de opslagmedia te worden verwijderd.
De organisatie behoort te overwegen beveiligingsbeheersmaatregelen zoals toegangsbeveiligingsmaatregelen of bewakingsapparatuur aan het einde van de huurovereenkomst of bij verhuizing uit het gebouw te verwijderenit is afhankelijk van factoren zoals:
a) de huurovereenkomst om de faciliteit in de oorspronkelijke staat terug te brengen;
b) het minimaliseren van het risico dat systemen met gevoelige informatie erop worden achtergelaten voor de volgende huurder (bijvijsten van welke gebruikers toegang hebben gehad, video- of beeldbestanden);
c) de mogelijkheid om de beheersmaatregelen in de volgende faciliteit opnieuw te gebruiken.
**Overige informatie**
Voor beschadigde apparatuur die opslagmedia bevat, kan een risicobeoordeling nodig zijn om vast te stellen of het desbetreffende onderdeel van de apparatuur fysiek behoort te worden vernietigd in plaats van te worden gerepareerd of verwijderdnformatie kan worden gecompromitteerd door onzorgvuldige verwijdering of door hergebruik van apparatuur.
Naast zorgvuldig wissen van de schijf vermindert codering van de volledige schijf het risico op openbaarmaking van vertrouwelijke informatie als de apparatuur van de hand wordt gedaan of opnieuw wordt ingezet, mits:
a) de codering voldoende sterk is en de gehele schijf omvat (met inbegrip van 'slack space', swap-
bestanden);
b) de cryptografische sleutels lang genoeg zijn om met grove middelen uitgevoerde aanvallen te
weerstaan;
c) de cryptografische sleutels vertrouwelijk worden behandeld (bijvooit op dezelfde schijf worden
bewaard).
Zie voor verder advies over cryptografie 8.
De technieken voor het op beveiligde wijze overschrijven van opslagmedia verschillen afhankelijk van de opslagmediatechnologie en het classificatieniveau van de informatie op de opslagmediaverschrijvingsinstrumenten behoren te worden beoordeeld om er zeker van te zijn dat ze geschikt zijn voor de technologie van het opslagmedium.
Zie ISO/IEC 27040 voor nadere informatie over methoden om opslagmedia leeg te maken.
# 8 Technologische beheersmaatregelen

43
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones.md Normal file
View file

@ -0,0 +1,43 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiëren en te gebruiken.
**Doel**
Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie voorkomen.
**Richtlijn**
Voor zover van toepassing behoren de volgende richtlijnen voor fysieke beveiligingszones te worden overwogen:
a) beveiligingszones en de locatie en sterkte van elk van de buitengrenzen definiëren overeenkomstig
de informatiebeveiligingseisen met betrekking tot bedrijfsmiddelen binnen de beveiligingszone;
b) beschikken over fysiek solide buitengrenzen voor een gebouw of locatie met informatieverwerkende faciliteiten (dzat er geen zwakke plekken mogen zitten in de buitengrenzen of beveiligingszones waardoor men gemakkelijk kan inbreken)e constructie van de buitendaken, -muren, -plafonds en -vloeren van de locatie behoort gedegen te zijn en alle buitendeuren behoren op passende wijze met toegangsbeveiligingsmechanismen (bijvtangen, alarmen, sloten) te worden beschermd tegen toegang door onbevoegdeneuren en ramen behoren afgesloten te zijn als er geen toezicht is en er behoort externe bescherming te worden overwogen voor ramen, met name op de begane grond; ook aan ventilatiepunten behoort aandacht te worden besteed;
c) alle branddeuren die deel uitmaken van een beveiligingszone, van alarmsystemen voorzien en ze in combinatie met de muren monitoren en testen om vast te stellen of ze het vereiste weerstandsniveau, overeenkomstig geschikte normen, biedene behoren faalveilig te werken.
**Overige informatie**
Fysieke bescherming kan worden verkregen door een of meer fysieke barrières rond het gebouw en/of terrein en de informatieverwerkende faciliteiten van de organisatie aan te brengen.
Een beveiligd gebied kan een afsluitbaar kantoor zijn of diverse ruimten omgeven door een ononderbroken interne fysieke beveiligingsbarrièreussen zones met verschillende beveiligingseisen binnen de beveiligingszone kunnen extra barrières en buitengrenzen nodig zijn om fysieke toegang te beheersene organisatie behoort te overwegen fysieke beveiligingsmaatregelen in te voeren die tijdens situaties waar er sprake is van een verhoogd dreigingsniveau kunnen worden versterkt.

126
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md Normal file
View file

@ -0,0 +1,126 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+==========================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Identiteits- \_en_toegangsbeheer | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
**Beheersmaatregel**
Beveiligde zones behoren te worden beschermd door passende toegangscontroles en toegangspunten.
**Doel**
Bewerkstelligen dat er alleen bevoegde fysieke toegang tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie plaatsvindt.
**Richtlijn**
<u>Algemeen</u>
Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het gebouw en/of terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5);
b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren
en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen;
c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones;
d) een ontvangstgebied dat door personeel wordt gemonitord, opzetten of andere middelen om de
fysieke toegang tot de locatie of het gebouw te beheersen;
e) de persoonlijke bezittingen van personeel en belanghebbenden bij het binnenkomen en weggaan
inspecteren en onderzoeken;
OPMERKING Er kan lokale wet- en regelgeving bestaan inzake de mogelijkheid persoonlijke bezittingen te
inspecteren.
f) van al het personeel en alle belanghebbenden verlangen dat zij een bepaalde vorm van zichtbare identificatie dragen en dat zij onmiddellijk beveiligingspersoneel op de hoogte stellen als zij bezoekers zonder begeleiding en personen die geen zichtbare identificatie dragen, tegenkomenemakkelijk te herkennen badges behoren te worden overwogen om vaste werknemers, leveranciers en bezoekers beter te kunnen identificeren;
g) personeel van leveranciers alleen wanneer toegang vereist is, beperkte toegang verlenen tot beveiligde zones of informatieverwerkende faciliteiteneze toegang behoort gebaseerd te zijn op autorisatie en te worden gemonitord;
h) speciale aandacht geven aan de fysieke toegangsbeveiliging van gebouwen die bedrijfsmiddelen
voor meerdere organisaties bevatten;
i) fysieke beveiligingsmaatregelen dusdanig ontwerpen dat ze kunnen worden versterkt indien het
meer aannemelijk wordt dat er zich fysieke incidenten gaan voordoen;
j) andere toegangspunten zoals nooduitgangen tegen onbevoegde toegang beveiligen;
k) een sleutelbeheerproces opzetten om ervoor te zorgen dat de fysieke sleutels of authenticatie-
informatie (bijvlotcodes, combinatiesloten voor kantoren, ruimten en faciliteiten zoals
sleutelkasten) worden beheerd en om een logboek of jaarlijkse sleutelaudit te bewerkstelligen en
ervoor te zorgen dat de toegang tot fysieke sleutels of authenticatie-informatie wordt beveiligd (zie
5 voor verdere richtlijnen over authenticatie-informatie).
<u>Bezoekers</u>
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) met passende middelen de identiteit van bezoekers vaststellen;
b) de datum en het tijdstip van binnenkomst en vertrek van bezoekers registreren;
c) bezoekers alleen toegang verlenen voor specifieke, toegestane doeleinden en ze instructies geven
over de veiligheidseisen voor de zone en over noodprocedures;
d) toezicht houden op alle bezoekers, tenzij er een uitdrukkelijke uitzondering is verleend.
<u>Laad- en loslocaties en inkomend materiaal</u>
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) uitsluitend geïdentificeerd en bevoegd personeel toegang verlenen tot laad- en loslocaties van
buiten het gebouw;
b) de laad- en loslocaties dusdanig ontwerpen dat leveringen kunnen worden geladen en gelost
zonder dat de leverancier onbevoegde toegang heeft tot andere zones van het gebouw;
c) de buitendeuren van laad- en loslocaties beveiligen als deuren naar beperkt toegankelijke zones
open zijn;
d) inkomende leveringen controleren en onderzoeken op explosieven, chemicaliën of andere
gevaarlijke materialen voordat ze vanaf laad- en loslocaties worden overgebracht;
e) inkomende leveringen bij binnenkomst op de zone in overeenstemming met de procedures voor
bedrijfsmiddelenbeheer registreren (zie 5en 7);
f) waar mogelijk, inkomende en uitgaande zendingen fysiek scheiden;
g) inkomende leveringen inspecteren op bewijs van manipulatie onderwegndien vervalsing wordt
ontdekt, behoort dit direct aan beveiligingspersoneel te worden gemeld.
**Overige informatie** Geen overige informatie.

41
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten.md Normal file
View file

@ -0,0 +1,41 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en geïmplementeerd.
**Doel**
Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie in kantoren, ruimten en faciliteiten voorkomen.
**Richtlijn**
Bij het beveiligen van kantoren, ruimten en faciliteiten behoren de volgende richtlijnen in aanmerking te worden genomen:
a) essentiële faciliteiten dusdanig positioneren dat wordt vermeden dat het publiek er toegang toe
heeft;
b) indien van toepassing, bewerkstelligen dat gebouwen onopvallend zijn en zo min mogelijk aanwijzingen geven over het gebruiksdoel ervan, zonder duidelijke tekenen binnen of buiten het gebouw die op de aanwezigheid van informatieverwerkende activiteiten duiden;
c) faciliteiten zo configureren dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijnoor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen;
d) ervoor zorgen dat adreslijsten, interne telefoongidsen en online toegankelijke plattegronden met daarop de locaties van faciliteiten waar vertrouwelijke informatie wordt verwerkt, niet gemakkelijk beschikbaar zijn voor onbevoegden.
**Overige informatie** Geen overige informatie.

63
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging.md Normal file
View file

@ -0,0 +1,63 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
| | | | | |
| #Detectief | | #Detecteren | | #Verdediging |
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Het gebouw en terrein behoort voortdurend te worden gemonitord op onbevoegde fysieke toegang.
**Doel**
Onbevoegde fysieke toegang detecteren en ontmoedigen.
**Richtlijn**
Fysieke terreinen en gebouwen behoren te worden bewaakt door bewakingssystemen die kunnen bestaan uit bewakers, inbraakalarmen, videobewakingssystemen zoals gesloten televisiecircuits en software voor het beheer van informatie over fysieke beveiliging die intern of door een aanbieder van bewakingsdiensten wordt beheerd.
De toegang tot gebouwen waarin kritieke systemen zijn ondergebracht, behoort voortdurend te worden gemonitord om toegang door onbevoegden of verdacht gedrag te detecteren door:
a) videomonitoringssystemen, zoals gesloten televisiecircuits, te installeren om de toegang tot gevoelige zones binnen en buiten het terrein en de gebouwen van een organisatie te bekijken en te registreren;
b) contact-, geluids- of bewegingsmelders die een inbraakalarm in werking stellen, volgens de
desbetreffende toepasselijke normen te installeren en periodiek te testen, bijvoorbeeld:
1) op elke plaats waar contact kan worden gemaakt of verbroken (zoals ramen en deuren en onder voorwerpen), contactmelders die een alarm geven wanneer een contact wordt gemaakt of verbroken, voor gebruik als paniekalarm installeren;
2) bewegingsmelders op basis van infraroodtechnologie installeren die een alarm veroorzaken
wanneer een voorwerp hun gezichtsveld passeert;
3) sensoren installeren die gevoelig zijn voor het geluid van brekend glas en die een alarm in
werking kunnen stellen dat de beveiligingsmedewerkers alarmeert.
c) met de alarmsystemen alle buitendeuren en toegankelijke ramen af te dekkeneegstaande
ruimten behoren te allen tijde met een alarm beveiligd te zijn; er behoort ook te worden voorzien in dekking voor andere ruimten (bijvomputer- of communicatieruimten).
Het ontwerp van monitoringsystemen behoort geheim te worden gehouden omdat openbaarmaking ervan onopgemerkte inbraken mogelijk kan maken.
Om te voorkomen dat onbevoegden toegang hebben tot bewakingsinformatie, zoals videobeelden, of dat systemen op afstand worden uitgeschakeld, behoren monitoringsystemen te worden beschermd tegen toegang door onbevoegden.
Het bedieningspaneel van het alarmsysteem behoort in een met een alarm beveiligde zone te worden geplaatst en, in het geval van veiligheidsalarmen, op een plek die het voor de persoon die het alarm instelt, gemakkelijk maakt om de zone te verlatenet bedieningspaneel en de detectoren behoren te zijn voorzien van manipulatiebestendige mechanismenet systeem behoort regelmatig te worden getest om te garanderen dat het naar behoren werkt, met name als de onderdelen ervan op batterijen werken.
Elk monitoring- en opnamemechanisme behoort te worden gebruikt met inachtneming van de plaatselijke wet- en regelgeving, met inbegrip van de wetgeving inzake gegevensbescherming en de bescherming van persoonsgegevens, met name wat betreft het monitoren van werknemers en de bewaringstermijnen voor video-opnamen.
**Overige informatie** Geen overige informatie.

55
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen.md Normal file
View file

@ -0,0 +1,55 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen van de infrastructuur, te worden ontworpen en geïmplementeerd.
**Doel**
De gevolgen van gebeurtenissen die voortvloeien uit fysieke en omgevingsdreigingen, voorkomen of beperken.
**Richtlijn**
Risicobeoordelingen om de potentiële gevolgen van fysieke en omgevingsdreigingen te identificeren, behoren voorafgaand aan kritische activiteiten op een fysieke locatie en met regelmatige tussenpozen te worden uitgevoerde nodige voorzorgsmaatregelen behoren te worden getroffen en veranderingen in de dreigingen behoren te worden gemonitordpecialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit fysieke en omgevingsdreigingen, zoals brand, overstroming, aardbeving, explosie, oproer, toxisch afval, uitstoot van milieubelastende stoffen en andere vormen van natuurrampen of door personen veroorzaakte rampen.
Bij het bepalen van de locatie en het aanleggen en bouwen van fysieke terreinen en gebouwen behoort rekening te worden gehouden met:
a) de topografie ter plaatse, zoals de juiste hoogteligging, watermassa\'s en breuklijnen langs
tektonische platen;
b) dreigingen die inherent zijn aan stedelijke omgevingen, zoals locaties met een hoog risicoprofiel
wat betreft het aantrekken van politieke onrust, criminele activiteiten of terrorisme.
Op basis van de resultaten van de risicobeoordelingen behoren de relevante fysieke en omgevingsdreigingen te worden geïdentificeerd en behoort te worden nagedacht over passende beheersmaatregelen in de volgende contexten, bij wijze van voorbeeld:
a) brand: systemen die vroegtijdig brand kunnen detecteren, installeren en configureren zodat deze brandmeldingen doen of blussystemen in werking stellen, om brandschade aan opslagmedia en gerelateerde informatieverwerkende systemen te voorkomenrand behoort te worden geblust met de meest passende stof voor wat betreft de omgeving (bijvas in besloten ruimten);
b) overstroming: systemen die overstroming in een vroeg stadium kunnen detecteren, installeren onder de vloeren van ruimten met opslagmedia of informatieverwerkende systemenaterpompen of gelijkwaardige middelen behoren onmiddellijk beschikbaar te zijn voor het geval er zich een overstroming voordoet;
c) stroompieken: systemen die zowel server- als clientinformatiesystemen tegen stroompieken of soortgelijke gebeurtenissen kunnen beschermen, implementeren om de gevolgen van dergelijke gebeurtenissen tot een minimum te beperken;
d) explosieven en wapens: steekproefsgewijze inspecties verrichten naar de aanwezigheid van explosieven of wapens bij personeel, in voertuigen of in goederen die faciliteiten binnenkomen waar gevoelige informatie wordt verwerkt.
**Overige informatie**
Kluizen en andere vormen van beveiligde opslagvoorzieningen kunnen de daarin opgeslagen informatie beschermen tegen rampen zoals brand, aardbeving, overstroming of explosie.
Organisaties kunnen de concepten van criminaliteitspreventie door het ontwerp van de omgeving in overweging nemen bij het ontwerpen van de beheersmaatregelen om hun omgeving te beveiligen en dreigingen die inherent zijn aan stedelijke omgevingen, te beperkenn plaats van verkeerspalen te gebruiken, kunnen bijvoorbeeld standbeelden of waterpartijen als decoratie en als fysieke barrière fungeren.

53
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones.md Normal file
View file

@ -0,0 +1,53 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Voor het werken in beveiligde zones behoren beveiligingsmaatregelen te worden ontwikkeld en geïmplementeerd.
**Doel**
Informatie en andere gerelateerde bedrijfsmiddelen in beveiligde zones beschermen tegen schade en onbevoegde verstoring door personeel dat in deze zones aan het werk is.
**Richtlijn**
De beveiligingsmaatregelen voor het werken in beveiligde gebieden behoren van toepassing te zijn op al het personeel en behoren alle activiteiten te bestrijken die in de beveiligde zone plaatsvinden.
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) het personeel op grond van 'need-to-know' alleen bekend maken met het bestaan van de
activiteiten in een beveiligde zone.
b) zonder toezicht werken in beveiligde gebieden vermijden, zowel om veiligheidsredenen als om de
kansen op kwaadaardige activiteiten te beperken;
c) leegstaande beveiligde gebieden fysiek afsluiten en regelmatig inspecteren;
d) foto-, video-, audio- of andere opnameapparatuur, zoals camera's in 'endpoint devices' van
gebruikers, alleen toelaten als hiervoor autorisatie is verleend;
e) het in beveiligde gebieden meenemen en gebruiken van 'endpoint devices' van gebruikers naar
behoren beheersen;
f) noodprocedures duidelijk zichtbaar en toegankelijk ophangen.
**Overige informatie** Geen overige informatie.

55
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.7_BT 'Clear desk' en 'clear screen'.md Normal file
View file

@ -0,0 +1,55 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+========================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+------------------------+----------------------+----------------------+------------------------+---------------------+
**Beheersmaatregel**
Er behoren 'clear desk'-regels voor papieren documenten en verwijderbare opslagmedia en 'clear screen'-regels voor informatieverwerkende faciliteiten te worden gedefinieerd en op passende wijze ten uitvoer worden gebracht.
**Doel**
De risico\'s op onbevoegde toegang tot, verlies van en schade aan informatie op bureaus, schermen en op andere toegankelijke plaatsen tijdens en buiten de gebruikelijke werkuren beperken.
**Richtlijn**
De organisatie behoort een onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen' vast te stellen en aan alle relevante belanghebbenden mee te delen.
Met de volgende richtlijnen behoort rekening te worden gehouden:
a) gevoelige of essentiële bedrijfsinformatie (bijvp papier of op elektronische opslagmedia) in een afgesloten ruimte bewaren (idealiter in een kluis, een kast of een andere vorm van beveiligd meubilair) wanneer deze informatie niet vereist is, met name als er niemand in het kantoor is.
b) 'endpoint devices' van gebruikers beschermen met sleutelsloten of andere beveiligingsmiddelen
wanneer deze onbeheerd of niet in gebruik zijn;
c) ervoor zorgen dat onbeheerde 'endpoint devices' van gebruikers uitgelogd zijn of beschermd zijn met een scherm- en toetsenbordvergrendeling met gebruikersauthenticatielle computers en systemen behoren te worden geconfigureerd met een time-out of automatische afmeldfunctie;
d) ervoor zorgen dat de persoon die een printopdracht geeft, de uitdraaien onmiddellijk uit de printer of het multifunctionele apparaat verwijdertebruik printers met een authenticatiefunctie, waardoor alleen degene die de code invoert en naast de printer staat, de afdrukken ontvangt;
e) documenten en verwijderbare opslagmedia met gevoelige informatie veilig opslaan en ze, wanneer
ze niet meer nodig zijn, met behulp van beveiligde verwijderingsmechanismen verwijderen;
f) regels en richtlijnen voor het configureren van pop-ups op schermen vaststellen en communiceren (bijve pop-ups voor nieuwe e-mail en berichten zo mogelijk uitschakelen tijdens presentaties, bij het delen van schermen of in een openbare ruimte);
g) gevoelige of essentiële informatie van whiteboards en andere schermen of borden wissen als deze
niet meer nodig is.
De organisatie behoort te beschikken over procedures voor het ontruimen van faciliteiten, waaronder een laatste doorzoeking voorafgaand aan vertrek om te garanderen dat er geen bedrijfsmiddelen van de organisatie worden achtergelaten (bijvocumenten die achter laden of meubilair zijn gevallen).
**Overige informatie** Geen overige informatie.

61
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur.md Normal file
View file

@ -0,0 +1,61 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
Apparatuur behoort veilig te worden geplaatst en beschermd.
**Doel**
De risico\'s op fysieke en omgevingsdreigingen en op toegang door onbevoegden en schade beperken.
**Richtlijn**
Om apparatuur te beschermen behoren de volgende richtlijnen in overweging te worden genomen:
a) apparatuur op een dusdanige locatie plaatsen dat onnodige toegang tot werkgebieden tot het
minimum wordt beperkt en toegang door onbevoegden wordt vermeden;
b) de plaats van informatieverwerkende faciliteiten die gevoelige gegevens verwerken, zorgvuldig bepalen om het risico te beperken dat informatie tijdens het gebruik van die faciliteiten wordt bekeken door onbevoegden;
c) beheersmaatregelen invoeren om het risico op potentiële fysieke en omgevingsdreigingen [bijviefstal, brand, explosie, rook, wateroverlast (of uitval van watervoorziening), stof, trilling, chemische reacties, storing in de elektriciteitsvoorziening of in communicatievoorzieningen, elektromagnetische straling en vandalisme] zo laag mogelijk te houden;
d) richtlijnen voor eten, drinken en roken in de nabijheid van informatieverwerkende faciliteiten
vaststellen;
e) omgevingsomstandigheden zoals temperatuur en vochtigheid monitoren en controleren op omstandigheden die de werking van informatieverwerkende faciliteiten negatief kunnen beïnvloeden;
f) bliksembeveiliging toepassen op alle gebouwen en bliksembeveiligingsfilters installeren op alle
inkomende stroom- en communicatieleidingen;
g) de toepassing van speciale beschermingsmiddelen zoals toetsenbordfolie overwegen voor
apparatuur in industriële omgevingen;
h) apparatuur die vertrouwelijke informatie verwerkt beschermen om het risico op weglekken van
informatie door elektromagnetische emanatie zo laag mogelijk te houden;
i) informatieverwerkende faciliteiten die worden beheerd door de organisatie fysiek scheiden van
informatieverwerkende faciliteiten die niet door de organisatie worden beheerd.
**Overige informatie** Geen overige informatie.

