diff --git a/Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Index.md b/Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Index.md
index 9c1f430..f501f35 100644
--- a/Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Index.md
+++ b/Corpus/Standards/ISO-27001-OST/ISO27001-NL-2023/ISO_27001_2023_NL_Index.md
@@ -2,39 +2,39 @@
Publicatiedatum: augustus 2023
-| 2023 ID | Onderwerp | Brontekst | Normaal |
-| :------ | :------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------ |
-| **0** | **Inleiding** | [BT](ISO27001-2023-NL-0.md) | [[ISO_27001_2023_NL_NN 0 Inzicht in de organisatie en haar context \|NN]] |
-| **1** | **Onderwerp en toepassingsgebied** | [BT](ISO27001-2023-NL-1.md) | [[ISO_27001_2023_NL_NN 1 Onderwerp en toepassingsgebied \|NN]] |
-| **2** | **Normatieve verwijzingen** | [BT](ISO27001-2023-NL-2.md) | [[ISO_27001_2023_NL_NN 2 Normatieve verwijzingen \|NN]] |
-| **3** | **Termen en definities** | [BT](ISO27001-2023-NL-3.md) | [[ISO_27001_2023_NL_NN 3 Termen en definities \|NN]] |
-| **4** | **Context van de organisatie** | | |
-| 4.1 | Inzicht in de organisatie en haar context | [BT](ISO27001-2023-NL-4.1.md) | [[ISO_27001_2023_NL_NN 4.1 Inzicht in de organisatie en haar context \|NN]] |
-| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [BT](ISO27001-2023-NL-4.2.md) | [[ISO_27001_2023_NL_NN 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden \|NN]] |
-| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.3.md) | [[ISO_27001_2023_NL_NN 4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging \|NN]] |
-| 4