67
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md Normal file
View file

@ -0,0 +1,67 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd.
**Doel**
Verlies, schade, diefstal of compromittering van bedrijfsmiddelen buiten het gebouw en/of terrein en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
**Richtlijn**
Het is nodig apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt (bijven mobiel apparaat), met inbegrip van apparaten die eigendom zijn van de organisatie en apparaten die particulier eigendom zijn en gebruikt worden namens de organisatie ['bring your own device (BYOD)'], te beschermenet gebruik van deze apparaten behoort door het management te worden goedgekeurd.
Met de volgende richtlijnen behoort rekening te worden gehouden voor het beschermen van apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt:
a) apparatuur en opslagmedia die buiten het gebouw en/of terrein worden gebracht niet onbewaakt
op openbare en niet-beveiligde plekken achterlaten;
b) voorschriften van de fabrikant voor het beschermen van de apparatuur te allen tijde in acht nemen (bijvescherming tegen blootstelling aan sterke elektromagnetische velden, water, hitte, vocht, stof);
c) als apparatuur buiten het gebouw en/of terrein tussen verschillende personen of belanghebbenden
wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de apparatuur
definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht;
d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5);
e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon
of laptop in het openbaar vervoer, en de risico\'s die verbonden zijn aan meekijken);
f) locatiebepaling voor apparaten en de mogelijkheid om apparaten op afstand schoon te vegen
implementeren.
Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie:
a) fysiek monitoren van de beveiliging (zie 7;
b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7;
c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan;
d) logische toegangsbeveiligingsmaatregelen.
**Overige informatie**
Meer informatie over andere aspecten van de bescherming van apparatuur waarop informatie wordt opgeslagen en verwerkt, en 'endpoint devices' van gebruikers is te vinden in 8en 6

75
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.10_BT Wissen van informatie.md Normal file
View file

@ -0,0 +1,75 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+=======================================================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming #Juridisch_en_com- pliance | #Bescherming |
+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
**Beheersmaatregel**
In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer nodig is.
**Doel**
Onnodige openbaarmaking van gevoelige informatie voorkomen en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voor het wissen van informatie voldoen.
**Richtlijn**
<u>Algemeen</u>
Om het risico op ongewenste openbaarmaking te beperken behoort gevoelige informatie niet langer te worden bewaard dan nodig is.
Bij het wissen van informatie van systemen, toepassingen en diensten behoort het volgende in overweging te worden genomen:
a) een wismethode (bijvlektronisch overschrijven of cryptografisch wissen) selecteren
overeenkomstig de bedrijfseisen en met inachtneming van de relevante wet- en regelgeving;
b) de resultaten van het wissen als bewijsmateriaal registreren;
c) wanneer gebruik wordt gemaakt van dienstverleners voor het wissen van informatie, bewijs van
het wissen van informatie van hen verkrijgen.
Indien derden de informatie van de organisatie namens de organisatie opslaan, behoort de organisatie te overwegen in de overeenkomsten met derden eisen inzake het wissen van informatie op te nemen, die tijdens en bij beëindiging van dergelijke diensten worden afgedwongen.
<u>Wismethoden</u>
In overeenstemming met het onderwerpspecifieke beleid van de organisatie inzake het bewaren van gegevens en met inachtneming van de desbetreffende wet- en regelgeving, behoort gevoelige informatie te worden gewist wanneer zij niet langer nodig is, door:
a) systemen dusdanig te configureren dat informatie op een beveiligde manier wordt vernietigd wanneer zij niet langer nodig is (bijva een gedefinieerde periode afhankelijk van het onderwerpspecifieke beleid inzake het bewaren van gegevens of op grond van een verzoek om toegang van een betrokkene);
b) verouderde versies, kopieën en tijdelijke bestanden te wissen, ongeacht waar deze zich bevinden;
c) gebruik te maken van goedgekeurde, veilige software voor het wissen waardoor informatie blijvend wordt gewist en wordt gegarandeerd dat de informatie niet met behulp van gespecialiseerde herstel- of forensische instrumenten kan worden hersteld;
d) gebruik te maken van erkende, gecertificeerde aanbieders van beveiligde verwijderingsdiensten;
e) gebruik te maken van verwijderingsmechanismen die geschikt zijn voor het type opslagmedia dat
wordt verwijderd (bijvoor vaste schijven en andere magnetische opslagmedia te degaussen).
Indien gebruik wordt gemaakt van clouddiensten, behoort de organisatie na te gaan of de door de aanbieder van de clouddienst geboden wismethode aanvaardbaar is en indien dit het geval is, behoort de organisatie deze te gebruiken, of de aanbieder van de clouddienst te verzoeken de informatie te wisseneze wisprocessen behoren te worden geautomatiseerd overeenkomstig onderwerpspecifieke beleidsregels, indien die beschikbaar en van toepassing zijnfhankelijk van de gevoeligheid van de gewiste informatie kan met logbestanden worden getraceerd of geverifieerd dat deze wisprocessen hebben plaatsgevonden.
Om onbedoelde openbaarmaking van gevoelige informatie te voorkomen wanneer apparatuur naar leveranciers wordt teruggestuurd, behoort gevoelige informatie te worden beschermd door hulpopslagfaciliteiten (bijvaste schijven) en geheugen te verwijderen voordat de apparatuur het gebouw en/of terrein van de organisatie verlaat.
Aangezien bepaalde apparaten (bijvmartphones) alleen veilig kunnen worden gewist door ze te vernietigen of door de in deze apparaten ingebouwde functies te gebruiken (bijvfabrieksinstellingen herstellen'), behoort de organisatie de geschikte methode te kiezen op basis van de classificatie van de informatie die door dergelijke apparaten wordt verwerkt.
De in 7 beschreven beheersmaatregelen behoren te worden toegepast om het opslagapparaat fysiek te vernietigen en tegelijkertijd de informatie erop te wissen.
Een officiële registratie van het wissen van informatie is nuttig om de oorzaak van een mogelijk lek van informatie te analyseren.
**Overige informatie**
Informatie over het wissen van gebruikersgegevens in clouddiensten is te vinden in ISO/IEC 27017nformatie over het wissen van persoonsgegevens is te vinden in ISO/IEC 27555.

104
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.11_BT Maskeren van gegevens.md Normal file
View file

@ -0,0 +1,104 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+--------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+==========================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
+------------------------+----------------------+----------------------+--------------------------+---------------------+
**Beheersmaatregel**
Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
**Doel**
De openbaarmaking van gevoelige informatie met inbegrip van persoonsgegevens beperken en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voldoen.
**Richtlijn**
Indien de bescherming van gevoelige gegevens (bijversoonsgegevens) een punt van zorg is, behoort de organisatie te overwegen dergelijke gegevens te verbergen door gebruik te maken van technieken als het maskeren, pseudonimiseren of anonimiseren van gegevens.
Met pseudonimiserings- of anonimiseringstechnieken kunnen persoonsgegevens worden verborgen, de ware identiteit van de betrokkenen bij persoonsgegevens of andere gevoelige informatie worden verhuld, en het verband tussen persoonsgegevens en de identiteit van de betrokkene of het verband tussen andere gevoelige informatie worden verbroken.
Bij gebruik van pseudonimiserings- of anonimiseringstechnieken behoort te worden nagegaan of de gegevens afdoende zijn gepseudonimiseerd of geanonimiseerdm doeltreffend te zijn behoren bij het anonimiseren van gegevens alle elementen van de gevoelige informatie in aanmerking te worden genomen, anders kan bijvoorbeeld een persoon worden geïdentificeerd, zelfs als de gegevens
waarmee die persoon direct kan worden geïdentificeerd zijn geanonimiseerd, doordat er andere gegevens aanwezig zijn aan de hand waarvan de persoon indirect kan worden geïdentificeerd.
Aanvullende technieken voor het maskeren van gegevens zijn onder andere:
a) versleuteling (zodat bevoegde gebruikers alleen met een sleutel toegang hebben);
b) tekens weghalen of wissen (waarmee wordt voorkomen dat onbevoegde gebruikers volledige
berichten zien);
c) wisselen van getallen en data;
d) substitutie (een waarde door een andere vervangen om gevoelige gegevens te verbergen);
e) waarden door de desbetreffende hash vervangen.
Het volgende behoort te worden overwogen bij het implementeren van technieken voor het maskeren van gegevens:
a) niet alle gebruikers toegang tot alle gegevens geven, en daarom query\'s en maskers zo ontwerpen
dat alleen de minimaal vereiste gegevens zichtbaar zijn voor de gebruiker;
b) er zijn gevallen waarin bepaalde gegevens voor de gebruiker niet zichtbaar behoren te zijn voor sommige gegevenselementen in een verzameling gegevens; in dat geval een mechanisme ontwerpen en implementeren voor de versluiering van gegevens (bijvndien een patiënt niet wil
dat ziekenhuispersoneel, zelfs in geval van nood, alle gegevens over de patiënt kan zien; in dat geval krijgt het ziekenhuispersoneel gedeeltelijk versluierde gegevens te zien en hebben alleen personeelsleden met specifieke rollen toegang tot de gegevens als die nuttige informatie bevatten voor een passende behandeling);
c) wanneer gegevens versluierd zijn, de betrokkene de mogelijkheid geven te eisen dat gebruikers niet kunnen zien of die gegevens versluierd zijn (versluiering van de versluiering; dit wordt gebruikt in gezondheidsinstellingen, bijvoorbeeld als de patiënt niet wil dat het personeel ziet dat gevoelige informatie zoals zwangerschappen of resultaten van bloedonderzoeken is versluierd);
d) eventuele eisen van wet- en regelgeving (bijvereisen dat informatie van betaalkaarten tijdens de
verwerking of opslag wordt gemaskeerd).
Het volgende behoort te worden overwogen bij het maskeren, pseudonimiseren of anonimiseren van gegevens:
a) de mate van sterkte van gegevensmaskering, pseudonimisering of anonimisering gezien het
gebruik van de verwerkte gegevens;
b) beveiliging van de toegang tot de verwerkte gegevens;
c) afspraken of beperkingen met betrekking tot het gebruik van de verwerkte gegevens;
d) verbieden dat de verwerkte gegevens worden samengevoegd met andere informatie om de
betrokkene te identificeren;
e) de verstrekking en ontvangst van de verwerkte gegevens bijhouden.
**Overige informatie**
Door anonimisering worden persoonsgegevens dusdanig onomkeerbaar gewijzigd dat de betrokkene niet langer rechtstreeks of indirect kan worden geïdentificeerd.
Bij pseudonimisering wordt de identificerende informatie door een alias vervangenennis van het algoritme (soms 'aanvullende informatie' genoemd) dat wordt gebruikt om de pseudonimisering uit te voeren, maakt in ieder geval een bepaalde vorm van identificatie van de betrokkene mogelijkergelijke 'aanvullende informatie' behoort daarom apart te worden gehouden en te worden beschermd.
Hoewel pseudonimisering dus zwakker is dan anonimisering, kunnen gepseudonimiseerde gegevensverzamelingen nuttiger zijn voor statistisch onderzoek.
Het maskeren van gegevens is een verzameling technieken waarmee gevoelige gegevens worden verborgen, vervangen of versluierdet maskeren van gegevens kan statisch zijn (als gegevens in de oorspronkelijke database worden gemaskeerd), dynamisch (waarbij automatisering en regels worden
gebruikt om gegevens in real time te beveiligen) of 'on-the-fly' (waarbij gegevens in het geheugen van een toepassing worden gemaskeerd).
Hashfuncties kunnen worden gebruikt om persoonsgegevens te anonimiserenm enumeratie- aanvallen te voorkomen, behoren ze altijd te worden gecombineerd met een 'salt'-functie, waarbij willekeurige gegevens worden toegevoegd.
Persoonsgegevens in identificatiecodes van middelen en de bijbehorende attributen [bijvestandsnamen, uniform resource locators (URL's)] behoren te worden vermeden of op passende wijze te worden geanonimiseerd.
Aanvullende beheersmaatregelen met betrekking tot de bescherming van persoonsgegevens in publieke clouds worden gegeven in ISO/IEC 27018.
Aanvullende informatie over de-identificatietechnieken is te vinden in ISO/IEC 20889.

76
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md Normal file
View file

@ -0,0 +1,76 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+----------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+============================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming | #Bescherming |
| | | | | |
| #Detectief | | #Detecteren | | #Verdediging |
+------------------------+----------------------+----------------------+----------------------------+---------------------+
**Beheersmaatregel**
Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
**Doel**
Om de ongeoorloofde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen.
**Richtlijn**
De organisatie behoort het volgende te overwegen om het risico op gegevenslekken te beperken:
a) informatie identificeren en classificeren als bescherming tegen lekken (bijversoonsinformatie,
prijsbepalingsmodellen en productontwerpen);
b) kanalen waarlangs gegevens kunnen lekken, monitoren (bijv-mail, bestandsoverdracht, mobiele
apparaten en draagbare opslagapparatuur);
c) actie ondernemen om te voorkomen dat informatie weglekt (bijv-mails met gevoelige informatie
in quarantaine plaatsen).
Er behoren hulpmiddelen voor het voorkomen van gegevenslekken te worden gebruikt om:
a) te identificeren welke gevoelige informatie blootstaat aan het risico op ongeoorloofde openbaarmaking (bijvn niet-gestructureerde gegevens op het systeem van een gebruiker) en dit te monitoren;
b) de openbaarmaking van gevoelige informatie te detecteren (bijvanneer informatie wordt
geüpload naar niet-vertrouwde clouddiensten van derden of via e-mail wordt verzonden);
c) handelingen van gebruikers of netwerktransmissies waardoor gevoelige informatie bekend wordt,
te blokkeren (bijvoorkomen dat databasegegevens naar een spreadsheet worden gekopieerd).
De organisatie behoort vast te stellen of het nodig is de mogelijkheid te beperken dat gebruikers gegevens kopiëren en plakken en deze naar diensten, apparaten en opslagmedia buiten de organisatie uploadenn dat geval behoort de organisatie technologie te implementeren zoals instrumenten ter voorkoming van gegevenslekken of bestaande instrumenten dusdanig te configureren dat gebruikers gegevens op afstand kunnen bekijken en manipuleren, waarbij kopiëren en plakken waarop de organisatie geen controle heeft, wordt voorkomen.
Als het exporteren van gegevens vereist is, behoort de eigenaar van de gegevens in staat te zijn dit goed te keuren en gebruikers verantwoordelijk te stellen voor hun daden.
Voor het maken van schermafbeeldingen of foto\'s van het scherm behoren gebruiksvoorwaarden te worden opgesteld en hieraan behoort in trainingen en audits aandacht te worden besteed.
Indien er een back-up van gegevens wordt gemaakt, behoort ervoor te worden gezorgd dat gevoelige informatie wordt beschermd door maatregelen zoals encryptie, toegangsbeveiliging en fysieke bescherming van de opslagmedia waarop de back-up staat.
Het voorkomen van gegevenslekken behoort ook te worden beschouwd als een vorm van bescherming tegen de acties van tegenstanders om vertrouwelijke of geheime informatie (geopolitieke, menselijke, financiële, commerciële, wetenschappelijke of andere informatie) te verkrijgen die van belang kan zijn voor spionage of essentieel kan zijn voor de gemeenschape maatregelen ter voorkoming van het lekken van gegevens behoren erop gericht te zijn verwarring te zaaien wat betreft de beslissingen van de tegenstander, bijvoorbeeld door authentieke informatie te vervangen door valse informatie, hetzij als een eigen maatregel, hetzij als reactie op de acties van de tegenstander om informatie te verzamelenoorbeelden van dergelijke maatregelen zijn omgekeerde 'social engineering' of het gebruik van 'honeypots' om aanvallers te lokken.
**Overige informatie**
Hulpmiddelen om gegevenslekken te voorkomen, zijn ervoor ontworpen om gegevens te identificeren, het gebruik en de verplaatsing van gegevens te monitoren, en maatregelen te nemen om gegevenslekken te voorkomen (bijvebruikers waarschuwen voor hun risicogedrag en de overdracht van gegevens naar draagbare opslagapparatuur blokkeren).
Een inherent element van het voorkomen van gegevenslekken is toezicht op de communicatie en de online activiteiten van het personeel en, in het verlengde daarvan, op de berichten van externe partijen, hetgeen aanleiding kan geven tot juridische aspecten die behoren te worden overwogen voordat instrumenten om gegevenslekken te voorkomen worden ingezetllerlei wetgeving op het gebied van privacy, gegevensbescherming, werkgelegenheid, het onderscheppen van gegevens en telecommunicatie is van toepassing op monitoren en gegevensverwerking in het kader van het voorkomen van gegevenslekken.
Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5).

73
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md Normal file
View file

@ -0,0 +1,73 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+---------------------+----------------------+--------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+=====================+======================+====================+=====================+
| #Corrigerend | #Integriteit | #Herstellen | #Continuïteit | #Bescherming |
| | | | | |
| | #Beschikbaarheid | | | |
+------------------------+---------------------+----------------------+--------------------+---------------------+
**Beheersmaatregel**
Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.
**Doel**
Herstel mogelijk maken na verlies van gegevens of systemen.
**Richtlijn**
Er behoort een onderwerpspecifiek beleid inzake back-ups te worden opgesteld met het oog op de eisen van de organisatie wat betreft het bewaren van gegevens en informatiebeveiliging.
Er behoort te worden voorzien in afdoende back-upfaciliteiten om te waarborgen dat alle essentiële informatie en software na een incident of na falen of verlies van opslagmedia kan worden hersteld.
Er behoren plannen te worden ontwikkeld en geïmplementeerd voor hoe de organisatie back-ups gaat maken van informatie, software en systemen, met het oog op het onderwerpspecifieke beleid inzake back-ups.
Bij het opstellen van een back-upplan, behoren de volgende punten in overweging te worden genomen:
a) nauwkeurige en volledige registers van de back-upkopieën en gedocumenteerde herstelprocedures
produceren;
b) de bedrijfseisen van de organisatie (bijve RPO's, zie 5), de beveiligingseisen van de betrokken informatie en het belang van de informatie voor de voortzetting van de bedrijfsuitvoering van de organisatie behoren te worden weerspiegeld in de omvang (bijvolledige of gedifferentieerde back-up) en de frequentie van back-ups;
c) de back-ups in een veilige en beveiligde afgelegen locatie bewaren, op een voldoende afstand om
niet te worden beschadigd door een calamiteit op de hoofdlocatie;
d) aan back-upinformatie een passend niveau van fysieke en omgevingsbescherming geven (zie
hoofdstuk 7 en 8, consistent met de normen die op de hoofdlocatie worden toegepast;
e) back-upmedia regelmatig testen om te garanderen dat men er wanneer nodig voor gebruik in noodgevallen op kan vertrouwenp een testsysteem testen of de back-upgegevens kunnen worden hersteld en dit niet testen door de originele opslagmedia te overschrijven, aangezien het back-up- of herstelproces kan mislukken en onherstelbare schade aan of verlies van gegevens kan veroorzaken;
f) back-ups door middel van encryptie beschermen, naargelang de geïdentificeerde risico\'s (bijvn
situaties waar vertrouwelijkheid van belang is);
g) ervoor zorgen dat wordt gegarandeerd dat onopzettelijk gegevensverlies wordt opgespoord
voordat een back-up wordt gemaakt.
Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen.
Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie.
Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
**Overige informatie**
Zie voor verdere informatie over beveiligde opslag, met inbegrip van bewaarspecifieke overwegingen, ISO/IEC 27040.

70
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md Normal file
View file

@ -0,0 +1,70 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+---------------------+----------------------+------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+=====================+======================+================================================+=====================+
| #Preventief | #Beschikbaarheid | #Beschermen | #Continuïteit #Beheer_van_be- drijfsmiddelen | #Bescherming |
| | | | | |
| | | | | #Veerkracht |
+------------------------+---------------------+----------------------+------------------------------------------------+---------------------+
**Beheersmaatregel**
Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
**Doel**
De ononderbroken werking van informatieverwerkende faciliteiten waarborgen.
**Richtlijn**
De organisatie behoort eisen te identificeren voor de beschikbaarheid van zakelijke diensten en informatiesystemene organisatie behoort een systeemarchitectuur te ontwerpen en implementeren met passende redundantie om aan deze eisen te voldoen.
Redundantie kan worden geïntroduceerd door informatieverwerkende faciliteiten deels of geheel te dupliceren (dzeservecomponenten of twee van alles hebben)e organisatie behoort procedures te plannen en te implementeren voor het activeren van de redundante componenten en verwerkende faciliteitenn de procedures behoort te worden vastgesteld of de redundante componenten en verwerkende activiteiten altijd zijn geactiveerd of, in een noodgeval, automatisch of handmatig worden geactiveerde redundante componenten en informatieverwerkende faciliteiten behoren hetzelfde beveiligingsniveau te garanderen als hun primaire tegenhangers.
Er behoren mechanismen te zijn om de organisatie te waarschuwen voor een storing in de informatieverwerkende faciliteiten, zodat de geplande procedure kan worden uitgevoerd en de beschikbaarheid in stand blijft terwijl de informatieverwerkende faciliteiten worden gerepareerd of vervangen.
De organisatie behoort het volgende te overwegen bij het implementeren van redundante systemen:
a) overeenkomsten met twee of meer leveranciers van netwerkdiensten en diensten voor het
verwerken van essentiële informatie, zoals aanbieders van internetdiensten, aangaan;
b) gebruikmaken van redundante netwerken;
c) gebruikmaken van twee geografisch gescheiden datacentra met gespiegelde systemen;
d) gebruikmaken van fysiek redundante voedingen of stroombronnen;
e) gebruikmaken van meerdere parallelle instanties van softwarecomponenten, met automatische onderlinge 'loadbalancing' (tussen instanties in hetzelfde datacentrum of in verschillende datacentra);
f) beschikken over gedupliceerde componenten in systemen (bijvPU, vaste schijven, geheugens) of
in netwerken (bijvirewalls, routers, switches).
Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante informatiesystemen te worden getest om te waarborgen dat de automatische omschakeling van de ene op de andere component bij storing werkt zoals voorzien.
**Overige informatie**
Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen.
Redundantie in informatieverwerkende faciliteiten gaat meestal niet in op het niet-beschikbaar zijn van een toepassing als gevolg van fouten in de toepassing.
Met het gebruik van 'public cloud computing' is het mogelijk om meerdere liveversies van informatieverwerkende faciliteiten te hebben, die zich op meerdere afzonderlijke fysieke locaties bevinden met automatische omschakeling bij storingen en onderlinge loadbalancing.
Een aantal technologieën en technieken voor het voorzien in redundantie en automatische omschakeling bij storingen in de context van clouddiensten wordt besproken in ISO/IEC TS 23167.

161
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md Normal file
View file

@ -0,0 +1,161 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming |
| | | | | |
| | | | | #Verdediging |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.
**Doel**
Gebeurtenissen registreren, bewijs genereren, de integriteit van informatie in logbestanden waarborgen, onbevoegde toegang voorkomen, informatiebeveiligingsgebeurtenissen identificeren die tot een informatiebeveiligingsincident kunnen leiden en onderzoeken ondersteunen.
**Richtlijn**
<u>Algemeen</u>
De organisatie behoort het doel vast te stellen waarvoor logbestanden worden aangemaakt, welke gegevens worden verzameld en in het logbestand worden geregistreerd en welke logbestandspecifieke eisen er zijn voor het beschermen en behandelen van de gegevens in het logbestandit behoort te worden gedocumenteerd in onderwerpspecifiek registratiebeleid.
Logbestanden van gebeurtenissen behoren het volgende voor elke gebeurtenis te bevatten, al naargelang van toepassing is:
a) gebruikersidentificaties;
b) systeemactiviteiten;
c) data, tijdstippen en details van relevante gebeurtenissen (bijvn- en uitloggen);
d) de identiteit van apparaten, identificatie van systemen en hun locatie;
e) netwerkadressen en -protocollen.
Het behoort te worden overwogen de volgende gebeurtenissen in logbestanden vast te leggen:
a) geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem;
b) goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot bronnen
van informatie;
c) systeemconfiguratieveranderingen;
d) het gebruik van speciale bevoegdheden;
e) het gebruik van systeemhulpmiddelen en -toepassingen;
f) de bestanden waartoe toegang is gemaakt en de soort toeganget inbegrip van het wissen van
belangrijke gegevensbestanden;
g) alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
h) activering en deactivering van beveiligingssystemen, zoals antivirussystemen en
inbraakdetectiesystemen;
i) het aanmaken, wijzigen of wissen van identiteiten;
j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige gevallen zijn de
toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product.
Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
<u>Logbestanden beschermen</u>
Gebruikers, ook die met speciale toegangsrechten, behoren geen toestemming te hebben om logbestanden van hun eigen activiteiten te verwijderen of te deactiverenij kunnen mogelijk de logbestanden over informatieverwerkende faciliteiten waarover zij het directe bestuur hebben, manipulerenaarom is het nodig de logbestanden te beschermen en te beoordelen om de verantwoordelijkheid voor de gebruikers met speciale rechten in stand te houden.
Beheersmaatregelen behoren gericht te zijn op het beschermen van informatie in logbestanden tegen onbevoegde veranderingen en tegen operationele problemen met de logvoorziening, met inbegrip van:
a) veranderingen aan de soorten berichten die worden vastgelegd;
b) bewerken of verwijderen van logbestanden;
c) het niet-registreren van gebeurtenissen of het overschrijven van eerder geregistreerde
gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt overschreden.
Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand.
Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5).
Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5).
<u>Analyse van logbestanden</u>
De analyse van logbestanden behoort te bestaan uit het analyseren en interpreteren van informatiebeveiligingsgebeurtenissen om ongebruikelijke activiteiten of afwijkend gedrag, hetgeen mogelijke indicatoren van compromittering zijn, te helpen identificeren.
Bij het analyseren van gebeurtenissen behoort rekening te worden gehouden met:
a) de noodzakelijke vaardigheden van de deskundigen die de analyse uitvoeren;
b) het vaststellen van de procedure voor het analyseren van logbestanden;
c) de vereiste attributen van elke beveiligingsgerelateerde gebeurtenis;
d) uitzonderingen die zijn geïdentificeerd door het gebruik van vooraf vastgestelde regels (bijvIEM-
of firewallregels, en IDS- of malwarehandtekeningen);
e) bekende gedragspatronen en standaardnetwerkverkeer in vergelijking met afwijkend(e)
activiteiten en gedrag (analyse van het gedrag van gebruikers en entiteiten - UEBA);
f) resultaten van de analyse van trends of patronen (bijvls gevolg van het gebruik van
gegevensanalyse, bigdatatechnieken en gespecialiseerde analyse-instrumenten);
g) beschikbare informatie en analyses over dreigingen.
De analyse van logbestanden behoort te worden ondersteund door specifieke monitoringactiviteiten om afwijkend gedrag te helpen identificeren en analyseren, waaronder:
a) het beoordelen van geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen
(bijvNS-servers, webportals en bestandsshares);
b) het controleren van DNS-logbestanden om uitgaande netwerkverbindingen met kwaadaardige servers te identificeren, zoals verbindingen die in verband worden gebracht met 'command-and- controlservers van botnets;
c) het onderzoeken van gebruiksverslagen van dienstverleners (bijvacturen of verslagen van de geleverde diensten) op ongebruikelijke activiteit binnen systemen en netwerken (bijvoorbeeld door activiteitenpatronen te beoordelen);
d) het opnemen van gebeurtenislogbestanden van fysieke monitoring, zoals in- en uitgang, met het
oog op een nauwkeurigere detectie en analyse van incidenten;
e) het correleren van logbestanden om doelmatige en zeer nauwkeurige analyse mogelijk te maken.
Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden geïdentificeerd (bijvesmetting met malware of het uitpeilen van firewalls) en nader te worden onderzocht (bijvn het kader van een proces voor het beheer van informatiebeveiligingsincidenten, zie 5).
**Overige informatie**
Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen.
Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases.
Er worden openbaar transparante bestanden gebruikt voor het registreren van logbestanden, bijvoorbeeld in systemen voor de transparantie van certificatenergelijke bestanden kunnen een extra detectiemechanisme bieden dat nuttig is ter bescherming tegen manipulatie van logbestanden.
In cloudomgevingen kunnen de afnemer en de leverancier van de clouddienst de verantwoordelijkheden voor het beheer van logbestanden met elkaar delene verantwoordelijkheden variëren afhankelijk van de soort clouddienst die wordt gebruikterdere richtlijnen zijn te vinden in ISO/IEC 27017.

123
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md Normal file
View file

@ -0,0 +1,123 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+========================================================+=====================+
| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
| | | | | |
| #Corrigerend | | #Reageren | | |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden genomen om potentiële informatiebeveiligingsincidenten te evalueren.
**Doel**
Afwijkend gedrag en potentiële informatiebeveiligingsincidenten detecteren.
**Richtlijn**
De reikwijdte en het niveau van de monitoring behoren te worden bepaald overeenkomstig de bedrijfs- en informatiebeveiligingseisen en met inachtneming van de relevante wet- en regelgevingr behoren registraties van de monitoring te worden bijgehouden gedurende gedefinieerde bewaartermijnen.
Het behoort te worden overwogen het volgende in het monitoringsysteem op te nemen:
a) uitgaand en inkomend netwerk-, systeem- en toepassingsverkeer;
b) toegang tot systemen, servers, netwerkapparatuur, monitoringsysteem, essentiële toepassingen
enz.;
c) systeem- en netwerkconfiguratiebestanden op essentieel of beheerdersniveau;
d) logbestanden van beveiligingsinstrumenten [bijvntivirus, IDS, inbraakpreventiesysteem (IPS),
webfilters, firewalls, voorkoming van gegevenslekken];
e) logbestanden van gebeurtenissen met betrekking tot systeem- en netwerkactiviteit;
f) controle of de code die wordt uitgevoerd, in het systeem mag worden uitgevoerd en of deze niet is
gemanipuleerd (bijvoor hercompileren om extra ongewenste code toe te voegen);
g) gebruik van de middelen (bijvoorbeeld CPU, vaste schijven, geheugen, bandbreedte) en de
prestaties daarvan.
De organisatie behoort een nullijn voor normaal gedrag vast te stellen en aan de hand van deze nullijn op afwijkingen te monitorenij het vaststellen van de nullijn behoort het volgende te worden overwogen:
a) het gebruik van de systemen in normale en piekperiodes beoordelen;
b) het gebruikelijke tijdstip van toegang, de gebruikelijke plaats van toegang en de gebruikelijke
frequentie van toegang voor elke gebruiker of gebruikersgroep.
Het monitoringsysteem behoort te worden geconfigureerd aan de hand van de vastgestelde nullijn om afwijkend gedrag te identificeren, zoals:
a) ongeplande beëindiging van processen of toepassingen;
b) activiteiten die meestal verband houden met malware of verkeer dat afkomstig is van bekende kwaadaardige IP-adressen of netwerkdomeinen (bijvie verband houden met command-and- controlservers van botnets);
c) bekende aanvalskenmerken (bijvdenial of service' en bufferoverflows);
d) ongebruikelijk systeemgedrag (bijvet registreren van toetsaanslagen, procesinjectie en
afwijkingen in het gebruik van standaardprotocollen);
e) knelpunten en overbelasting (bijvetwerkwachtrijen, latentieniveaus en netwerkjitter);
f) (daadwerkelijke of pogingen tot) toegang door onbevoegden tot systemen of informatie;
g) het ongeoorloofd scannen van bedrijfstoepassingen, -systemen en -netwerken;
h) geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen (bijvNS-servers,
webportals en bestandssystemen);
i) ongebruikelijk gebruikers- en systeemgedrag in vergelijking met het verwachte gedrag.
Er behoort gebruik te worden gemaakt van continue monitoring via een monitoringinstrumentonitoring behoort realtime of met regelmatige tussenpozen te gebeuren, afhankelijk van de behoefte en mogelijkheden van de organisatieonitoringinstrumenten behoren geschikt te zijn voor grote hoeveelheden gegevens, zich aan te passen aan een voortdurend veranderend landschap van dreigingen en realtimemeldingen mogelijk te makene instrumenten behoren ook specifieke handtekeningen en gegevens of netwerk- of toepassingsgedragspatronen te kunnen herkennen.
Geautomatiseerde monitoringsoftware behoort dusdanig te worden geconfigureerd dat deze meldingen geeft (bijvia beheerconsoles, e-mails of instantmessagingsystemen) op basis van vooraf gedefinieerde drempelset waarschuwingssysteem behoort op basis van de nullijn van de organisatie te worden afgestemd en getraind om valspositieven tot een minimum te beperken.
Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar behoren getraind te
zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.
Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
**Overige informatie**
Beveiligingsmonitoring kan worden verbeterd door:
a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5;
b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie;
c) blokkeringslijsten of toestemmingslijsten te gebruiken;
d) allerlei technische beveiligingsbeoordelingen (bijveoordelen op kwetsbaarheden, penetratietests, simulaties van cyberaanvallen en cyberresponsoefeningen) uit te voeren, en de resultaten van deze beoordelingen te gebruiken om de nullijnen of aanvaardbaar gedrag te helpen vaststellen;
e) gebruik te maken van systemen voor het monitoren van prestaties om afwijkend gedrag te helpen
vaststellen en detecteren;
f) gebruik te maken van logbestanden in combinatie met monitoringsystemen.
Monitoringactiviteiten worden vaak uitgevoerd met behulp van gespecialiseerde software, zoals inbraakdetectiesystemeneze kunnen worden geconfigureerd aan de hand van een nullijn van normale, aanvaardbare en verwachte systeem- en netwerkactiviteiten.
Op afwijkende communicatie monitoren helpt bij het identificeren van botnets (dzen verzameling apparaten onder de kwaadwillige controle van de botneteigenaar, die meestal wordt gebruikt voor het uitvoeren van gedistribueerde denial-of-serviceaanvallen op andere computers van andere organisaties)ndien de computer door een extern apparaat wordt bestuurd, is er communicatie
tussen het besmette en het besturende apparaate organisatie behoort daarom technologieën in te zetten om afwijkende communicatie te monitoren en zo nodig maatregelen te nemen.

40
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.17_BT Kloksynchronisatie.md Normal file
View file

@ -0,0 +1,40 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+=====================+======================+========================================================+=====================+
| #Detectief | #Integriteit | #Beschermen | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming |
| | | | | |
| | | #Detecteren | | #Verdediging |
+------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+
**Beheersmaatregel**
De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen.
**Doel**
De correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk maken en onderzoeken bij informatiebeveiligingsincidenten ondersteunen.
**Richtlijn**
Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd behoren te worden gedocumenteerd en geïmplementeerdulke eisen kunnen voortvloeien uit wet-
en regelgeving, statuten, overeenkomsten, normen en uit interne monitoringbehoeftenr behoort een standaardreferentietijd voor gebruik binnen de organisatie te worden gedefinieerd en in aanmerking te worden genomen voor alle systemen, met inbegrip van gebouwbeheersystemen, in- en uitgangssystemen en andere systemen die ter ondersteuning van onderzoeken kunnen worden gebruikt.
Een aan een nationale atoomklok die radiogolven uitzendt of aan gps (wereldwijd positioneringssysteem) gekoppelde klok behoort te worden gebruikt als referentieklok voor logsystemen; een consistente, vertrouwde bron voor de datum en tijd om nauwkeurige tijdstempels te garanderenrotocollen zoals netwerktijdprotocol (NTP) of 'precision time protocol' (PTP) behoren te worden gebruikt om klokken in een computernetwerk gesynchroniseerd te houden met een referentieklok.
De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaarheid van externe klokken te verbeteren en naar behoren om te gaan met eventuele afwijkingen.
Klokken kunnen lastig te synchroniseren zijn wanneer meerdere clouddiensten worden gebruikt of wanneer zowel cloud- als op locatie gehoste diensten worden gebruiktn dat geval behoort de klok van elke dienst te worden gecontroleerd en het verschil te worden geregistreerd om risico\'s als gevolg van verschillen te verkleinen.
**Overige informatie**
De correcte instelling van computerklokken is belangrijk om de nauwkeurigheid van logbestanden van gebeurtenissen te waarborgenit kan nodig zijn voor onderzoeken of als bewijs in juridische en disciplinaire zakennnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van het bewijs schaden.

56
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md Normal file
View file

@ -0,0 +1,56 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.
**Doel**
Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aan systeem- en toepassingsbeheersmaatregelen voor informatiebeveiliging.
**Richtlijn**
Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen:
a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde
gebruikers dat praktisch haalbaar is (zie 8;
b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen,
met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
c) het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;
d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen;
e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot
toepassingen op systemen waarbij segmentatie van functies vereist is;
f) het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;
g) ten minste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftwarendien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden;
h) beperking van de beschikbaarheid van systeemhulpmiddelen (bijvoor de duur van een
geautoriseerde wijziging);
i) registreren van alle gebruik van systeemhulpmiddelen.
**Overige informatie**
De meeste informatiesystemen hebben een of meer systeemhulpmiddelen die systeem- en toepassingsbeheersmaatregelen kunnen omzeilen, bijvoorbeeld diagnose-, patching-, antivirus-, schijfdefragmentatie-, probleemdetectie- en probleemoplossings-, back-up- en netwerkhulpmiddelen.

67
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md Normal file
View file

@ -0,0 +1,67 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+===================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
**Beheersmaatregel**
Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren.
**Doel**
De integriteit van operationele systemen garanderen en voorkomen dat misbruik wordt gemaakt van technische kwetsbaarheden.
**Richtlijn**
De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen en de installatie van software op operationele systemen op beveiligde wijze te beheren:
a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met
passende beheerdersrechten (zie 8;
b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op
operationele systemen wordt geïnstalleerd;
c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8);
d) alle bijbehorende programmabronbibliotheken updaten;
e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie
te beheersen;
f) een roll-backstrategie definiëren alvorens wijzigingen te implementeren;
g) een auditlogbestand bijhouden van alle updates van operationele software;
h) oude versies van software, samen met alle vereiste informatie en parameters, procedures, configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang de software nodig is om gearchiveerde gegevens te lezen of te verwerken.
Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen)oftwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8en 8).
Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijvoftwareprogramma\'s met modules die op externe locaties worden gehost)eze behoren te worden
gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden.
Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5).
De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren.
Het beginsel van het 'least privilege' (minste voorrechten) behoort te worden toegepast op de installatie van software op operationele systemene organisatie behoort vast te leggen welke soorten software mogen worden geïnstalleerd (bijvpdates en beveiligingspatches voor bestaande software) en welke verboden zijn (bijvoftware uitsluitend voor persoonlijk gebruik en software waarvan de herkomst met betrekking tot de potentiële kwaadaardigheid onbekend of verdacht is)eze voorrechten behoren te worden verleend op basis van de rollen van de betrokken gebruikers.
**Overige informatie** Geen overige informatie.

133
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md Normal file
View file

@ -0,0 +1,133 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=========================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescherming | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
**Beheersmaatregel**
Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via 'user endpoint devices' behoort te worden beschermd.
**Doel**
Informatie beschermen tegen de risico\'s als gevolg van het gebruik van 'user endpoint devices'.
**Richtlijn**
<u>Algemeen</u>
De organisatie behoort onderwerpspecifiek beleid vast te stellen inzake beveiligde configuratie en beveiligd gebruik van 'user endpoint devices'. Het onderwerpspecifieke beleid behoort aan al het relevante personeel te worden gecommuniceerd en het volgende in aanmerking te nemen:
a) het soort informatie en het classificatieniveau waarmee de 'user endpoint devices' kunnen omgaan
of dat ze kunnen verwerken, opslaan of ondersteunen;
b) registratie van 'user endpoint devices';
c) eisen voor fysieke bescherming;
d) beperking van de installatie van software (bijvp afstand beheerst door systeembeheerders);
e) eisen voor software (met inbegrip van softwareversies) van de 'user endpoint devices' en voor het
toepassen van updates (bijvctief automatisch updaten);
f) regels voor de verbinding met informatiediensten, publieke netwerken of andere netwerken buiten
het gebouw of terrein (bijvet gebruik van een persoonlijke firewall vereisen);
g) toegangsbeveiliging;
h) versleuteling van opslagapparaten;
i) bescherming tegen malware;
j) het op afstand onbruikbaar maken, wissen, uitsluiten;
k) back-ups;
l) het gebruik van internetdiensten en -toepassingen;
m)analyse van het gedrag van de eindgebruiker (zie 8);
n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en
de mogelijkheid om fysieke poorten (bijvSB-poorten) uit te schakelen;
o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'user endpoint devices', waarmee de informatie en andere gerelateerde bedrijfsmiddelen (bijvoftware) van de organisatie veilig kunnen worden gesegmenteerd van andere informatie en andere gerelateerde bedrijfsmiddelen op het apparaat.
Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld.
De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten.
<u>Gebruikersverantwoordelijkheid</u>
Alle gebruikers behoren op de hoogte te worden gebracht van de beveiligingseisen en de procedures voor het beschermen van 'user endpoint devices' en van hun verantwoordelijkheden voor het implementeren van dergelijke beschermingsmaatregelenebruikers behoren het advies te krijgen:
a) uit te loggen uit actieve sessies en diensten afsluiten die niet langer nodig zijn;
b) 'user endpoint devices' terwijl deze niet in gebruik zijn met een fysieke beheersmaatregel (bijven sleutelslot of speciale sloten) en logische beheersmaatregel (bijvoegang met wachtwoorden) te beschermen tegen gebruik door onbevoegden; geen apparaten met belangrijke, gevoelige of essentiële bedrijfsinformatie onbewaakt achter te laten;
c) apparaten extra zorgvuldig te gebruiken in openbare ruimten, open kantoren, vergaderruimten en andere onbeschermde gebieden (bijvij voorkeur geen vertrouwelijke informatie lezen als mensen van achteren kunnen meelezen, schermfilters gebruiken met het oog op privacy);
d) 'user endpoint devices' fysiek te beveiligen tegen diefstal (bijvn een auto of andere
vervoermiddelen, in hotelkamers, conferentie- en ontmoetingscentra).
Er behoort een speciale procedure te worden vastgesteld voor diefstal of verlies van 'user endpoint devices' waarin rekening is gehouden met wettelijke, statutaire, regelgevende, contractuele (met inbegrip van verzekerings-) en andere veiligheidseisen die in de organisatie gelden.
<u>Het gebruik van persoonlijke apparaten</u>
Indien de organisatie het gebruik van persoonlijke apparaten toestaat (dit wordt soms aangeduid als BYOD), behoort, in aanvulling op de richtlijnen die in deze beheersmaatregel worden gegeven, ook het volgende te worden overwogen:
a) scheiding van persoonlijk en zakelijk gebruik van de apparatuur, met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat;
b) verschaffen van toegang tot bedrijfsinformatie alleen nadat gebruikers hun verplichtingen hebben bevestigd (fysieke beveiliging, updaten van software enz afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of
verlies van het apparaat of indien zij niet langer bevoegd zijnn dergelijke gevallen behoort rekening te worden gehouden met wetgeving inzake de bescherming van persoonsgegevens;
c) onderwerpspecifieke beleidsregels en procedures ter voorkoming van geschillen over rechten van
intellectuele eigendom die is ontwikkeld op privéapparatuur;
d) toegang tot privéapparatuur (om de veiligheid van het apparaat vast te stellen of tijdens een
onderzoek), wat wetgeving kan verhinderen;
e) softwarelicentiecontracten waardoor de organisatie aansprakelijk kan worden gesteld voor de licenties van clientsoftware op 'user endpoint devices' die privébezit zijn van personeel of van externe gebruikers.
<u>Draadloze verbindingen</u>
De organisatie behoort procedures vast te stellen voor:
a) het configureren van draadloze verbindingen op apparaten (bijvwetsbare protocollen
uitschakelen);
b) het gebruik van draadloze of bedrade verbindingen met passende bandbreedte overeenkomstig
relevante onderwerpspecifieke beleidsregels (bijvmdat back-ups of software-updates nodig zijn).
**Overige informatie**
Beheersmaatregelen voor het beschermen van informatie op 'user endpoint devices' zijn afhankelijk van of het 'endpoint device' van de gebruiker alleen binnen het beveiligde gebouw en terrein en de beveiligde netwerkverbindingen van de organisatie wordt gebruikt of dat het wordt blootgesteld aan meer fysieke en netwerkgerelateerde dreigingen buiten de organisatie.
De draadloze verbindingen van 'user endpoint devices' zijn gelijksoortig aan andere vormen van netwerkverbindingen, maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelenr kan met name soms iets fout gaan bij het maken van back-ups van informatie die op 'user endpoint devices' is opgeslagen indien de bandbreedte van het netwerk beperkt is of 'user endpoint devices' niet zijn aangesloten op de tijden waarop de back-ups zijn gepland.
Voor bepaalde USB-poorten, zoals USB-C, is het niet mogelijk de USB-poort uit te schakelen, omdat deze voor andere doelen (bijvoeding of als uitgang voor een weergavescherm) in gebruik is.

82
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md Normal file
View file

@ -0,0 +1,82 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=======================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging | #Bescherming |
| | | | | |
| #Detectief | | #Detecteren | | |
+------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+
**Beheersmaatregel**
Netwerken en netwerkapparaten behoren te worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
**Doel**
Informatie in netwerken en de ondersteunende informatieverwerkingsfaciliteiten beschermen tegen compromittering via het netwerk.
**Richtlijn**
Er behoren beheersmaatregelen te worden geïmplementeerd om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermenn het bijzonder behoort met de volgende aspecten rekening te worden gehouden:
a) het soort informatie dat het netwerk kan ondersteunen en het classificatieniveau ervan;
b) verantwoordelijkheden en procedures voor het beheer van netwerkapparatuur en apparaten
vaststellen;
c) actuele documentatie onderhouden, waaronder netwerkschema\'s en configuratiebestanden van
apparatuur (bijvouters, switches);
d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten
met de ICT-systemen, al naargelang de situatie (zie 5;
e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8);
g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
h) systemen op het netwerk authenticeren;
i) de verbinding van systemen met het netwerk beperken en filteren (bijvoor gebruik te maken van
firewalls);
j) de verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en
authenticeren;
k) hardening van netwerkapparatuur;
l) netwerkbeheerkanalen van ander netwerkverkeer scheiden;
m)kritieke subnetwerken tijdelijk isoleren (bijvet 'drawbridges' (ophaalbruggen)) als het netwerk
wordt aangevallen;
n) kwetsbare netwerkprotocollen uitschakelen.
De organisatie behoort te garanderen dat passende beveiligingsbeheersmaatregelen worden toegepast op het gebruik van gevirtualiseerde netwerkennder gevirtualiseerde netwerken vallen ook softwaregedefinieerde netwerken (SDN, SD-WAN)anuit beveiligingsoogpunt kunnen
gevirtualiseerde netwerken wenselijk zijn, omdat ze een logische segmentatie mogelijk maken van de communicatie die over fysieke netwerken plaatsvindt, met name voor systemen en toepassingen die met behulp van 'distributed computing' (gedistribueerd rekenen) worden geïmplementeerd.
**Overige informatie**
Aanvullende informatie over netwerkbeveiliging is te vinden in de ISO/IEC 27033-reekseer informatie over gevirtualiseerde netwerken is te vinden in ISO/IEC TS 23167.

75
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten.md Normal file
View file

@ -0,0 +1,75 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+======================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
**Beheersmaatregel**
Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord.
**Doel**
De beveiliging bij het gebruik van netwerkdiensten waarborgen.
**Richtlijn**
De beveiligingsmaatregelen die nodig zijn voor bepaalde diensten, zoals beveiligingskenmerken, dienstverleningsniveaus en -eisen, behoren te worden vastgesteld en geïmplementeerd (door interne of externe aanbieders van netwerkdiensten)e organisatie behoort ervoor te zorgen dat aanbieders van netwerkdiensten deze maatregelen implementeren.
De kundigheid van de aanbieder van de netwerkdienst om de overeengekomen diensten veilig te beheren, behoort te worden vastgesteld en regelmatig te worden gemonitordet recht om een audit uit te voeren behoort te worden overeengekomen tussen de organisatie en de aanbiedere organisatie behoort ook door dienstverleners verstrekte attesten van derden in aanmerking te nemen om aan te tonen dat zij passende beveiligingsmaatregelen handhaven.
Er behoren regels over het gebruik van netwerken en netwerkdiensten te worden opgesteld en geïmplementeerdeze behoren het volgende af te dekken:
a) de netwerken en netwerkdiensten waartoe toegang wordt verleend;
b) eisen voor authenticatie voor de toegang tot de verschillende netwerkdiensten;
c) autorisatieprocedures om vast te stellen wie toegang krijgt tot welk netwerk en welke
netwerkdiensten;
d) netwerkbeheer- en technologische beheersmaatregelen en -procedures om de toegang tot
netwerkverbindingen en -diensten te beschermen;
e) de middelen die worden gebruikt om toegang te krijgen tot netwerken en netwerkdiensten [bijv.
het gebruik van een virtueel privénetwerk (VPN) of draadloos netwerk];
f) tijdstip, locatie en andere attributen van de gebruiker op het tijdstip van de toegang;
g) monitoren van het gebruik van netwerkdiensten.
De volgende beveiligingskenmerken van netwerkdiensten behoren in overweging te worden genomen:
a) technologie die wordt toegepast voor de beveiliging van netwerkdiensten, zoals authenticatie,
codering en beheersmaatregelen voor netwerkverbinding;
b) technische parameters die nodig zijn voor een veilige verbinding met de netwerkdiensten, in
overeenstemming met de regels voor beveiliging en netwerkverbinding;
c) 'caching' (bijvn een 'content delivery network') en de parameters daarvan die gebruikers in staat stellen het gebruik van 'caching' te kiezen overeenkomstig de prestatie-, beschikbaarheids- en vertrouwelijkheidseisen;
d) procedures voor het gebruik van netwerkdiensten ter beperking van toegang tot netwerkdiensten
of, voor zover noodzakelijk, -toepassingen.
**Overige informatie**
Tot netwerkdiensten behoren het leveren van aansluitingen, particuliere netwerkdiensten en beheerde netwerkbeveiligingsoplossingen zoals firewalls en inbraakdetectiesystemeneze diensten kunnen variëren van eenvoudige onbeheerde bandbreedte tot en met complexe aanbiedingen met toegevoegde waarde.
Verdere richtlijnen over een kader voor toegangsbeheer worden gegeven in ISO/IEC 29146.

37
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md Normal file
View file

@ -0,0 +1,37 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+======================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
**Beheersmaatregel**
Groepen informatiediensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd.
**Doel**
Het netwerk opsplitsen met beveiligingsgrenzen en het verkeer ertussen op basis van de bedrijfsbehoeften beheersen.
**Richtlijn**
De organisatie behoort te overwegen de beveiliging van grote netwerken te beheren door ze te verdelen in gesegmenteerde netwerkdomeinen en ze van het openbare netwerk (dznternet) te segmenterene domeinen kunnen worden gekozen op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijvpenbaar toegankelijk domein, bureaubladdomein, serverdomein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijversoneelszaken, financiën, marketing) of een combinatie ervan (bijververdomein verbonden met meerdere afdelingen van de organisatie)e segmentering kan tot stand worden gebracht door hetzij fysiek verschillende netwerken, hetzij verschillende logische netwerken te gebruiken.
De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
**Overige informatie**
Netwerken strekken zich vaak uit tot buiten de muren van de organisatie omdat bedrijfsmatige partnerschappen worden gevormd waarvoor onderlinge verbinding of het delen van informatieverwerkende en netwerkfaciliteiten vereist isoor dergelijke uitbreidingen kan het risico op onbevoegde toegang tot de informatiesystemen van de organisatie die gebruikmaken van het netwerk toenemen, waarbij sommige gevoelige en essentiële informatiesystemen bescherming tegen andere netwerkgebruikers nodig hebben.

55
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md Normal file
View file

@ -0,0 +1,55 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+======================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
**Beheersmaatregel**
De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
**Doel**
Systemen beschermen om te voorkomen dat ze door malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen te voorkomen.
**Richtlijn**
De organisatie behoort de risico\'s te beperken dat haar personeel toegang krijgt tot websites die illegale informatie bevatten of waarvan bekend is dat ze virussen of phishingmateriaal bevattenen techniek om dit te bereiken is het IP-adres of het domein van de desbetreffende website(s) te
blokkerenepaalde browsers en antimalwaretechnologieën doen dit automatisch of kunnen hiervoor worden geconfigureerd.
De organisatie behoort te identificeren tot welke soorten websites haar personeel wel of niet toegang behoort te hebbene organisatie behoort te overwegen de toegang tot de volgende soorten websites te blokkeren:
a) websites met een functie voor het uploaden van informatie, tenzij dit om geldige zakelijke redenen
is toegestaan;
b) websites waarvan bekend is of die ervan verdacht worden kwaadaardig te zijn (bijvoorbeeld
websites die malware of phishinginhoud verspreiden);
c) command-and-controlservers;
d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5;
e) websites die illegale inhoud delen.
Alvorens deze beheersmaatregel in te zetten, behoort de organisatie regels op te stellen voor veilig en gepast gebruik van online bronnen, met inbegrip van een eventuele beperking van ongewenste of ongepaste websites en internetgebaseerde toepassingene regels behoren actueel te worden gehouden.
Het personeel behoort training te krijgen over het beveiligde en passende gebruik van online middelen, met inbegrip van toegang tot internete training behoort onder andere in te gaan op de regels van de organisatie, het contactpunt voor het melden van veiligheidskwesties en de uitzonderingsprocedure wanneer toegang tot online middelen waarvoor beperkingen gelden om legitieme zakelijke redenen nodig isr behoort ook training aan het personeel te worden gegeven om te garanderen dat ze browsermeldingen die aangeven dat een website niet veilig is, maar waarbij de gebruiker wel kan doorgaan, niet in de wind slaan.
**Overige informatie**
Allerlei technieken kunnen worden gebruikt om webfilters toe te passen, zoals onder andere handtekeningen, heuristiek, een lijst van aanvaardbare websites of domeinen, een lijst van verboden websites of domeinen en configuratie op maat om te helpen voorkomen dat kwaadaardige software en andere kwaadaardige activiteiten het netwerk en de systemen van de organisatie aanvallen.

125
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md
View file

@ -2,3 +2,128 @@
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
**Beheersmaatregel**
Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.
**Doel**
Correct en doeltreffend gebruik bewerkstelligen van cryptografie om de vertrouwelijkheid, authenticiteit of integriteit van informatie overeenkomstig de bedrijfs- en informatiebeveiligingseisen te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie.
**Richtlijn**
<u>Algemeen</u>
Het volgende behoort te worden overwogen bij het gebruik van cryptografie:
a) het door de organisatie gedefinieerde onderwerpspecifieke beleid inzake cryptografie, met inbegrip van de algemene principes voor de bescherming van informatieen onderwerpspecifiek beleid voor het gebruik van cryptografie is nodig om de voordelen van het gebruik van cryptografische technieken zo groot mogelijk en de risico's zo klein mogelijk te maken en om ongepast en onjuist gebruik te voorkomen;
b) het vereiste beschermingsniveau en de classificatie van de informatie identificeren en vervolgens
het vereiste type cryptografische algoritmen en de vereiste sterkte en kwaliteit ervan vaststellen;
c) het gebruik van cryptografie voor het beschermen van informatie op mobiele 'endpoint devices' van gebruikers of opslagmedia en van informatie die via netwerken naar dergelijke apparaten of opslagmedia wordt verzonden;
d) de aanpak van sleutelbeheer, waaronder methoden voor het genereren en beschermen van cryptografische sleutels en het herstel van versleutelde informatie in geval sleutels verloren gaan of gecompromitteerd of beschadigd raken;
e) rollen en verantwoordelijkheden voor:
1) het implementeren van de regels voor doeltreffend gebruik van cryptografie;
2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8);
f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische
oplossingen en gebruikspraktijken die zijn goedgekeurd of vereist voor gebruik in de organisatie;
g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen die zijn gebaseerd
op controle van de inhoud (bijvetectie van malware of het filteren van inhoud).
Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5).
De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5).
<u>Sleutelbeheer</u>
Passend sleutelbeheer vereist nauwkeurige procedures voor het aanmaken, bewaren, archiveren, terugvinden, distribueren, terugtrekken en vernietigen van cryptografische sleutels.
Een sleutelbeheersysteem behoort te zijn gebaseerd op een overeengekomen pakket van normen, procedures en beveiligingsmethoden voor:
a) het aanmaken van sleutels voor verschillende cryptografische systemen en verschillende
toepassingen;
b) het verstrekken en verkrijgen van openbare sleutelcertificaten;
c) het verspreiden van sleutels onder de beoogde entiteiten en een instructie hoe de sleutels na
ontvangst kunnen worden geactiveerd;
d) het opslaan van sleutels en de wijze waarop bevoegde gebruikers toegang tot sleutels krijgen;
e) het wijzigen of updaten van sleutels, met inbegrip van regels over wanneer en hoe sleutels behoren
te worden gewijzigd;
f) het omgaan met gecompromitteerde sleutels;
g) het intrekken van sleutels, met inbegrip van hoe men sleutels kan terugtrekken of deactiveren [bijvls sleutels zijn gecompromitteerd of als een gebruiker de organisatie verlaat (in welk geval sleutels ook behoren te worden gearchiveerd)];
h) het herstellen van sleutels die verloren of gecorrumpeerd zijn;
i) het back-uppen of archiveren van sleutels;
j) het vernietigen van sleutels;
k) het registreren en auditen van aan sleutelbeheer gerelateerde activiteiten;
l) het instellen van activerings- en deactiveringstijdstippen voor sleutels zodat de sleutels alleen kunnen worden gebruikt voor de tijdsduur overeenkomstig de regels voor sleutelbeheer van de organisatie;
m)het omgaan met rechtsverzoeken om toegang tot cryptografische sleutels (er kan bijvoorbeeld worden geëist dat versleutelde informatie in onversleutelde vorm beschikbaar wordt gesteld als bewijs in een rechtszaak).
Alle cryptografische sleutels behoren te worden beschermd tegen aanpassing en verliesovendien hebben geheime en particuliere sleutels bescherming nodig tegen onbevoegd gebruik en tegen openbaarmakingpparatuur die wordt gebruikt om sleutels aan te maken, op te slaan en te archiveren, behoort fysiek te worden beschermd.
Naast integriteit behoort voor veel usecases aandacht te worden besteed aan de authenticiteit van openbare sleutels.
**Overige informatie**
Voor de authenticiteit van openbare sleutels worden er meestal processen voor het beheer van openbare sleutels toegepast die gebruikmaken van certificaatinstanties en openbare- sleutelcertificaten, maar het is ook mogelijk om hiervoor gebruik te maken van technologieën zoals het toepassen van handmatige processen voor een klein aantal sleutels.
Cryptografie kan worden gebruikt voor verschillende informatiebeveiligingsdoelstellingen, bijvoorbeeld:
a) vertrouwelijkheid: codering van informatie gebruiken om gevoelige of essentiële informatie, tijdens
opslag of verzending, te beschermen;
b) integriteit of authenticiteit: digitale handtekeningen of authenticatiecodes voor berichten gebruiken om de authenticiteit of integriteit van gevoelige of essentiële informatie tijdens opslag of verzending te verifiërenebruikmaken van algoritmen om de integriteit van bestanden te controleren;
c) onweerlegbaarheid: cryptografische technieken gebruiken om bewijs te verkrijgen van het al dan
niet plaatsvinden van een gebeurtenis of actie;
d) authenticatie: cryptografische technieken gebruiken ter authenticatie van gebruikers en andere
systeementiteiten die toegang vragen tot of die verrichtingen doen met systeemgebruikers, -entiteiten en -bronnen.
De ISO/IEC 11770-reeks geeft verdere informatie over sleutelbeheer.

35
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN Gebruik van cryptografie.md
View file

@ -1,35 +0,0 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
## 8.24 Gebruik van cryptografie
ISO 27002:2022 [[ISO_27002_2022_NL_BT 8.24 Gebruik van cryptografie|Brontekst]]
#### Wat
Beschrijving van de beheersmaatrege;l
#### Waarom
Doel van de maatregel
#### Hoe
- Lijst van uit te voeren activiteiten
##### Sub van Hoe
Eisen aan de structuur en inhoud van artefacten, en andere aanwijzingen.
#### Overige informatie
- lijst
#### Bewijs
Auditors kijken naar bewijzen van de implementatie van het proces. Dit kan bijvoorbeeld de volgende vorm aannemen:
| Omschrijving van bewijs | ISO27DIY artefact |
| ----------------------- | ----------------- |
| Omschrijving 1 | Artefact 1 |
#### Gerelateerd
Naar deze maatregel wordt verwezen in:
- [ ] Andere beheersmaatregelen binnen dezelfde norm die verwijzen naar deze maatregel
Andere gerelateerde ISO 27x beheersmaatregelen:
- [ ] Gerelateerde ISO 27x beheersmaatregelen die *niet* letterlijk in de brontekst genoemd worden.

65
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md Normal file
View file

@ -0,0 +1,65 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.
**Doel**
Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van software en systemen wordt ontworpen en geïmplementeerd.
**Richtlijn**
Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden:
a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8);
b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling:
1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8);
2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8);
c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5;
d) beveiligingscontrolepunten in projecten (zie 5;
e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests
(zie 8);
f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8;
g) beveiliging in het versiebeheer (zie 8);
h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8);
i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren
(zie 8);
j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd
toekomstige licentieproblemen te voorkomen (zie 5).
Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8).
**Overige informatie**
Ook binnen toepassingen kan ontwikkeling plaatsvinden, zoals binnen kantoortoepassingen, scripting, browsers en databases.

229
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md Normal file
View file

@ -0,0 +1,229 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
| | | | | |
| | | | | #Verdediging |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Er behoren eisen aan de informatiebeveiliging te worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen.
**Doel**
Garanderen dat alle informatiebeveiligingseisen zijn geïdentificeerd en meegenomen bij het ontwikkelen of aanschaffen van toepassingen.
**Richtlijn**
<u>Algemeen</u>
Beveiligingseisen voor toepassingen behoren te worden geïdentificeerd en gespecificeerdeze eisen worden gewoonlijk aan de hand van een risicobeoordeling vastgestelde eisen behoren met ondersteuning van informatiebeveiligingsspecialisten te worden ontwikkeld.
Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk van het doel van de toepassing.
Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie:
a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en
8];
b) het identificeren van het door de toepassing te verwerken soort informatie en het
classificatieniveau ervan;
c) de noodzaak van segmentatie van toegang en het niveau van toegang tot gegevens en functies in de
toepassing;
d) weerstand tegen kwaadaardige aanvallen of onbedoelde verstoringen [bijvescherming tegen
bufferoverflow of SQL-injecties];
e) wettelijke, statutaire en regelgevende eisen in het rechtsgebied waar de transactie wordt
gegenereerd, verwerkt, voltooid of opgeslagen;
f) de noodzaak van privacy met betrekking tot alle betrokken partijen;
g) de eisen ten aanzien van bescherming van vertrouwelijke informatie;
h) bescherming van gegevens tijdens de verwerking, tijdens het transport en in ruste;
i) de noodzaak om communicatie tussen alle betrokken partijen op beveiligde wijze te versleutelen;
j) inputbeheersmaatregelen, waaronder integriteitscontroles en validatie van de invoer;
k) geautomatiseerde beheersmaatregelen (bijvoedkeuringslimieten of dubbele goedkeuring);
l) outputbeheersmaatregelen, waarbij ook wordt nagedacht over wie er toegang kan hebben tot
output en de autorisatie ervoor;
m)beperkingen met betrekking tot de inhoud van 'vrije tekstvelden', aangezien deze kunnen leiden tot
ongecontroleerde opslag van vertrouwelijke gegevens (bijversoonsgegevens);
n) eisen die zijn afgeleid van het bedrijfsproces, zoals registreren en monitoren van transacties, eisen
voor onweerlegbaarheid;
o) eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot beveiliging (bijvnterfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);
p) het afhandelen van foutmeldingen.
<u>Transactionele diensten</u>
In aanvulling hierop behoort voor toepassingen die transactionele diensten tussen de organisatie en een partner aanbieden, het volgende in aanmerking te worden genomen bij het identificeren van informatiebeveiligingseisen:
a) de mate van vertrouwen die beide partijen eisen van elkaars beweerde identiteit;
b) de vereiste mate van vertrouwen in de integriteit van informatie die wordt uitgewisseld of verwerkt en de mechanismen voor het identificeren van integriteitsgebreken (bijvyclische redundantiecontrole, hashing, digitale handtekeningen);
c) autorisatieprocedures voor wie de inhoud van belangrijke transactiedocumenten kan goedkeuren,
belangrijke transactiedocumenten in circulatie kan brengen of kan ondertekenen;
d) vertrouwelijkheid, integriteit, bewijs van verzending en ontvangst van belangrijke documenten en
de onweerlegbaarheid (bijvontracten in samenhang met inschrijvings- en contractprocedures);
e) de vertrouwelijkheid en integriteit van transacties (bijvrders, gegevens betreffende
afleveringsadressen en ontvangstbevestigingen);
f) eisen ten aanzien van hoelang een transactie vertrouwelijk moet blijven;
g) verzekerings- en andere contractuele eisen.
<u>Toepassingen voor elektronisch bestellen en betalen</u>
In aanvulling hierop behoort het volgende in aanmerking te worden genomen voor toepassingen waarbij er sprake is van elektronisch bestellen en betalen:
a) eisen om de vertrouwelijkheid en integriteit van orderinformatie in stand te houden;
b) de mate van verificatie die passend is voor controle van betalingsinformatie die door een klant is
verstrekt;
c) verlies of vermenigvuldiging van transactie-informatie vermijden;
d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp een opslagplatform op het intranet van de organisatie, in plaats van deze te bewaren en te tonen op direct vanuit internet toegankelijke elektronische opslagmedia);
e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen.
Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie).
**Overige informatie**
Toepassingen die toegankelijk zijn via netwerken, staan bloot aan een reeks netwerkgerelateerde dreigingen zoals frauduleuze activiteiten, geschillen over contracten of openbaarmaking van informatie; onvolledige verzending, foutieve routering, ongeautoriseerd(e) wijziging, vermenigvuldiging of afspelen van berichtenaarom zijn gedetailleerde risicobeoordelingen en zorgvuldige vaststelling van beheersmaatregelen onmisbaarereiste beheersmaatregelen behelzen vaak cryptografische methoden voor het authenticeren en beveiligen van gegevensoverdracht.
Verdere informatie over de beveiliging van toepassingen is te vinden in de ISO/IEC 27034-reeks.
8.27 Veilige systeemarchitectuur en technische uitgangspunten
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.
**Doel**
Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.
**Richtlijn**
Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen.
Uitgangspunten voor veilig ontwerpen bieden richtlijnen voor manipulatietechnieken, beheer van beveiligde sessies en gegevensvalidatie en opschoning.
Uitgangspunten voor het ontwerpen van beveiligde systemen behoren een analyse te omvatten van:
a) het volledige spectrum van beheersmaatregelen voor beveiliging dat vereist is om informatie en systemen tegen geïdentificeerde dreigingen te beschermen;
b) de capaciteit van beveiligingsbeheersmaatregelen om beveiligingsgebeurtenissen te voorkomen, te detecteren of erop te reageren;
c) specifieke beveiligingsbeheersmaatregelen die worden vereist door bepaalde bedrijfsprocessen (bijv. het versleutelen van gevoelige informatie, integriteitscontrole en digitale ondertekening van informatie);
d) waar en hoe beveiligingsbeheersmaatregelen behoren te worden toegepast (bijv.door ze te integreren met een beveiligingsarchitectuur en de technische infrastructuur);
e) hoe individuele beveiligingsbeheersmaatregelen (handmatige en geautomatiseerde) samenwerken om een geïntegreerde verzameling beheersmaatregelen tot stand te brengen.
In de uitgangspunten voor het ontwerpen van beveiligde systemen behoort rekening te worden gehouden met:
a) de noodzaak van integratie met een beveiligingsarchitectuur;
b) technische beveiligingsinfrastructuur [bijvoorbeeld openbaresleutelinfrastructuur (PKI), identiteits- en toegangsbeheer (IAM), voorkoming van het lekken van gegevens en dynamisch toegangsbeheer];
c) de capaciteit van de organisatie om de gekozen technologie te ontwikkelen en te ondersteunen;
d) de kosten, tijd en complexiteit van het voldoen aan de beveiligingseisen;
e) 'best practices'.
Het ontwerp van beveiligde systemen behoort gepaard te gaan met:
a) het gebruik van uitgangspunten voor beveiligingsarchitectuur zoals 'security by design' (beveiliging door ontwerp), 'defence in depth', 'security by default', 'default deny' (standaard weigeren), 'fail securely', 'distrust input from external applications' (input van externe toepassingen wantrouwen), 'security in deployment' (beveiliging tijdens implementatie), 'assume breach' (uitgaan van inbreuk), 'least privilege' (mininimaal benodigde rechten), 'usability and manageability' (bruikbaarheid en beheerbaarheid) en 'least functionality' (minimale benodigde functionaliteit);
b) een beveiligingsgerichte beoordeling van het ontwerp om kwetsbaarheden op het gebied van informatiebeveiliging te helpen detecteren, ervoor te zorgen dat beveiligingsbeheersmaatregelen zijn gespecificeerd en aan de beveiligingseisen te voldoen;
c) documentatie en formele erkenning van beveiligingsbeheersmaatregelen die niet volledig aan de eisen voldoen (bijvanwege dwingende veiligheidseisen);
d) hardening van systemen.
De organisatie behoort 'zero trust'-beginselen te overwegen zoals:
a) ervan uitgaan dat er al sprake is van een inbreuk op de informatiesystemen van de organisatie en er daarom niet alleen kan worden vertrouwd op beveiliging van de buitengrenzen van netwerken;
b) een benadering van 'nooit vertrouwen, altijd verifiëren' hanteren voor toegang tot informatiesystemen;
c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versleuteld zijn;
d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen.
**Overige informatie**
Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals:
--- storingstolerantie en andere technieken met het oog op veerkracht;
--- segmentatie (bijvoor virtualisatie of containerisatie); --- bestendigheid tegen manipulatie.
Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens.
Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist).

92
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md Normal file
View file

@ -0,0 +1,92 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.
**Doel**
Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.
**Richtlijn**
Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen.
Uitgangspunten voor veilig ontwerpen bieden richtlijnen voor manipulatietechnieken, beheer van beveiligde sessies en gegevensvalidatie en opschoning.
Uitgangspunten voor het ontwerpen van beveiligde systemen behoren een analyse te omvatten van:
a) het volledige spectrum van beheersmaatregelen voor beveiliging dat vereist is om informatie en systemen tegen geïdentificeerde dreigingen te beschermen;
b) de capaciteit van beveiligingsbeheersmaatregelen om beveiligingsgebeurtenissen te voorkomen, te detecteren of erop te reageren;
c) specifieke beveiligingsbeheersmaatregelen die worden vereist door bepaalde bedrijfsprocessen (bijv. het versleutelen van gevoelige informatie, integriteitscontrole en digitale ondertekening van informatie);
d) waar en hoe beveiligingsbeheersmaatregelen behoren te worden toegepast (bijv.door ze te integreren met een beveiligingsarchitectuur en de technische infrastructuur);
e) hoe individuele beveiligingsbeheersmaatregelen (handmatige en geautomatiseerde) samenwerken om een geïntegreerde verzameling beheersmaatregelen tot stand te brengen.
In de uitgangspunten voor het ontwerpen van beveiligde systemen behoort rekening te worden gehouden met:
a) de noodzaak van integratie met een beveiligingsarchitectuur;
b) technische beveiligingsinfrastructuur [bijvoorbeeld openbaresleutelinfrastructuur (PKI), identiteits- en toegangsbeheer (IAM), voorkoming van het lekken van gegevens en dynamisch toegangsbeheer];
c) de capaciteit van de organisatie om de gekozen technologie te ontwikkelen en te ondersteunen;
d) de kosten, tijd en complexiteit van het voldoen aan de beveiligingseisen;
e) 'best practices'.
Het ontwerp van beveiligde systemen behoort gepaard te gaan met:
a) het gebruik van uitgangspunten voor beveiligingsarchitectuur zoals 'security by design' (beveiliging door ontwerp), 'defence in depth', 'security by default', 'default deny' (standaard weigeren), 'fail securely', 'distrust input from external applications' (input van externe toepassingen wantrouwen), 'security in deployment' (beveiliging tijdens implementatie), 'assume breach' (uitgaan van inbreuk), 'least privilege' (mininimaal benodigde rechten), 'usability and manageability' (bruikbaarheid en beheerbaarheid) en 'least functionality' (minimale benodigde functionaliteit);
b) een beveiligingsgerichte beoordeling van het ontwerp om kwetsbaarheden op het gebied van informatiebeveiliging te helpen detecteren, ervoor te zorgen dat beveiligingsbeheersmaatregelen zijn gespecificeerd en aan de beveiligingseisen te voldoen;
c) documentatie en formele erkenning van beveiligingsbeheersmaatregelen die niet volledig aan de eisen voldoen (bijvanwege dwingende veiligheidseisen);
d) hardening van systemen.
De organisatie behoort 'zero trust'-beginselen te overwegen zoals:
a) ervan uitgaan dat er al sprake is van een inbreuk op de informatiesystemen van de organisatie en er daarom niet alleen kan worden vertrouwd op beveiliging van de buitengrenzen van netwerken;
b) een benadering van 'nooit vertrouwen, altijd verifiëren' hanteren voor toegang tot informatiesystemen;
c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versleuteld zijn;
d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen.
**Overige informatie**
Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals:
--- storingstolerantie en andere technieken met het oog op veerkracht;
--- segmentatie (bijvoor virtualisatie of containerisatie); --- bestendigheid tegen manipulatie.
Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens.
Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist).

120
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md
View file

@ -0,0 +1,120 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.
**Doel**
Waarborgen dat veilige software wordt geschreven waardoor het aantal potentiële informatiebeveiligingskwetsbaarheden in de software wordt beperkt.
**Richtlijn**
<u>Algemeen</u>
De organisatie behoort organisatiebrede processen op te stellen om te voorzien in goede governance voor veilig coderenr behoort een minimale nullijn wat betreft beveiliging te worden vastgesteld en toegepastn aanvulling hierop behoren dergelijke processen en governance te worden uitgebreid tot softwarecomponenten van derden en opensourcesoftware.
De organisatie behoort te monitoren op dreigingen in de echte wereld en actueel advies en actuele informatie over kwetsbaarheden in software als richtlijn om de principes voor veilig coderen van de organisatie door middel van continue verbetering en voortdurend leren te sturenit kan bijdragen aan het garanderen dat er doeltreffende praktijken voor veilig coderen worden geïmplementeerd als tegenhanger tegen het snel veranderende dreigingslandschap.
<u>Planning en voorafgaand aan het coderen</u>
Principes voor veilig coderen behoren zowel voor nieuwe ontwikkelingen als bij hergebruikscenario\'s te worden gebruikteze principes behoren te worden toegepast op ontwikkelingsactiviteiten binnen de organisatie en voor producten en diensten die de organisatie aan anderen leverte planning en de voorwaarden voorafgaand aan het coderen behoren het volgende te omvatten:
a) organisatiespecifieke verwachtingen en goedgekeurde principes voor veilig coderen die zowel voor interne als voor uitbestede codeontwikkelingen behoren te worden gebruikt;
b) gebruikelijke en historische codeerpraktijken en -gebreken die tot kwetsbaarheden in de informatiebeveiliging leiden;
c) ontwikkelinstrumenten, zoals geïntegreerde ontwikkelomgevingen (IDE\'s), configureren om te helpen het maken van veilige code af te dwingen;
d) richtlijnen volgen die door de aanbieders van ontwikkelinstrumenten en uitvoeringsomgevingen worden gegeven, al naargelang de situatie;
e) onderhoud en gebruik van actuele ontwikkelinstrumenten (bijvompilers);
f) de kwalificatie van ontwikkelaars voor het schrijven van veilige code;
g) veilig ontwerp en veilige architectuur, met inbegrip van het opstellen van dreigingsmodellen;
h) normen voor veilig coderen en waar relevant het gebruik ervan verplicht stellen;
i) het gebruik van beheerste omgevingen voor ontwikkeling.
<u>Tijdens het coderen</u>
Overwegingen tijdens het coderen behoren te zijn:
a) veilige coderingspraktijken die specifiek zijn voor de programmeertalen en -technieken die worden gebruikt;
b) veilige programmeertechnieken gebruiken zoals 'pair programming' (programmeren in duo\'s), 'refactoring' (code herstructureren), 'peer review' (beoordeling door collega\'s), beveiligingsiteraties en testgestuurde ontwikkeling;
c) gestructureerde programmeertechnieken gebruiken;
d) code documenteren en programmeerfouten verwijderen die anders misbruik van kwetsbaarheden in de informatiebeveiliging mogelijk kunnen maken;
e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden.
Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
Alvorens software operationeel te maken, behoort:
a) het aanvalsoppervlak en het beginsel van het 'least privilege' (minste voorrechten) te worden geëvalueerd;
b) een analyse te worden uitgevoerd op de meest voorkomende programmeerfouten en te worden gedocumenteerd dat deze zijn hersteld.
<u>Beoordeling en onderhoud</u>
Nadat de code operationeel is gemaakt:
a) behoren updates op beveiligde wijze te worden verpakt en ingezet;
b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8;
c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen;
d) behoort de broncode te worden beschermd tegen toegang en manipulatie door onbevoegden (bijvoor gebruik te maken van configuratiebeheerinstrumenten, die meestal functies als toegangsbeveiliging en versiebeheer bieden).
Als er gebruikgemaakt wordt van externe instrumenten en bibliotheken, behoort de organisatie na te denken over:
a) het bewerkstelligen dat externe bibliotheken worden beheerd (bijvoor een inventarislijst bij te houden van bibliotheken die worden gebruikt en de desbetreffende versies) en regelmatig worden bijgewerkt met releasecycli;
b) het selecteren, autoriseren en hergebruiken van goed gecontroleerde componenten, met name authenticatie- en cryptografische componenten;
c) de licentie, beveiliging en historie van externe componenten;
d) het bewerkstelligen dat software kan worden onderhouden, wordt getraceerd en afkomstig is van beproefde, gerenommeerde bronnen;
e) het op voldoende lange termijn beschikbaar zijn van ontwikkelmiddelen en artefacten.
Als het nodig is een softwarepakket te wijzigen, behoren de volgende punten in overweging te worden genomen:
a) het risico dat ingebouwde beheersmaatregelen en integriteitsprocessen gecompromitteerd raken;
b) of het al dan niet nodig is toestemming van de leverancier te verkrijgen;
c) de mogelijkheid om de vereiste wijzigingen van de aanbieder als standaard programma-updates te verkrijgen;
d) de impact als de organisatie verantwoordelijk wordt gehouden voor het toekomstig onderhoud van de software als gevolg van de veranderingen;
e) compatibiliteit met andere software die in gebruik is.
**Overige informatie**
Een leidend principe is bewerkstelligen dat beveiligingsrelevante code wordt aangeroepen wanneer dat nodig is en deze bestand is tegen manipulatierogramma\'s die worden geïnstalleerd op basis van gecompileerde binaire code hebben deze eigenschappen ook, maar alleen voor gegevens die binnen de toepassing worden bewaardoor geïnterpreteerde talen werkt het concept alleen wanneer de code wordt uitgevoerd op een server waartoe de gebruikers en de processen die er gebruik van maken verder geen toegang hebben en de gegevens ervan in een op vergelijkbare wijze beschermde database worden bewaarde geïnterpreteerde code kan bijvoorbeeld worden uitgevoerd op een clouddienst waar beheerdersrechten vereist zijn voor toegang tot de code op zichergelijke toegang door een beheerder behoort te worden beschermd door beveiligingsmechanismen zoals just-in- timebeheerprincipes en krachtige authenticatiendien de eigenaar van een toepassing op afstand via de server toegang kan maken tot scripts, kan een aanvaller dat in principe ookebservers behoren dusdanig te worden geconfigureerd dat het doorzoeken van directory\'s in dergelijke gevallen niet mogelijk is.
Het is het beste om er bij het ontwerpen van een toepassingscode vanuit te gaan dat deze code altijd het doelwit is van aanvallen, als gevolg van fouten of door kwaadwillige opzetovendien kunnen kritische toepassingen zo worden ontworpen dat ze bestand zijn tegen interne fouten of storingeno kan bijvoorbeeld de output van een complex algoritme worden gecontroleerd om te garanderen dat deze binnen veilige grenzen ligt voordat de gegevens worden gebruikt in een toepassing zoals een veiligheids- of financieel kritische toepassinge code die de grenscontroles uitvoert, is eenvoudig en daarom veel gemakkelijker om de juistheid ermee aan te tonen.
Bepaalde internettoepassingen zijn gevoelig voor allerlei kwetsbaarheden die worden veroorzaakt door slecht ontwerp en slecht coderen, zoals injectieaanvallen op databases en 'cross-site scripting'- aanvallenij deze aanvallen kunnen verzoeken worden gemanipuleerd om misbruik te maken van de webserverfunctionaliteit.
Meer informatie over het evalueren van ICT-beveiliging is te vinden in de ISO/IEC 15408-reeks.

64
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md Normal file
View file

@ -0,0 +1,64 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=====================================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Toepassingsbeveili- ging #Borging_van_infor- matiebeveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.
**Doel**
Valideren of aan de informatiebeveiligingseisen wordt voldaan wanneer toepassingen of code in de productieomgeving worden uitgerold.
**Richtlijn**
Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikkelingsprocessen grondig te worden getest en geverifieerdet testen van de beveiliging behoort een integraal onderdeel te zijn van het testen voor systemen of componenten.
Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van:
a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)];
b) veilig coderen (zie 8);
c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten:
a) een gedetailleerd schema van de activiteiten en tests;
b) input en verwachte output onder allerlei omstandigheden;
c) criteria om de resultaten te evalueren;
d) een besluit over verdere acties naarmate nodig is.
De organisatie kan geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoort het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren.
Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5et volgende behoort te worden overwogen:
a) het uitvoeren van activiteiten om code te beoordelen als relevant element voor het testen op zwakke plekken in de beveiliging, met inbegrip van onvoorziene inputs en omstandigheden;
b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in systemen te identificeren;
c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren.
Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8).
**Overige informatie**
Er kunnen meer testomgevingen worden opgezet die gebruikt kunnen worden voor verschillende soorten tests (bijvunctionele en prestatietests)eze verschillende omgevingen kunnen virtueel zijn, met individuele configuraties om allerlei verschillende bedrijfsomgevingen te simuleren.
Het testen en monitoren van testomgevingen, -instrumenten en -technologieën behoort ook te worden overwogen om doeltreffend testen te bewerkstelligenezelfde overwegingen gelden voor het monitoren van de monitoringsystemen die worden ingezet in ontwikkel-, test- en productieomgevingenan de hand van de gevoeligheid van de systemen en gegevens behoort te worden beoordeeld hoeveel lagen metatests zinvol zijn.

66
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md Normal file
View file

@ -0,0 +1,66 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=====================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
**Beheersmaatregel**
Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.
**Doel**
Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten speciale toegangsrechten krijgen.
**Richtlijn**
Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen:
a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of
proces (bijvesturingssystemen, databasebeheersystemen en toepassingen);
b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden;
d) het definiëren en implementeren van eisen voor het vervallen van speciale toegangsrechten;
e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewust zijn van hun speciale toegangsrechten en wanneer zij zich in de speciale toegangsmodus bevindenogelijke maatregelen zijn onder andere het gebruik van specifieke gebruikersidentiteiten, gebruikersinterface-instellingen of zelfs specifieke apparatuur;
f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd;
g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5);
h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5);
i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten;
j) het registreren van alle speciale toegang tot systemen voor auditdoeleinden;
k) identiteiten met speciale toegangsrechten niet met meerdere personen delen of aan meerdere personen koppelen, maar aan elke persoon een afzonderlijke identiteit toekennen waarmee specifieke speciale toegangsrechten kunnen worden toegekenddentiteiten kunnen worden gegroepeerd (bijvoor een beheerdersgroep te definiëren) om het beheer van speciale toegangsrechten te vereenvoudigen;
l) het gebruik van identiteiten met speciale toegangsrechten beperken tot het uitvoeren van beheerfuncties en deze identiteiten niet gebruiken voor de dagelijkse algemene taken [dz-mail bekijken, toegang tot internet (gebruikers behoren voor deze activiteiten een afzonderlijke normale netwerkidentiteit te hebben)].
**Overige informatie**
Speciale toegangsrechten zijn toegangsrechten die aan een identiteit, rol of proces worden verleend om activiteiten te kunnen uitvoeren die gewone gebruikers of processen niet kunnen uitvoerenysteembeheerdersrollen vereisen meestal speciale toegangsrechten.
Ongepast gebruik van speciale systeembeheerdersrechten (elke functie of faciliteit van een informatiesysteem die de gebruiker in staat stelt systeem- of toepassingsbeheersmaatregelen op te heffen) is een factor die in grote mate bijdraagt aan storingen van of inbreuken op het systeem.
Meer informatie over toegangsbeheer en het beveiligde beheer van de toegang tot informatie en informatie- en communicatietechnologiemiddelen is te vinden in ISO/IEC 29146.

57
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md Normal file
View file

@ -0,0 +1,57 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+==========================================+=====================================================================================================+============================================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen #Detecteren | #Systeem-\_en_netwerk- beveiliging #Toepassingsbeveiliging #Beveiliging_in_leveran- ciersrelaties | #Governance_en\_ Ecosysteem #Bescherming |
| | | | | |
| #Detectief | | | | |
+------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
**Beheersmaatregel**
De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.
**Doel**
Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen bij uitbestede systeemontwikkeling worden geïmplementeerd.
**Richtlijn**
Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5);
b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8);
c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren;
d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8);
e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen);
f) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de (zowel opzettelijke als onbedoelde) aanwezigheid van kwaadaardige inhoud op het tijdstip van levering;
g) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de aanwezigheid van bekende kwetsbaarheden;
h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leverancier failliet gaat);
i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
j) beveiligingseisen voor de ontwikkelomgeving (zie 8);
k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens).
**Overige informatie**
Verdere informatie over leveranciersrelaties is te vinden in de ISO/IEC 27036-reeks.

92
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md Normal file
View file

@ -0,0 +1,92 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.
**Doel**
De productieomgeving en de gegevens beschermen tegen compromittering door ontwikkel- en testactiviteiten.
**Richtlijn**
Het scheidingsniveau tussen productie-, test- en ontwikkelomgevingen dat nodig is om operationele problemen te voorkomen, behoort te worden geïdentificeerd en geïmplementeerd.
Met de volgende aspecten behoort rekening te worden gehouden:
a) ontwikkel- en productiesystemen in afdoende mate van elkaar scheiden en ze in verschillende
domeinen uitvoeren (bijvn gescheiden virtuele of fysieke omgevingen);
b) regels en autorisaties definiëren, documenteren en implementeren voor het inzetten van software
vanuit de ontwikkel- naar de productiestatus;
c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen
voordat ze in productiesystemen worden toegepast (zie 8);
d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden;
e) compilers, editors en andere ontwikkelinstrumenten of systeemhulpmiddelen behoren, indien ze
niet nodig zijn, niet toegankelijk te zijn vanuit productiesystemen;
f) passende milieu-identificatielabels in menu\'s tonen om het risico op fouten te beperken;
g) geen gevoelige informatie naar de ontwikkel- en testsysteemomgevingen kopiëren tenzij er wordt
voorzien in gelijkwaardige beheersmaatregelen voor de ontwikkel- en testsystemen.
In alle gevallen behoren de ontwikkel- en testomgevingen te worden beschermd, waarbij het volgende in aanmerking behoort te worden genomen:
a) het patchen en bijwerken van alle ontwikkelings-, integratie- en testinstrumenten (met inbegrip
van builders, integratie-instrumenten, compilers, configuratiesystemen en bibliotheken);
b) beveiligde configuratie van systemen en software;
c) toegangsbeveiliging voor de omgevingen;
d) monitoren van veranderingen aan de omgeving en de daarin opgeslagen codes;
e) beveiligde monitoring van de omgevingen;
f) back-ups maken van de omgevingen.
Het behoort niet mogelijk te zijn dat één persoon zonder voorafgaande beoordeling en goedkeuring veranderingen aan zowel de ontwikkeling als de productie kan doorvoerenit kan bijvoorbeeld worden bereikt door toegangsrechten te scheiden of door middel van regels die worden gemonitordn uitzonderingssituaties behoren aanvullende maatregelen zoals het bijhouden van gedetailleerde logbestanden en realtimemonitoring te worden geïmplementeerd om veranderingen door onbevoegden te detecteren en er actie op te ondernemen.
**Overige informatie**
Zonder afdoende maatregelen en procedures kunnen ontwikkelaars en testers die toegang hebben tot productiesystemen, aanmerkelijke risico\'s introduceren (bijvngewenste wijziging van bestanden of de systeemomgeving, systeemstoringen, niet-goedgekeurde en niet-geteste code in productiesystemen uitvoeren, openbaarmaking van vertrouwelijke gegevens, en problemen met de integriteit en beschikbaarheid van gegevens)et is nodig een bekende en stabiele omgeving te onderhouden voor
het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot de productieomgeving te voorkomen.
Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen.
Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie).
In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is.
Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8).
Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen.

67
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md
View file

@ -2,3 +2,70 @@
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Wijzigingen in informatieverwerkingsfaciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.
**Doel**
De informatiebeveiliging behouden tijdens het uitvoeren van wijzigingen.
**Richtlijn**
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen behoren volgens overeengekomen regels en een formeel proces van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie te worden geïntroduceerderantwoordelijkheden en procedures voor beheer behoren te worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen.
Procedures voor wijzigingsbeheer behoren te worden gedocumenteerd en gehandhaafd om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in informatieverwerkende faciliteiten en informatiesystemen te garanderen gedurende de gehele ontwikkelcyclus van systemen, vanaf het begin van de ontwerpfase tot en met alle daaropvolgende onderhoudsinspanningen.
Waar mogelijk behoren de procedures voor wijzigingsbeheer voor ICT-infrastructuur en -software te worden geïntegreerd.
De procedures voor wijzigingsbeheer behoren het volgende te omvatten:
a) het plannen en beoordelen van de potentiële impact van wijzigingen, waarbij alle afhankelijkheden
in aanmerking worden genomen;
b) autorisatie van veranderingen;
c) veranderingen aan relevante belanghebbenden communiceren;
d) tests en de aanvaarding van tests voor de veranderingen (zie 8);
e) implementatie van veranderingen met inbegrip van inzetplannen;
f) nood- en voorzorgsoverwegingen, met inbegrip van vangnetprocedures;
g) registraties onderhouden van veranderingen waarin alle bovenstaande punten worden
opgenomen;
h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden
gewijzigd om ze toepasbaar te houden;
i) bewerkstelligen dat de plannen voor ICT-continuïteit en de respons- en herstelprocedures (zie
5) worden gewijzigd naarmate nodig is om passend te blijven.
**Overige informatie**
Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten en informatiesystemen is een algemene oorzaak van systeem- of beveiligingsfouteneranderingen aan de productieomgeving, in het bijzonder als software wordt gemuteerd van de ontwikkelings- naar de uitvoeringsomgeving, kunnen van invloed zijn op de integriteit en beschikbaarheid van toepassingen.
Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren.

46
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md Normal file
View file

@ -0,0 +1,46 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------+----------------------+--------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+======================+======================+==========================+=====================+
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
| | | | | |
| | #Integriteit | | | |
+------------------------+----------------------+----------------------+--------------------------+---------------------+
**Beheersmaatregel**
Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.
**Doel**
De relevantie van het testen en de bescherming van operationele gegevens die voor het testen worden gebruikt, waarborgen.
**Richtlijn**
Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8).
De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt:
a) de toegangsbeveiligingsprocedures die worden toegepast op operationele omgevingen, ook op testomgevingen toepassen;
b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd, een afzonderlijke autorisatie verkrijgen;
c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien;
d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen;
e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt.
**Overige informatie**
Systeem- en acceptatietests kunnen substantiële hoeveelheden testgegevens vereisen die een zo getrouw mogelijke weergave zijn van operationele gegevens.

1502
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md Normal file
View file

File diff suppressed because it is too large Load diff

112
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.3_BT Beperking toegang tot informatie.md Normal file
View file

@ -0,0 +1,112 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=====================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
**Beheersmaatregel**
De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging.
**Doel**
Uitsluitend bevoegde toegang bewerkstelligen en onbevoegde toegang tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
**Richtlijn**
De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig de vastgestelde onderwerpspecifieke beleidsregelse volgende aspecten behoren in aanmerking te worden genomen om de eisen voor toegangsbeperking te ondersteunen:
a) toegang tot gevoelige informatie niet anoniem of aan onbekende gebruikersidentiteiten toestaanpenbare of anonieme toegang behoort uitsluitend te worden verleend tot opslaglocaties waar zich geen gevoelige informatie bevindt;
b) voorzien in configuratiemechanismen voor toegangsbeveiliging van informatie in systemen,
toepassingen en diensten;
c) beheersen welke gegevens voor een bepaalde gebruiker toegankelijk zijn;
d) beheersen welke identiteiten of groep identiteiten bepaalde toegangsrechten hebben, zoals lezen,
schrijven, wissen en uitvoeren;
e) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige
toepassingen, toepassingsgegevens of systemen;
Verder behoren dynamische technieken en processen voor het beschermen van gevoelige informatie die van hoge waarde is voor de organisatie, in overweging te worden genomen als de organisatie:
a) granulaire beveiliging nodig heeft met betrekking tot wie, gedurende welke periode en volgens
welke wijze toegang kan krijgen tot dergelijke informatie;
b) zulke informatie wil delen met mensen buiten de organisatie en de controle wil behouden over wie
er toegang toe heeft;
c) het gebruik en de verspreiding van die informatie dynamisch en in real time wil beheren;
d) dergelijke informatie wil beschermen tegen ongeautoriseerde wijzigingen, kopiëren en
verspreiding (met inbegrip van afdrukken);
e) het gebruik van de informatie wil monitoren;
f) wijzigingen aan deze informatie wil registreren voor het geval onderzoek in de toekomst vereist is.
Technieken voor het beheer van dynamische toegang behoren informatie gedurende de hele levenscyclus ervan te beschermen (dzet aanmaken, verwerken, opslaan, overdragen en verwijderen), met inbegrip van:
a) het vaststellen van regels voor het beheer van dynamische toegang op basis van specifieke
usecases, waarbij het volgende in overweging wordt genomen:
1) toegangsrechten verlenen op basis van identiteit, apparaat, locatie of toepassing;
2) het classificatieschema inzetten om vast te stellen welke informatie met technieken voor het
beheer van dynamische toegang moet worden beschermd;
b) operationele, monitoring- en meldingsprocessen opstellen en ondersteunende technische
infrastructuur inrichten.
Systemen voor het beheer van dynamische toegang behoren informatie te beschermen door:
a) authenticatie, passende toegangsgegevens of een certificaat te vereisen voor toegang tot informatie;
b) de toegang te beperken, bijvoorbeeld tot een bepaald tijdsbestek (bijvoorbeeld na een bepaalde
datum of tot een bepaalde datum);
c) versleuteling te gebruiken om informatie te beschermen;
d) de afdrukrechten voor de informatie te definiëren;
e) te registreren wie zich toegang verschaft tot de informatie en hoe de informatie wordt gebruikt;
f) waarschuwingen te geven indien er pogingen om de informatie te misbruiken worden
waargenomen.
**Overige informatie**
Indien traditionele toegangscontroles niet kunnen worden afgedwongen, kunnen technieken voor het beheer van dynamische toegang en andere technieken voor dynamische informatiebeveiliging de bescherming van informatie ondersteunen, zelfs wanneer gegevens buiten de organisatie van herkomst worden gedeeldit kan worden toegepast op documenten, e-mails of andere bestanden
met informatie, om te beperken wie er toegang kan krijgen tot de inhoud en hoe men deze kan krijgenit kan op granulair niveau zijn en worden aangepast gedurende de levenscyclus van de informatie.
Technieken voor het beheer van dynamische toegang zijn geen vervangers van klassiek toegangsbeheer [bijvet gebruik van lijsten voor toegangsbeheer (ACL's)], maar ze kunnen meer factoren toevoegen voor conditionaliteit, realtime-evaluatie, just-in-timedatabeperking en andere verbeteringen die nuttig kunnen zijn voor de meest gevoelige informatieit biedt een manier om toegang buiten de omgeving van de organisatie te beveiligenncidentrespons kan worden ondersteund door technieken voor het beheer van dynamische toegang aangezien rechten te allen tijde kunnen worden gewijzigd of ingetrokken.
Aanvullende informatie over een kader voor toegangsbeheer wordt gegeven in ISO/IEC 29146.

63
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode.md Normal file
View file

@ -0,0 +1,63 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=====================================================================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer #Toepassingsbeveili- ging #Veilige_configuratie | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoort op passende wijze te worden beheerd.
**Doel**
Voorkomen dat er ongeoorloofde functionaliteit wordt geïntroduceerd, vermijden dat onbedoelde of kwaadwillige wijzigingen plaatsvinden en de vertrouwelijkheid behouden van waardevol intellectueel eigendom.
**Richtlijn**
Toegang tot broncode en gerelateerde zaken (zoals ontwerpen, specificaties, verificatieplannen en validatieplannen) en ontwikkelinstrumenten (bijvompilers, builders, integratie-instrumenten, testplatformen en -omgevingen) behoort streng te worden beheerst.
Met betrekking tot broncode kan dit worden bereikt door de code gecontroleerd centraal op te slaan, bij voorkeur in een broncodebeheersysteem.
Lees- en schrijftoegang tot broncode kan verschillen op basis van de rol van het personeelo kan leestoegang tot broncode binnen de organisatie breed worden aangeboden, maar schrijftoegang tot broncode worden voorbehouden aan speciaal personeel of aangewezen eigenarenndien codecomponenten door verschillende ontwikkelaars binnen een organisatie worden hergebruikt, behoort leestoegang tot een gecentraliseerde broncodebibliotheek te worden geïmplementeerd.
Bovendien kan, indien binnen een organisatie open broncode of codecomponenten van derden worden gebruikt, de leestoegang tot dergelijke externe broncodebibliotheken ook breed worden aangebodene schrijftoegang behoort echter nog steeds te worden beperkt.
De volgende richtlijnen behoren te worden overwogen om de toegang tot broncodebibliotheken te beheersen en zo de kans op corruptie van computerprogramma's te verkleinen:
a) de toegang tot programmabroncode en de programmabronbibliotheken volgens vastgestelde
procedures beheren;
b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlenen, dusdanig beheerd
dat de risico\'s op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures;
c) de procedures voor wijzigingsbeheer (zie 8) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via
ontwikkelinstrumenten die activiteiten en autorisaties met betrekking tot de broncode beheersen;
e) lijsten van programma\'s in een beveiligde omgeving bewaren waar lees- en schrijftoegang op
passende wijze behoort te worden beheerd en toegewezen;
f) een auditlogbestand bijhouden van alle toegangsinstanties en van alle wijzigingen aan de broncode.
Indien het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die de integriteit ervan waarborgen (bijven digitale handtekening), te worden overwogen.
**Overige informatie**
Indien de toegang tot broncode niet naar behoren wordt beveiligd, kunnen onbevoegden broncode aanpassen of bepaalde gegevens in de ontwikkelomgeving (bijvopieën van productiegegevens, configuratiedetails) opvragen.

84
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.5_BT Beveiligde authenticatie.md Normal file
View file

@ -0,0 +1,84 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=====================================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
**Beheersmaatregel**
Er behoren beveiligde authenticatietechnologieën en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke of aanvullende beleid inzake toegangsbeveiliging.
**Doel**
Bewerkstelligen dat een gebruiker of een entiteit veilig wordt geauthenticeerd wanneer toegang tot systemen, toepassingen en diensten wordt verleend.
**Richtlijn**
Om de geclaimde identiteit van een gebruiker, software, berichten en andere entiteiten te bewijzen behoort een passende authenticatietechniek te worden gekozen.
De sterkte van authenticatie behoort passend te zijn voor de classificatie van de informatie waartoe toegang wordt verleendngeval krachtige verificatie en authenticatie van de identiteit is vereist, behoren andere authenticatiemethoden dan wachtwoorden te worden gebruikt, zoals digitale certificaten, chipkaarten, tokens of biometrische middelen.
Authenticatie-informatie behoort vergezeld te gaan van aanvullende authenticatiefactoren voor toegang tot essentiële informatiesystemen (ook bekend als multifactorauthenticatie)et gebruik van een combinatie van meerdere authenticatiefactoren, zoals wat je weet, wat je hebt en wat je bent, beperkt de mogelijkheid van onbevoegde toegangultifactorauthenticatie kan worden gecombineerd met andere technieken die aanvullende factoren onder specifieke omstandigheden vereisen, op basis van vooraf gedefinieerde regels en patronen, zoals toegang vanaf een ongebruikelijke locatie, een ongebruikelijk apparaat of op een ongebruikelijk tijdstip.
Biometrische authenticatie-informatie behoort ongeldig te worden gemaakt als deze ooit wordt gecompromitteerdet is mogelijk dat biometrische authenticatie niet beschikbaar is, afhankelijk van de gebruiksomstandigheden (bijvocht of veroudering)m hierop voorbereid te zijn, behoort biometrische authenticatie van ten minste één alternatieve authenticatietechniek vergezeld te gaan.
De procedure om in een systeem in te loggen, behoort zo te worden ontworpen dat het risico op onbevoegde toegang zo klein mogelijk wordt gemaaktr behoren inlogprocedures en -technologieën te worden geïmplementeerd waarbij het volgende in overweging wordt genomen:
a) gevoelige systeem- of toepassingsinformatie pas tonen nadat het inlogproces op geslaagde wijze is
afgerond om zo te vermijden dat een onbevoegde onnodig wordt geholpen;
b) een algemene waarschuwing tonen dat het systeem of de toepassing of dienst alleen toegankelijk is
voor bevoegde gebruikers;
c) geen hulpmeldingen geven tijdens de aanmeldprocedure die een onbevoegde gebruiker zouden helpen (bijvls er zich een fout voordoet, behoort het systeem niet aan te geven welk gedeelte van de gegevens correct of niet correct is);
d) de inloginformatie pas na invoer van alle gegevens valideren;
e) bescherming bieden tegen bruut geweld bij aanmeldpogingen met gebruikersnamen en wachtwoorden (bijvoor gebruik te maken van CAPTCHA, te eisen dat een wachtwoord opnieuw wordt ingesteld na een vooraf bepaald aantal mislukte pogingen of de gebruiker na een maximumaantal fouten te blokkeren);
f) niet-succesvolle en succesvolle pogingen registreren;
g) een beveiligingsgebeurtenis genereren wanneer een potentiële poging tot of succesvolle inbreuk op aanmeldbeheersmaatregelen wordt gedetecteerd (bijven waarschuwing naar de gebruiker en de systeembeheerders van de organisatie sturen wanneer een bepaald aantal verkeerde wachtwoordpogingen is bereikt);
h) de volgende informatie op een apart kanaal tonen of verzenden nadat het inloggen met succes is
voltooid:
1) datum en tijdstip waarop de vorige keer met succes is ingelogd;
2) details van niet-succesvolle pogingen om in te loggen sinds de vorige succesvolle poging om in te
loggen;
i) een wachtwoord terwijl het wordt ingevoerd niet als leesbare tekst tonen; in bepaalde gevallen kan het nodig zijn deze functionaliteit uit te schakelen om de gebruiker te laten inloggen (bijvanwege toegankelijkheidsredenen of om te vermijden dat gebruikers worden geblokkeerd doordat ze meermaals fouten hebben gemaakt);
j) wachtwoorden niet als onversleutelde tekst via een netwerk verzenden om zo te voorkomen dat zij
door een snifferprogramma op het netwerk worden onderschept;
k) inactieve sessies na een bepaalde tijd van inactiviteit beëindigen, vooral op locaties met een hoog risico, zoals openbare of externe locaties die buiten het beveiligingsbeheer van de organisatie vallen, of op 'endpoint devices' van gebruikers;
l) de verbindingsduur beperken om extra beveiliging te bieden voor toepassingen met een hoog risico
en de mogelijkheden voor onbevoegde toegang te verkleinen.
**Overige informatie**
Aanvullende informatie over de borging van de authenticatie van entiteiten is te vinden in ISO/IEC 29115.

77
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.6_BT Capaciteitsbeheer.md Normal file
View file

@ -0,0 +1,77 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+---------------------+------------------------------------------+--------------------+--------------------------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+=====================+==========================================+====================+============================================+
| #Preventief | #Integriteit | #Identificeren #Beschermen #Detecteren | #Continuïteit | #Governance_en\_ Ecosysteem #Bescherming |
| | | | | |
| #Detectief | #Beschikbaarheid | | | |
+------------------------+---------------------+------------------------------------------+--------------------+--------------------------------------------+
**Beheersmaatregel**
Het gebruik van middelen behoort te worden gemonitord en afgestemd overeenkomstig de huidige en verwachte capaciteitseisen.
**Doel**
De vereiste capaciteit van informatieverwerkende faciliteiten, personeel, kantoren en andere faciliteiten waarborgen.
**Richtlijn**
Capaciteitseisen voor informatieverwerkende faciliteiten, personeel, kantoren en andere faciliteiten behoren te worden gedefinieerd, rekening houdend met het belang van de betrokken systemen en processen voor de organisatie.
Het systeem behoort te worden afgestemd en gemonitord om de beschikbaarheid en doelmatigheid van systemen te waarborgen en zo nodig te verbeteren.
De organisatie behoort stresstests van systemen en diensten uit te voeren om te bevestigen dat er voldoende systeemcapaciteit beschikbaar is om aan eisen voor piekprestaties te voldoen.
Om problemen vroegtijdig vast te stellen behoren detectiemaatregelen te worden genomen.
Prognoses voor toekomstige capaciteitseisen behoren rekening te houden met nieuwe bedrijfs- en systeemeisen en de huidige en verwachte trends in de informatieverwerkende capaciteiten van de organisatie.
Er behoort met name aandacht te worden besteed aan middelen met lange verwervingsdoorlooptijden of hoge kostenaarom behoren managers en de eigenaren van een dienst of product het gebruik van belangrijke systeemmiddelen te monitoren.
Beheerders behoren deze capaciteitsinformatie te gebruiken voor het signaleren en vermijden van potentiële beperkingen aan middelen en afhankelijkheid van belangrijk personeel, wat een dreiging kan vormen voor de systeembeveiliging en diensten, en behoren passende actie te plannen.
Voldoende capaciteit kan worden verkregen door de capaciteit te verhogen of door de vraag te verlagenm de capaciteit te verhogen behoort het volgende in overweging te worden genomen:
a) nieuw personeel aantrekken;
b) nieuwe faciliteiten of ruimte verkrijgen;
c) krachtigere verwerkingssystemen, geheugen en opslag verkrijgen;
d) gebruikmaken van cloudcomputing, hetgeen inherente kenmerken heeft die rechtstreeks capaciteitskwesties oppakkenloudcomputing heeft elasticiteit en schaalbaarheid waardoor snelle uitbreiding en inkrimping van middelen op vraag beschikbaar is voor specifieke toepassingen en diensten.
Om het beslag op de middelen van de organisatie te verminderen, behoort het volgende te worden overwogen:
a) verouderde gegevens verwijderen (schijfruimte);
b) registraties op papier waarvan de bewaartermijn is verstreken, verwijderen (schapruimte
vrijmaken);
c) toepassingen, systemen, databases of omgevingen buiten gebruik stellen;
d) batchprocessen en -schema's optimaliseren;
e) toepassingscode of databasevragen optimaliseren;
f) de bandbreedte voor diensten die veel energie verbruiken, weigeren of beperken als deze niet van
overwegend belang zijn (bijvideostreaming).
Voor systemen die belangrijk zijn voor de missie, behoort voor de capaciteit een gedocumenteerd beheersplan te worden overwogen.
**Overige informatie**
Meer informatie over de elasticiteit en schaalbaarheid van cloudcomputing is te vinden in ISO/IEC TS 23167.

95
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.7_BT Bescherming tegen malware.md Normal file
View file

@ -0,0 +1,95 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+---------------------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+=======================================+====================================================+======================+================================================================+=====================+
| #Preventief #Detectief #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatiebe- scherming | #Bescherming |
| | | | | |
| | | #Detecteren | | #Verdediging |
+---------------------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
**Beheersmaatregel**
Bescherming tegen malware behoort te worden geïmplementeerd en ondersteund door een passend gebruikersbewustzijn
**Doel**
Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen beschermd zijn tegen malware.
**Richtlijn**
Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te
worden overwogen:
a) regels en beheersmaatregelen implementeren die het gebruik van niet-geautoriseerde software
voorkomen of detecteren [bijven lijst maken van toegestane toepassingen ('allowlisting')] (zie
8 en 8);
b) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige
websites voorkomen of detecteren (bijven blokkeerlijst opstellen ('blocklisting'));
c) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware [bijvia beheer
van technische kwetsbaarheden (zie 8en 8)];
d) regelmatig geautomatiseerde validatie uitvoeren van de software en gegevensinhoud van systemen, met name voor systemen die kritische bedrijfsprocessen ondersteunen; de aanwezigheid van niet- goedgekeurde bestanden of ongeautoriseerde wijzigingen onderzoeken;
e) beschermende maatregelen vaststellen tegen de risico\'s die verbonden zijn met het verkrijgen van
bestanden en software van of via externe netwerken of op een ander medium;
f) software voor het detecteren en herstellen van malware installeren en regelmatig bijwerken om computers en elektronische opslagmedia te scannen; reguliere scans uitvoeren die het volgende omvatten:
1) alle gegevens die via netwerken of via welke vorm van elektronische opslagmedia dan ook
worden ontvangen, vóór gebruik op malware scannen;
2) bijlagen bij e-mail en instantmessagingsystemen en downloads voorafgaand aan gebruik op malware scanneneze scan op verschillende plekken (bijvp mailservers, pc\'s) en bij binnenkomst in het netwerk van de organisatie uitvoeren;
3) webpagina\'s op malware scannen wanneer er toegang toe wordt gemaakt;
g) de plaatsing en configuratie van hulpmiddelen voor het detecteren van malware en het herstel naar aanleiding daarvan vaststellen, op basis van de resultaten van de risicobeoordeling en rekening houdend met:
1) principes voor 'defence in depth' waar deze het doeltreffendst zouden zijnit kan bijvoorbeeld leiden tot de detectie van malware in een netwerkgateway (in verschillende toepassingsprotocollen zoals e-mail, bestandsoverdracht en internet) en in 'endpoint devices' van gebruikers en servers;
2) de ontwijkingstechnieken van aanvallers (bijvet gebruik van versleutelde bestanden) om
malware af te leveren of het gebruik van versleutelingsprotocollen om malware te verzenden;
h) ervoor zorgen dat er bescherming is tegen het introduceren van malware tijdens onderhouds- en
noodprocedures, die de normale beheersmaatregelen tegen malware kan omzeilen;
i) een proces implementeren om tijdelijk of permanent autorisatie te verlenen om bepaalde of alle maatregelen tegen malware uit te schakelen, waaronder bevoegdheden om in uitzonderingsgevallen goedkeuring te verlenen, gedocumenteerde onderbouwing en de beoordelingsdatumit kan nodig zijn wanneer de bescherming tegen malware een verstoring van de normale bedrijfsvoering veroorzaakt;
j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8);
k) omgevingen isoleren waar zich catastrofale gevolgen kunnen voordoen;
l) procedures en verantwoordelijkheden vaststellen voor hoe om te gaan met bescherming tegen malware op systemen, met inbegrip van training in het gebruik ervan, het melden en herstellen van malwareaanvallen;
m)alle gebruikers bewustmaken of trainen (zie 6 hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven];
n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals
abonnementen nemen op mailinglijsten of relevante websites bekijken;
o) verifiëren dat informatie met betrekking tot malware, zoals waarschuwingsbulletins, afkomstig is van gekwalificeerde en gerenommeerde bronnen (bijvetrouwbare internetsites of leveranciers van malwaredetectiesoftware), juist is en informatie biedt.
**Overige informatie**
Het is niet altijd mogelijk om op bepaalde systemen (bijvepaalde industriële besturingssystemen) software te installeren die tegen malware beschermtepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken.

164
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden.md Normal file
View file

@ -0,0 +1,164 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+================================================+=============================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van\_ dreigingen_en\_ kwetsbaarheden | #Governance_en_Ecosysteem |
| | | | | |
| | | #Beschermen | | #Bescherming |
| | | | | |
| | | | | #Verdediging |
+------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+
**Beheersmaatregel**
Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behorende passende maatregelen te worden getroffen.
**Doel**
Misbruik van technische kwetsbaarheden voorkomen.
**Richtlijn**
<u>Technische kwetsbaarheden identificeren</u>
De organisatie behoort te beschikken over een nauwkeurige inventarislijst van bedrijfsmiddelen (zie
5t/m 5) als voorwaarde voor een doeltreffend beheer van technische kwetsbaarheden; in de inventarislijst behoren de leverancier en naam van de software, versienummers, de huidige toepassingsstatus (bijvelke software is geïnstalleerd op welke systemen) en de binnen de organisatie voor de software verantwoordelijke persoon of personen te worden opgenomen.
Om technische kwetsbaarheden te identificeren behoort de organisatie het volgende in aanmerking te nemen:
a) het definiëren en vaststellen van de rollen en verantwoordelijkheden in samenhang met het beheer van technische kwetsbaarheden, met inbegrip van het monitoren van de kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden, updaten, het traceren van bedrijfsmiddelen en de vereiste coördinatieverantwoordelijkheden;
b) voor software en andere technologieën (op basis van de inventarislijst van bedrijfsmiddelen, zie
5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden;
c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5);
d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is;
e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare penetratietests of kwetsbaarheidsbeoordelingen laten uitvoeren ter ondersteuning van het identificeren van kwetsbaarhedenorg betrachten aangezien zulke activiteiten de beveiliging van het systeem in het gedrang kunnen brengen;
f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit
behoort te worden opgenomen in beveiligde codering (zie 8).
De organisatie behoort procedures en capaciteiten te ontwikkelen om:
a) het bestaan te detecteren van kwetsbaarheden in haar producten en diensten, met inbegrip van alle
externe componenten die in deze producten en diensten worden gebruikt;
b) meldingen over kwetsbaarheden van interne of externe bronnen te ontvangen;
De organisatie behoort te voorzien in een openbaar contactpunt als onderdeel van onderwerpspecifiek beleid inzake het bekendmaken van kwetsbaarheden, zodat onderzoekers en anderen in staat zijn problemen te meldene organisatie behoort procedures voor het melden van kwetsbaarheden op te stellen, online meldformulieren in te richten en gebruik te maken van passende fora voor het delen
van informatie en analyses over dreigingen of andere informatiee organisatie behoort ook na te denken over bug bounty-programma's, waarbij beloningen worden aangeboden als stimulans om organisaties te helpen kwetsbaarheden te identificeren om deze naar behoren te verhelpene organisatie behoort ook informatie met bevoegde vertegenwoordigers van het bedrijfsleven of andere belanghebbenden te delen.
<u>Technische kwetsbaarheden evalueren</u>
Om geïdentificeerde technische kwetsbaarheden te evalueren behoren de volgende richtlijnen te worden overwogen:
a) meldingen analyseren en verifiëren om te bepalen welke respons- en herstelmaatregelen nodig zijn;
b) als er een mogelijke technische kwetsbaarheid is geïdentificeerd, de gerelateerde risico\'s en te treffen maatregelen identificerenet bijwerken van kwetsbare systemen of het toepassen van andere beheersmaatregelen kan onderdeel zijn van die maatregelen.
<u>Passende maatregelen treffen om technische kwetsbaarheden op te pakken</u>
Er behoort een beheerprocedure voor het updaten van software te worden geïmplementeerd om te bewerkstelligen dat de meest recente goedgekeurde patches en toepassingsupdates bij alle goedgekeurde software zijn geïnstalleerdndien de veranderingen noodzakelijk zijn, behoort de originele software te worden bewaard en behoren de veranderingen aan een speciaal daarvoor bestemde kopie te worden aangebrachtlle veranderingen behoren volledig te worden getest en gedocumenteerd zodat ze zo nodig opnieuw kunnen worden toegepast bij toekomstige software- upgradesndien vereist behoren de wijzigingen door een onafhankelijke beoordelingsinstantie te worden getest en gevalideerd.
De volgende richtlijnen behoren in overweging te worden genomen om technische kwetsbaarheden aan te pakken:
a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden;
b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5);
c) alleen updates gebruiken die afkomstig zijn van legitieme bronnen (dit kunnen interne bronnen
binnen de organisatie of externe bronnen buiten de organisatie zijn);
d) updates testen en evalueren alvorens ze te installeren om te garanderen dat ze doeltreffend zijn en geen neveneffecten met zich meebrengen die niet kunnen worden getolereerd [dzndien een update beschikbaar is, de risico\'s in verband met het installeren van de update beoordelen (de risico\'s als gevolg van de kwetsbaarheid behoren te worden vergeleken met het risico dat het installeren van de update met zich meebrengt)];
e) systemen met een hoog risico als eerste aanpakken;
f) herstelmaatregelen ontwikkelen (meestal software-updates of patches);
g) testen om te bevestigen dat de herstel- of beperkende maatregel doeltreffend is;
h) voorzien in mechanismen om de authenticiteit van herstelmaatregelen te verifiëren;
i) indien er geen update beschikbaar is of de update niet kan worden geïnstalleerd, andere
beheersmaatregelen overwegen, zoals:
1) een door de softwareleverancier of andere relevante bronnen voorgesteld alternatief toepassen;
2) diensten of capaciteiten in verband met de kwetsbaarheid uitschakelen;
3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van
netwerken (zie 8 t/m 8);
4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende
verkeersfilters toe te passen (soms aangeduid als virtueel patchen);
5) intensiever monitoren om werkelijke aanvallen te detecteren;
6) bewustwording omtrent de kwetsbaarheid kweken;
Voor aangekochte software geldt dat indien de leveranciers regelmatig informatie over beveiligingsupdates voor hun software vrijgeven en een faciliteit bieden om dergelijke updates automatisch te installeren, de organisatie behoort te beslissen of zij al dan niet gebruikmaakt van de automatische update.
<u>Overige overwegingen</u>
Over alle stappen die in het kader van het beheer van technische kwetsbaarheden zijn ondernomen, behoort een auditlogbestand te worden bijgehouden.
Het beheerproces met betrekking tot de technische kwetsbaarheid behoort regelmatig te worden gemonitord en geëvalueerd om de doeltreffendheid en doelmatigheid ervan te waarborgen.
Om gegevens over kwetsbaarheden te communiceren aan de functie die de verantwoordelijkheid heeft te reageren op het incident en om te voorzien in uit te voeren technische procedures indien zich een incident voordoet, behoort een doeltreffend beheerproces met betrekking tot de technische kwetsbaarheid te worden afgestemd op incidentbeheeractiviteiten.
Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddiensten beschikbaar gestelde clouddienst, behoort het beheer van de technische kwetsbaarheden van de middelen van de aanbieder van clouddiensten door deze aanbieder te worden gegarandeerde verantwoordelijk- heden van de aanbieder van de clouddiensten voor het beheer van technische kwetsbaarheden behoort deel uit te maken van de clouddienstverleningsovereenkomst en dit behoort processen te
omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
**Overige informatie**
Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8).
Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren.
Indien het niet mogelijk is de updates in voldoende mate te testen (bijvanwege de kosten of door een gebrek aan middelen), kan worden overwogen het uitvoeren van een update uit te stellen om de samenhangende risico's te evalueren, op basis van de ervaringen die door andere gebruikers worden gemeldet kan nuttig zijn om ISO/IEC 27031 te raadplegen.
Indien er softwarepatches of -updates worden geproduceerd, kan de organisatie overwegen in een geautomatiseerd updateproces te voorzien waarbij deze updates op de betrokken systemen of producten worden geïnstalleerd zonder dat de klant of de gebruiker iets hoeft te doenndien een geautomatiseerd updateproces wordt aangeboden, kan dit de klant of gebruiker een optie bieden om de automatische update uit te schakelen of controle te hebben over het tijdstip waarop de update wordt geïnstalleerd.
Indien de verkoper een geautomatiseerd updateproces aanbiedt en de updates op getroffen systemen of producten kunnen worden geïnstalleerd zonder dat interventie nodig is, bepaalt de organisatie of zij het geautomatiseerde proces al dan niet toepasten reden om niet voor geautomatiseerde updates te kiezen is dat men zelf de controle wil behouden over wanneer de update wordt uitgevoerden update van software die voor een bedrijfsactiviteit wordt gebruikt, kan bijvoorbeeld pas worden uitgevoerd als de activiteit is afgerond.
Een zwak punt van het scannen op kwetsbaarheden is dat het mogelijk is dat daarbij niet volledig rekening wordt gehouden met 'defence in depth': als tegenmaatregelen altijd na elkaar worden ingeroepen, kunnen kwetsbaarheden in de ene tegenmaatregel aan het oog worden onttrokken door sterke punten van de anderee samengestelde tegenmaatregel is niet kwetsbaar, terwijl een instrument dat wordt gebruikt om op kwetsbaarheden te scannen kan melden dat beide componenten kwetsbaar zijne organisatie behoort derhalve zorgvuldig te werk te gaan bij het beoordelen van en het nemen van maatregelen naar aanleiding van gemelde kwetsbaarheden.
Veel organisaties leveren software, systemen, producten en diensten niet alleen binnen de organisatie, maar ook aan belanghebbenden zoals klanten, partners of andere gebruikerseze software, systemen, producten en diensten kunnen gepaard gaan met informatiebeveiligingskwetsbaarheden die van invloed zijn op de veiligheid van gebruikers.
Organisaties kunnen herstelmaatregelen vrijgeven en informatie over kwetsbaarheden bekendmaken aan gebruikers (doorgaans via een openbaar informatiebericht) en passende informatie verstrekken voor databasediensten voor softwarekwetsbaarheden.
Meer informatie over het beheer van technische kwetsbaarheden bij het gebruik van cloudcomputing is te vinden in de ISO/IEC 19086-reeks en ISO/IEC 27017.
ISO/IEC 29147 geeft gedetailleerde informatie over het ontvangen van meldingen van kwetsbaarheden en het publiceren van adviezen met betrekking tot kwetsbaarhedenSO/IEC 30111 geeft gedetailleerde informatie over het omgaan met en oplossen van gemelde kwetsbaarheden.

110
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md Normal file
View file

@ -0,0 +1,110 @@
#iso27002/2022/NL
---
Standard: ISO 27002:2022 NL
---
+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
| | | | | |
| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
| | | | | |
| | **eigenschappen** | | | |
+========================+====================================================+======================+=========================+=====================+
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming |
+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
**Beheersmaatregel**
Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
**Doel**
Garanderen dat hardware, software, diensten en netwerken correct met de vereiste beveiligingsinstellingen functioneren en de configuratie niet door ongeautoriseerde of onjuiste wijzigingen wordt gewijzigd.
**Richtlijn**
<u>Algemeen</u>
De organisatie behoort processen en instrumenten te definiëren en te implementeren om de voor zowel nieuw geïnstalleerde systemen als bestaande operationele systemen gedefinieerde configuraties (met inbegrip van beveiligingsconfiguraties) voor hardware, software, diensten (bijvlouddiensten) en netwerken gedurende de levensduur ervan af te dwingen.
Rollen, verantwoordelijkheden en procedures behoren te worden vastgelegd om afdoende beheersing van alle veranderingen aan configuraties te waarborgen.
<u>Standaardsjablonen</u>
Er behoren standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken te worden gedefinieerd:
a) met behulp van openbaar beschikbare richtlijnen (bijvooraf gedefinieerde sjablonen van
verkopers en van onafhankelijke beveiligingsorganisaties);
b) met inachtneming van het beveiligingsniveau dat nodig is om een afdoende beveiligingsniveau vast
te stellen;
c) die het informatiebeveiligingsbeleid van de organisatie, onderwerpspecifieke beleidsregels,
normen en andere beveiligingseisen van de organisatie ondersteunen;
d) waarbij de haalbaarheid en toepasselijkheid van beveiligingsconfiguraties in de context van de
organisatie in overweging worden genomen.
De sjablonen behoren regelmatig te worden beoordeeld en bijgewerkt wanneer nieuwe dreigingen of kwetsbaarheden moeten worden aangepakt, of wanneer er nieuwe software- of hardwareversies worden geïntroduceerd.
Voor het vaststellen van standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken behoort het volgende in overweging te worden genomen:
a) het aantal identiteiten met toegangsrechten op speciaal of beheerdersniveau minimaliseren;
b) onnodige, ongebruikte of onbeveiligde identiteiten uitschakelen;
c) onnodige functies en diensten uitschakelen of beperken;
d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
e) klokken synchroniseren;
f) de standaard authenticatie-informatie van de leverancier, zoals standaardwachtwoorden onmiddellijk na de installatie wijzigen en andere belangrijke standaardparameters in verband met de beveiliging beoordelen;
g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf vastgestelde
inactiviteitsduur automatisch afmelden;
h) verifiëren dat aan licentie-eisen is voldaan (zie 5).
<u>Configuraties beheren</u>
Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen.
Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten:
a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;
b) de datum van de laatste wijziging van de configuratie;
c) de versie van de configuratiesjabloon;
d) de relatie tot configuraties van andere bedrijfsmiddelen.
<u>Configuraties monitoren</u>
Configuraties behoren te worden gemonitord met een uitgebreide verzameling instrumenten voor systeembeheer (bijvoorbeeld onderhoudssysteemhulpmiddelen, ondersteuning op afstand, instrumenten voor bedrijfsbeheer en back-up- en herstelsoftware) en behoren regelmatig te worden beoordeeld om de configuratie-instellingen te verifiëren, de sterkte van wachtwoorden te evalueren en de uitgevoerde activiteiten te beoordelene daadwerkelijke configuraties kunnen worden vergeleken met de gedefinieerde doelsjablonenventuele afwijkingen behoren te worden aangepakt,
door middel van het automatisch afdwingen van de gedefinieerde doelconfiguratie of door handmatige analyse van de afwijking gevolgd door corrigerende maatregelen.
**Overige informatie**
In documentatie voor systemen worden vaak details vastgelegd over de configuratie van zowel hardware als software.
Systeemhardening is een typisch onderdeel van configuratiebeheer.
Configuratiebeheer kan worden geïntegreerd met processen voor het beheer van bedrijfsmiddelen en de bijbehorende instrumenten.
Automatisering is meestal doeltreffender voor het beheren van de beveiligingsconfiguratie (bijvoor gebruik te maken van infrastructuur als code).
Configuratiesjablonen en -doelen kunnen vertrouwelijke informatie zijn en behoren dienovereenkomstig te worden beschermd tegen toegang door onbevoegden.

218
Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_Index.md
View file

@ -2,113 +2,113 @@
# ISO 27002:2022 NL Index
| 2022 ID | Maatregel | Brontekst | Normaal |
| :------ | :---------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- |
| **3** | **Termen, definities en afgekorte termen** | | |
| 3.1 | Termen en definities | [[ISO_27002_2022_NL_3.1_BT Termen en definities \|BT]] | [[ISO_27002_2022_NL_NN 3.1 Termen en definities \|NN]] |
| 3.2 | Afgekorte termen | [BT](ISO_27002_2022_NL_3.2_BT%20Afgekorte%20termen.md) | [[ISO_27002_2022_NL_NN 3.2 Afgekorte termen \|NN]] |
| **4** | **Structuur van dit document** | _ | |
| 4.1 | Hoofdstukken | [BT](ISO_27002_2022_NL_4.1_BT%20Hoofdstukken.md) | [[ISO_27002_2022_NL_NN 4.1 Hoofdstukken \|NN]] |
| 4.2 | Thema's en attributen | [BT](ISO_27002_2022_NL_4.2_BT%20Thema's%20en%20attributen.md) | [[ISO_27002_2022_NL_NN 4.2 Thema's en attributen \|NN]] |
| 4.3 | Indeling beheersmaatregel | [BT](ISO_27002_2022_NL_4.3_BT%20Indeling%20beheersmaatregel.md) | [[ISO_27002_2022_NL_NN 4.3 Indeling beheersmaatregel \|NN]] |
| **5** | **Organisatorische beheersmaatregelen** | _ | |
| 5.1 | Beleidsregels voor informatiebeveiliging | [BT](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md) | [[ISO_27002_2022_NL_NN 5.1 Beleidsregels voor informatiebeveiliging \|NN]] |
| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | [BT](ISO_27002_2022_NL_5.2_BT%20Rollen%20en%20verantwoordelijkheden%20bij%20informatiebeveiliging.md) | [[ISO_27002_2022_NL_NN 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging \|NN]] |
| 5.3 | Functiescheiding | [BT](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md) | [[ISO_27002_2022_NL_NN 5.3 Functiescheiding \|NN]] |
| 5.4 | Managementverantwoordelijkheden | [BT](ISO_27002_2022_NL_5.4_BT%20Managementverantwoordelijkheden.md) | [[ISO_27002_2022_NL_NN 5.4 Managementverantwoordelijkheden \|NN]] |
| 5.5 | Contact met overheidsinstanties | [BT](ISO_27002_2022_NL_5.5_BT%20Contact%20met%20overheidsinstanties.md) | [[ISO_27002_2022_NL_NN 5.5 Contact met overheidsinstanties \|NN]] |
| 5.6 | Contact met speciale belangengroepen | [BT](ISO_27002_2022_NL_5.6_BT%20Contact%20met%20speciale%20belangengroepen.md) | [[ISO_27002_2022_NL_NN 5.6 Contact met speciale belangengroepen \|NN]] |
| 5.7 | Informatie en analyses over dreigingen | [BT](ISO_27002_2022_NL_5.7_BT%20Informatie%20en%20analyses%20over%20dreigingen.md) | [[ISO_27002_2022_NL_NN 5.7 Informatie en analyses over dreigingen \|NN]] |
| 5.8 | Informatiebeveiliging in projectmanagement | [BT](ISO_27002_2022_NL_5.8_BT%20Informatiebeveiliging%20in%20projectmanagement.md) | [[ISO_27002_2022_NL_NN 5.8 Informatiebeveiliging in projectmanagement \|NN]] |
| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.9_BT%20Inventarisatie%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) | [[ISO_27002_2022_NL_NN 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen \|NN]] |
| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) | [[ISO_27002_2022_NL_NN 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen \|NN]] |
| 5.11 | Retourneren van bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.11_BT%20Retourneren%20van%20bedrijfsmiddelen.md) | [[ISO_27002_2022_NL_NN 5.11 Retourneren van bedrijfsmiddelen \|NN]] |
| 5.12 | Classificeren van informatie | [BT](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md) | [[ISO_27002_2022_NL_NN 5.12 Classificeren van informatie \|NN]] |
| 5.13 | Labelen van informatie | [BT](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md) | [[ISO_27002_2022_NL_NN 5.13 Labelen van informatie \|NN]] |
| 5.14 | Overdragen van informatie | [BT](ISO_27002_2022_NL_5.14_BT%20Overdragen%20van%20informatie.md) | [[ISO_27002_2022_NL_NN 5.14 Overdragen van informatie \|NN]] |
| 5.15 | Toegangsbeveiliging | [BT](ISO_27002_2022_NL_5.15_BT%20Toegangsbeveiliging.md) | [[ISO_27002_2022_NL_NN 5.15 Toegangsbeveiliging \|NN]] |
| 5.16 | Identiteitsbeheer | [BT](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md) | [[ISO_27002_2022_NL_NN 5.16 Identiteitsbeheer \|NN]] |
| 5.17 | Beheren van authenticatie-informatie | [BT](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md) | [[ISO_27002_2022_NL_NN 5.17 Beheren van authenticatie-informatie \|NN]] |
| 5.18 | Toegangsrechten | [BT](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md) | [[ISO_27002_2022_NL_NN 5.18 Toegangsrechten \|NN]] |
| 5.19 | Informatiebeveiliging in leveranciersrelaties | [BT](ISO_27002_2022_NL_5.19_BT%20Informatiebeveiliging%20in%20leveranciersrelaties.md) | [[ISO_27002_2022_NL_NN 5.19 Informatiebeveiliging in leveranciersrelaties \|NN]] |
| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | [BT](ISO_27002_2022_NL_5.20_BT%20Adresseren%20van%20informatiebeveiliging%20in%20leveranciersovereenkomsten.md) | [[ISO_27002_2022_NL_NN 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten \|NN]] |
| 5.21 | Beheren van informatiebeveiliging in de ICT-keten | [BT](ISO_27002_2022_NL_5.21_BT%20Beheren%20van%20informatiebeveiliging%20in%20de%20ICT-keten.md) | [[ISO_27002_2022_NL_NN 5.21 Beheren van informatiebeveiliging in de ICT-keten \|NN]] |
| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | [BT](ISO_27002_2022_NL_5.22_BT%20Monitoren,%20beoordelen%20en%20het%20beheren%20van%20wijzigingen%20van%20leveranciersdiensten.md) | [[ISO_27002_2022_NL_NN 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten \|NN]] |
| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | [BT](ISO_27002_2022_NL_5.23_BT%20Informatiebeveiliging%20voor%20het%20gebruik%20van%20clouddiensten.md) | [[ISO_27002_2022_NL_NN 5.23 Informatiebeveiliging voor het gebruik van clouddiensten \|NN]] |
| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten \|NN]] |
| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | [[ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen \|BT]] | [[ISO_27002_2022_NL_NN 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen \|NN]] |
| 5.26 | Reageren op informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.26 Reageren op informatiebeveiligingsincidenten \|NN]] |
| 5.27 | Leren van informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.27 Leren van informatiebeveiligingsincidenten \|NN]] |
| 5.28 | Verzamelen van bewijsmateriaal | [[ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal \|BT]] | [[ISO_27002_2022_NL_NN 5.28 Verzamelen van bewijsmateriaal \|NN]] |
| 5.29 | Informatiebeveiliging tijdens een verstoring | [[ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring \|BT]] | [[ISO_27002_2022_NL_NN 5.29 Informatiebeveiliging tijdens een verstoring \|NN]] |
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | [BT](ISO_27002_2022_NL_5.30_BT%20ICT-gereedheid%20voor%20bedrijfscontinuïteit.md) | [[ISO_27002_2022_NL_NN 5.30 ICT-gereedheid voor bedrijfscontinuïteit \|NN]] |
| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | [[ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen \|BT]] | [[ISO_27002_2022_NL_NN 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen \|NN]] |
| 5.32 | Intellectuele-eigendomsrechten | [[ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten \|BT]] | [[ISO_27002_2022_NL_NN 5.32 Intellectuele-eigendomsrechten \|NN]] |
| 5.33 | Beschermen van registraties | [[ISO_27002_2022_NL_5.33_BT Beschermen van registraties \|BT]] | [[ISO_27002_2022_NL_NN 5.33 Beschermen van registraties \|NN]] |
| 5.34 | Privacy en bescherming van persoonsgegevens | [[ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens \|BT]] | [[ISO_27002_2022_NL_NN 5.34 Privacy en bescherming van persoonsgegevens \|NN]] |
| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | [[ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.35 Onafhankelijke beoordeling van informatiebeveiliging \|NN]] |
| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | [[ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging \|NN]] |
| 5.37 | Gedocumenteerde bedieningsprocedures | [[ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures \|BT]] | [[ISO_27002_2022_NL_NN 5.37 Gedocumenteerde bedieningsprocedures \|NN]] |
| | | | |
| **6** | **Mensgerichte beheersmaatregelen** | | |
| 6.1 | Screening | [[ISO_27002_2022_NL_6.1_BT Screening \|BT]] | [[ISO_27002_2022_NL_NN 6.1 Screening \|NN]] |
| 6.2 | Arbeidsovereenkomst | [[ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst \|BT]] | [[ISO_27002_2022_NL_NN 6.2 Arbeidsovereenkomst \|NN]] |
| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | [[ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 6.3 Bewustwording van, opleiding en training in informatiebeveiliging \|NN]] |
| 6.4 | Disciplinaire procedure | [[ISO_27002_2022_NL_6.4_BT Disciplinaire procedure \|BT]] | [[ISO_27002_2022_NL_NN 6.4 Disciplinaire procedure \|NN]] |
| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | [[ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband \|BT]] | [[ISO_27002_2022_NL_NN 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband \|NN]] |
| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | [[ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten \|BT]] | [[ISO_27002_2022_NL_NN 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten \|NN]] |
| 6.7 | Werken op afstand | [[ISO_27002_2022_NL_6.7_BT Werken op afstand \|BT]] | [[ISO_27002_2022_NL_NN 6.7 Werken op afstand \|NN]] |
| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | [[ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen \|BT]] | [[ISO_27002_2022_NL_NN 6.8 Melden van informatiebeveiligingsgebeurtenissen \|NN]] |
| | | | |
| **7** | **Fysieke beheersmaatregelen** | | |
| 7.1 | Fysieke beveiligingszones | [[ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones \|BT]] | [[ISO_27002_2022_NL_NN 7.1 Fysieke beveiligingszones \|NN]] |
| 7.2 | Fysieke toegangsbeveiliging | [[ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 7.2 Fysieke toegangsbeveiliging \|NN]] |
| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | [[ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten \|BT]] | [[ISO_27002_2022_NL_NN 7.3 Beveiligen van kantoren, ruimten en faciliteiten \|NN]] |
| 7.4 | Monitoren van de fysieke beveiliging | [[ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging \|BT]] | [[ISO_27002_2022_NL_NN 7.4 Monitoren van de fysieke beveiliging \|NN]] |
| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | [[ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen \|BT]] | [[ISO_27002_2022_NL_NN 7.5 Beschermen tegen fysieke en omgevingsdreigingen \|NN]] |
| 7.6 | Werken in beveiligde zones | [[ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones \|BT]] | [[ISO_27002_2022_NL_NN 7.6 Werken in beveiligde zones \|NN]] |
| 7.7 | Clear desk en clear screen | [[ISO_27002_2022_NL_7.7_BT Clear desk en clear screen \|BT]] | [[ISO_27002_2022_NL_NN 7.7 Clear desk en clear screen \|NN]] |
| 7.8 | Plaatsen en beschermen van apparatuur | [[ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.8 Plaatsen en beschermen van apparatuur \|NN]] |
| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | [[ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein \|BT]] | [[ISO_27002_2022_NL_NN 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein \|NN]] |
| 7.10 | Opslagmedia | [[ISO_27002_2022_NL_7.10_BT Opslagmedia \|BT]] | [[ISO_27002_2022_NL_NN 7.10 Opslagmedia \|NN]] |
| 7.11 | Nutsvoorzieningen | [[ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen \|BT]] | [[ISO_27002_2022_NL_NN 7.11 Nutsvoorzieningen \|NN]] |
| 7.12 | Beveiligen van bekabeling | [[ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling \|BT]] | [[ISO_27002_2022_NL_NN 7.12 Beveiligen van bekabeling \|NN]] |
| 7.13 | Onderhoud van apparatuur | [[ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.13 Onderhoud van apparatuur \|NN]] |
| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | [[ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.14 Veilig verwijderen of hergebruiken van apparatuur \|NN]] |
| | | | |
| **8** | **Technologische beheersmaatregelen** | | |
| 8.1 | User endpoint devices | [[ISO_27002_2022_NL_8.1_BT User endpoint devices \|BT]] | [[ISO_27002_2022_NL_NN 8.1 User endpoint devices \|NN]] |
| 8.2 | Speciale toegangsrechten | [[ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten \|BT]] | [[ISO_27002_2022_NL_NN 8.2 Speciale toegangsrechten \|NN]] |
| 8.3 | Beperking toegang tot informatie | [[ISO_27002_2022_NL_8.3_BT Beperking toegang tot informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.3 Beperking toegang tot informatie \|NN]] |
| 8.4 | Toegangsbeveiliging op broncode | [[ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode \|BT]] | [[ISO_27002_2022_NL_NN 8.4 Toegangsbeveiliging op broncode \|NN]] |
| 8.5 | Beveiligde authenticatie | [[ISO_27002_2022_NL_8.5_BT Beveiligde authenticatie \|BT]] | [[ISO_27002_2022_NL_NN 8.5 Beveiligde authenticatie \|NN]] |
| 8.6 | Capaciteitsbeheer | [[ISO_27002_2022_NL_8.6_BT Capaciteitsbeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.6 Capaciteitsbeheer \|NN]] |
| 8.7 | Bescherming tegen malware | [[ISO_27002_2022_NL_8.7_BT Bescherming tegen malware \|BT]] | [[ISO_27002_2022_NL_NN 8.7 Bescherming tegen malware \|NN]] |
| 8.8 | Beheer van technische kwetsbaarheden | [[ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden \|BT]] | [[ISO_27002_2022_NL_NN 8.8 Beheer van technische kwetsbaarheden \|NN]] |
| 8.9 | Configuratiebeheer | [[ISO_27002_2022_NL_8.9_BT Configuratiebeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.9 Configuratiebeheer \|NN]] |
| 8.10 | Wissen van informatie | [[ISO_27002_2022_NL_8.10_BT Wissen van informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.10 Wissen van informatie \|NN]] |
| 8.11 | Maskeren van gegevens | [[ISO_27002_2022_NL_8.11_BT Maskeren van gegevens \|BT]] | [[ISO_27002_2022_NL_NN 8.11 Maskeren van gegevens \|NN]] |
| 8.12 | Voorkomen van gegevenslekken (Data leakage prevention) | [[ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention) \|BT]] | [[ISO_27002_2022_NL_NN 8.12 Voorkomen van gegevenslekken (Data leakage prevention) \|NN]] |
| 8.13 | Back-up van informatie | [[ISO_27002_2022_NL_8.13_BT Back-up van informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.13 Back-up van informatie \|NN]] |
| 8.14 | Redundantie van informatieverwerkende faciliteiten | [[ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten \|BT]] | [[ISO_27002_2022_NL_NN 8.14 Redundantie van informatieverwerkende faciliteiten \|NN]] |
| 8.15 | Logging | [[ISO_27002_2022_NL_8.15_BT Logging \|BT]] | [[ISO_27002_2022_NL_NN 8.15 Logging \|NN]] |
| 8.16 | Monitoren van activiteiten | [[ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten \|BT]] | [[ISO_27002_2022_NL_NN 8.16 Monitoren van activiteiten \|NN]] |
| 8.17 | Kloksynchronisatie | [[ISO_27002_2022_NL_8.17_BT Kloksynchronisatie \|BT]] | [[ISO_27002_2022_NL_NN 8.17 Kloksynchronisatie \|NN]] |
| 8.18 | Gebruik van speciale systeemhulpmiddelen | [[ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen \|BT]] | [[ISO_27002_2022_NL_NN 8.18 Gebruik van speciale systeemhulpmiddelen \|NN]] |
| 8.19 | Installeren van software op operationele systemen | [[ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen \|BT]] | [[ISO_27002_2022_NL_NN 8.19 Installeren van software op operationele systemen \|NN]] |
| 8.20 | Beveiliging netwerkcomponenten | [[ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten \|BT]] | [[ISO_27002_2022_NL_NN 8.20 Beveiliging netwerkcomponenten \|NN]] |
| 8.21 | Beveiliging van netwerkdiensten | [[ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten \|BT]] | [[ISO_27002_2022_NL_NN 8.21 Beveiliging van netwerkdiensten \|NN]] |
| 8.22 | Netwerksegmentatie | [[ISO_27002_2022_NL_8.22_BT Netwerksegmentatie \|BT]] | [[ISO_27002_2022_NL_NN 8.22 Netwerksegmentatie \|NN]] |
| 8.23 | Toepassen van webfilters | [[ISO_27002_2022_NL_8.23_BT Toepassen van webfilters \|BT]] | [[ISO_27002_2022_NL_NN 8.23 Toepassen van webfilters \|NN]] |
| 8.24 | Gebruik van cryptografie | [BT](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md) | [[ISO_27002_2022_NL_NN 8.24 Gebruik van cryptografie \|NN]] |
| 8.25 | Beveiligen tijdens de ontwikkelcyclus | [[ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus \|BT]] | [[ISO_27002_2022_NL_NN 8.25 Beveiligen tijdens de ontwikkelcyclus \|NN]] |
| 8.26 | Toepassingsbeveiligingseisen | [[ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen \|BT]] | [[ISO_27002_2022_NL_NN 8.26 Toepassingsbeveiligingseisen \|NN]] |
| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | [[ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten \|BT]] | [[ISO_27002_2022_NL_NN 8.27 Veilige systeemarchitectuur en technische uitgangspunten \|NN]] |
| 8.28 | Veilig coderen | [BT](ISO_27002_2022_NL_8.28_BT%20Veilig%20coderen.md) | [[ISO_27002_2022_NL_NN 8.28 Veilig coderen \|NN]] |
| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | [[ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie \|BT]] | [[ISO_27002_2022_NL_NN 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie \|NN]] |
| 8.30 | Uitbestede systeemontwikkeling | [[ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling \|BT]] | [[ISO_27002_2022_NL_NN 8.30 Uitbestede systeemontwikkeling \|NN]] |
| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | [[ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen \|BT]] | [[ISO_27002_2022_NL_NN 8.31 Scheiding van ontwikkel-, test- en productieomgevingen \|NN]] |
| 8.32 | Wijzigingsbeheer | [BT](ISO_27002_2022_NL_8.32_BT%20Wijzigingsbeheer.md) | [[ISO_27002_2022_NL_NN 8.32 Wijzigingsbeheer \|NN]] |
| 8.33 | Testgegevens | [[ISO_27002_2022_NL_8.33_BT Testgegevens \|BT]] | [[ISO_27002_2022_NL_NN 8.33 Testgegevens \|NN]] |
| 8.34 | Bescherming van informatiesystemen tijdens audits | [[ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits \|BT]] | [[ISO_27002_2022_NL_NN 8.34 Bescherming van informatiesystemen tijdens audits \|NN]] |
| 2022 ID | Maatregel | Brontekst |
| :------ | :---------------------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------- |
| **3** | **Termen, definities en afgekorte termen** | |
| 3.1 | Termen en definities | [BT](ISO_27002_2022_NL_3.1_BT%20Termen%20en%20definities.md) |
| 3.2 | Afgekorte termen | [BT](ISO_27002_2022_NL_3.2_BT%20Afgekorte%20termen.md) |
| **4** | **Structuur van dit document** | _ |
| 4.1 | Hoofdstukken | [BT](ISO_27002_2022_NL_4.1_BT%20Hoofdstukken.md) |
| 4.2 | Thema's en attributen | [BT](ISO_27002_2022_NL_4.2_BT%20Thema's%20en%20attributen.md) |
| 4.3 | Indeling beheersmaatregel | [BT](ISO_27002_2022_NL_4.3_BT%20Indeling%20beheersmaatregel.md) |
| **5** | **Organisatorische beheersmaatregelen** | _ |
| 5.1 | Beleidsregels voor informatiebeveiliging | [BT](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md) |
| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | [BT](ISO_27002_2022_NL_5.2_BT%20Rollen%20en%20verantwoordelijkheden%20bij%20informatiebeveiliging.md) |
| 5.3 | Functiescheiding | [BT](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md) |
| 5.4 | Managementverantwoordelijkheden | [BT](ISO_27002_2022_NL_5.4_BT%20Managementverantwoordelijkheden.md) |
| 5.5 | Contact met overheidsinstanties | [BT](ISO_27002_2022_NL_5.5_BT%20Contact%20met%20overheidsinstanties.md) |
| 5.6 | Contact met speciale belangengroepen | [BT](ISO_27002_2022_NL_5.6_BT%20Contact%20met%20speciale%20belangengroepen.md) |
| 5.7 | Informatie en analyses over dreigingen | [BT](ISO_27002_2022_NL_5.7_BT%20Informatie%20en%20analyses%20over%20dreigingen.md) |
| 5.8 | Informatiebeveiliging in projectmanagement | [BT](ISO_27002_2022_NL_5.8_BT%20Informatiebeveiliging%20in%20projectmanagement.md) |
| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.9_BT%20Inventarisatie%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) |
| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) |
| 5.11 | Retourneren van bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.11_BT%20Retourneren%20van%20bedrijfsmiddelen.md) |
| 5.12 | Classificeren van informatie | [BT](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md) |
| 5.13 | Labelen van informatie | [BT](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md) |
| 5.14 | Overdragen van informatie | [BT](ISO_27002_2022_NL_5.14_BT%20Overdragen%20van%20informatie.md) |
| 5.15 | Toegangsbeveiliging | [BT](ISO_27002_2022_NL_5.15_BT%20Toegangsbeveiliging.md) |
| 5.16 | Identiteitsbeheer | [BT](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md) |
| 5.17 | Beheren van authenticatie-informatie | [BT](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md) |
| 5.18 | Toegangsrechten | [BT](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md) |
| 5.19 | Informatiebeveiliging in leveranciersrelaties | [BT](ISO_27002_2022_NL_5.19_BT%20Informatiebeveiliging%20in%20leveranciersrelaties.md) |
| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | [BT](ISO_27002_2022_NL_5.20_BT%20Adresseren%20van%20informatiebeveiliging%20in%20leveranciersovereenkomsten.md) |
| 5.21 | Beheren van informatiebeveiliging in de ICT-keten | [BT](ISO_27002_2022_NL_5.21_BT%20Beheren%20van%20informatiebeveiliging%20in%20de%20ICT-keten.md) |
| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | [BT](ISO_27002_2022_NL_5.22_BT%20Monitoren,%20beoordelen%20en%20het%20beheren%20van%20wijzigingen%20van%20leveranciersdiensten.md) |
| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | [BT](ISO_27002_2022_NL_5.23_BT%20Informatiebeveiliging%20voor%20het%20gebruik%20van%20clouddiensten.md) |
| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten | [BT](ISO_27002_2022_NL_5.24_BT%20Plannen%20en%20voorbereiden%20van%20het%20beheer%20van%20informatiebeveiligingsincidenten.md) |
| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | [BT](ISO_27002_2022_NL_5.25_BT%20Beoordelen%20van%20en%20besluiten%20over%20informatiebeveiligingsgebeurtenissen.md) |
| 5.26 | Reageren op informatiebeveiligingsincidenten | [BT](ISO_27002_2022_NL_5.26_BT%20Reageren%20op%20informatiebeveiligingsincidenten.md) |
| 5.27 | Leren van informatiebeveiligingsincidenten | [BT](ISO_27002_2022_NL_5.27_BT%20Leren%20van%20informatiebeveiligingsincidenten.md) |
| 5.28 | Verzamelen van bewijsmateriaal | [BT](ISO_27002_2022_NL_5.28_BT%20Verzamelen%20van%20bewijsmateriaal.md) |
| 5.29 | Informatiebeveiliging tijdens een verstoring | [BT](ISO_27002_2022_NL_5.29_BT%20Informatiebeveiliging%20tijdens%20een%20verstoring.md) |
| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | [BT](ISO_27002_2022_NL_5.30_BT%20ICT-gereedheid%20voor%20bedrijfscontinuïteit.md) |
| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | [BT](ISO_27002_2022_NL_5.31_BT%20Wettelijke,%20statutaire,%20regelgevende%20en%20contractuele%20eisen.md) |
| 5.32 | Intellectuele-eigendomsrechten | [BT](ISO_27002_2022_NL_5.32_BT%20Intellectuele-eigendomsrechten.md) |
| 5.33 | Beschermen van registraties | [BT](ISO_27002_2022_NL_5.33_BT%20Beschermen%20van%20registraties.md) |
| 5.34 | Privacy en bescherming van persoonsgegevens | [BT](ISO_27002_2022_NL_5.34_BT%20Privacy%20en%20bescherming%20van%20persoonsgegevens.md) |
| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | [BT](ISO_27002_2022_NL_5.35_BT%20Onafhankelijke%20beoordeling%20van%20informatiebeveiliging.md) |
| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | [BT](ISO_27002_2022_NL_5.36_BT%20Naleving%20van%20beleid,%20regels%20en%20normen%20voor%20informatiebeveiliging.md) |
| 5.37 | Gedocumenteerde bedieningsprocedures | [BT](ISO_27002_2022_NL_5.37_BT%20Gedocumenteerde%20bedieningsprocedures.md) |
| | | |
| **6** | **Mensgerichte beheersmaatregelen** | |
| 6.1 | Screening | [BT](ISO_27002_2022_NL_6.1_BT%20Screening.md) |
| 6.2 | Arbeidsovereenkomst | [BT](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md) |
| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | [BT](ISO_27002_2022_NL_6.3_BT%20Bewustwording%20van,%20opleiding%20en%20training%20in%20informatiebeveiliging.md) |
| 6.4 | Disciplinaire procedure | [BT](ISO_27002_2022_NL_6.4_BT%20Disciplinaire%20procedure.md) |
| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | [BT](ISO_27002_2022_NL_6.5_BT%20Verantwoordelijkheden%20na%20be%C3%ABindiging%20of%20wijziging%20van%20het%20dienstverband.md) |
| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | [BT](ISO_27002_2022_NL_6.6_BT%20Vertrouwelijkheids-%20of%20geheimhoudingsovereenkomsten.md) |
| 6.7 | Werken op afstand | [BT](ISO_27002_2022_NL_6.7_BT%20Werken%20op%20afstand.md) |
| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | [BT](ISO_27002_2022_NL_6.8_BT%20Melden%20van%20informatiebeveiligingsgebeurtenissen.md) |
| | | |
| **7** | **Fysieke beheersmaatregelen** | |
| 7.1 | Fysieke beveiligingszones | [BT](ISO_27002_2022_NL_7.1_BT%20Fysieke%20beveiligingszones.md) |
| 7.2 | Fysieke toegangsbeveiliging | [BT](ISO_27002_2022_NL_7.2_BT%20Fysieke%20toegangsbeveiliging.md) |
| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | [BT](ISO_27002_2022_NL_7.3_BT%20Beveiligen%20van%20kantoren,%20ruimten%20en%20faciliteiten.md) |
| 7.4 | Monitoren van de fysieke beveiliging | [BT](ISO_27002_2022_NL_7.4_BT%20Monitoren%20van%20de%20fysieke%20beveiliging.md) |
| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | [BT](ISO_27002_2022_NL_7.5_BT%20Beschermen%20tegen%20fysieke%20en%20omgevingsdreigingen.md) |
| 7.6 | Werken in beveiligde zones | [BT](ISO_27002_2022_NL_7.6_BT%20Werken%20in%20beveiligde%20zones.md) |
| 7.7 | Clear desk en clear screen | [BT](ISO_27002_2022_NL_7.7_BT%20'Clear%20desk'%20en%20'clear%20screen'.md) |
| 7.8 | Plaatsen en beschermen van apparatuur | [BT](ISO_27002_2022_NL_7.8_BT%20Plaatsen%20en%20beschermen%20van%20apparatuur.md) |
| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | [BT](ISO_27002_2022_NL_7.9_BT%20Beveiligen%20van%20bedrijfsmiddelen%20buiten%20het%20terrein.md) |
| 7.10 | Opslagmedia | [BT](ISO_27002_2022_NL_7.10_BT%20Opslagmedia.md) |
| 7.11 | Nutsvoorzieningen | [BT](ISO_27002_2022_NL_7.11_BT%20Nutsvoorzieningen.md) |
| 7.12 | Beveiligen van bekabeling | [BT](ISO_27002_2022_NL_7.12_BT%20Beveiligen%20van%20bekabeling.md) |
| 7.13 | Onderhoud van apparatuur | [BT](ISO_27002_2022_NL_7.13_BT%20Onderhoud%20van%20apparatuur.md) |
| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | [BT](ISO_27002_2022_NL_7.14_BT%20Veilig%20verwijderen%20of%20hergebruiken%20van%20apparatuur.md) |
| | | |
| **8** | **Technologische beheersmaatregelen** | |
| 8.1 | User endpoint devices | [BT](ISO_27002_2022_NL_8.1_BT%20'User%20endpoint%20devices'.md) |
| 8.2 | Speciale toegangsrechten | [BT](ISO_27002_2022_NL_8.2_BT%20Speciale%20toegangsrechten.md) |
| 8.3 | Beperking toegang tot informatie | [BT](ISO_27002_2022_NL_8.3_BT%20Beperking%20toegang%20tot%20informatie.md) |
| 8.4 | Toegangsbeveiliging op broncode | [BT](ISO_27002_2022_NL_8.4_BT%20Toegangsbeveiliging%20op%20broncode.md) |
| 8.5 | Beveiligde authenticatie | [BT](ISO_27002_2022_NL_8.5_BT%20Beveiligde%20authenticatie.md) |
| 8.6 | Capaciteitsbeheer | [BT](ISO_27002_2022_NL_8.6_BT%20Capaciteitsbeheer.md) |
| 8.7 | Bescherming tegen malware | [BT](ISO_27002_2022_NL_8.7_BT%20Bescherming%20tegen%20malware.md) |
| 8.8 | Beheer van technische kwetsbaarheden | [BT](ISO_27002_2022_NL_8.8_BT%20Beheer%20van%20technische%20kwetsbaarheden.md) |
| 8.9 | Configuratiebeheer | [BT](ISO_27002_2022_NL_8.9_BT%20Configuratiebeheer.md) |
| 8.10 | Wissen van informatie | [BT](ISO_27002_2022_NL_8.10_BT%20Wissen%20van%20informatie.md) |
| 8.11 | Maskeren van gegevens | [BT](ISO_27002_2022_NL_8.11_BT%20Maskeren%20van%20gegevens.md) |
| 8.12 | Voorkomen van gegevenslekken (Data leakage prevention) | [BT](ISO_27002_2022_NL_8.12_BT%20Voorkomen%20van%20gegevenslekken%20%28Data%20leakage%20prevention%29.md) |
| 8.13 | Back-up van informatie | [BT](ISO_27002_2022_NL_8.13_BT%20Back-up%20van%20informatie.md) |
| 8.14 | Redundantie van informatieverwerkende faciliteiten | [BT](ISO_27002_2022_NL_8.14_BT%20Redundantie%20van%20informatieverwerkende%20faciliteiten.md) |
| 8.15 | Logging | [BT](ISO_27002_2022_NL_8.15_BT%20Logging.md) |
| 8.16 | Monitoren van activiteiten | [BT](ISO_27002_2022_NL_8.16_BT%20Monitoren%20van%20activiteiten.md) |
| 8.17 | Kloksynchronisatie | [BT](ISO_27002_2022_NL_8.17_BT%20Kloksynchronisatie.md) |
| 8.18 | Gebruik van speciale systeemhulpmiddelen | [BT](ISO_27002_2022_NL_8.18_BT%20Gebruik%20van%20speciale%20systeemhulpmiddelen.md) |
| 8.19 | Installeren van software op operationele systemen | [BT](ISO_27002_2022_NL_8.19_BT%20Installeren%20van%20software%20op%20operationele%20systemen.md) |
| 8.20 | Beveiliging netwerkcomponenten | [BT](ISO_27002_2022_NL_8.20_BT%20Beveiliging%20netwerkcomponenten.md) |
| 8.21 | Beveiliging van netwerkdiensten | [BT](ISO_27002_2022_NL_8.21_BT%20Beveiliging%20van%20netwerkdiensten.md) |
| 8.22 | Netwerksegmentatie | [BT](ISO_27002_2022_NL_8.22_BT%20Netwerksegmentatie.md) |
| 8.23 | Toepassen van webfilters | [BT](ISO_27002_2022_NL_8.23_BT%20Toepassen%20van%20webfilters.md) |
| 8.24 | Gebruik van cryptografie | [BT](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md) |
| 8.25 | Beveiligen tijdens de ontwikkelcyclus | [BT](ISO_27002_2022_NL_8.25_BT%20Beveiligen%20tijdens%20de%20ontwikkelcyclus.md) |
| 8.26 | Toepassingsbeveiligingseisen | [BT](ISO_27002_2022_NL_8.26_BT%20Toepassingsbeveiligingseisen.md) |
| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | [BT](ISO_27002_2022_NL_8.27_BT%20Veilige%20systeemarchitectuur%20en%20technische%20uitgangspunten.md) |
| 8.28 | Veilig coderen | [BT](ISO_27002_2022_NL_8.28_BT%20Veilig%20coderen.md) |
| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | [BT](ISO_27002_2022_NL_8.29_BT%20Testen%20van%20de%20beveiliging%20tijdens%20ontwikkeling%20en%20acceptatie.md) |
| 8.30 | Uitbestede systeemontwikkeling | [BT](ISO_27002_2022_NL_8.30_BT%20Uitbestede%20systeemontwikkeling.md) |
| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | [BT](ISO_27002_2022_NL_8.31_BT%20Scheiding%20van%20ontwikkel-,%20test-%20en%20productieomgevingen.md) |
| 8.32 | Wijzigingsbeheer | [BT](ISO_27002_2022_NL_8.32_BT%20Wijzigingsbeheer.md) |
| 8.33 | Testgegevens | [BT](ISO_27002_2022_NL_8.33_BT%20Testgegevens.md) |
| 8.34 | Bescherming van informatiesystemen tijdens audits | [BT](ISO_27002_2022_NL_8.34_BT%20Bescherming%20van%20informatiesystemen%20tijdens%20audits.md) |

2
Corpus/Standards/MoCs/ISO_27002_2022_8.24_MoC Use of cryptography.md
View file

@ -4,4 +4,4 @@
ISO 27002:2013: 10.1.1, 10.1.2
[Brontekst](../ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)
[Normaal Nederlands](../ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN%20Gebruik%20van%20cryptografie.md)
[Normaal Nederlands](../../../../iso27DIY-gis/reference/Paraphrased/ISO_27002_2022_NL_8.24_NN%20Gebruik%20van%20cryptografie.md)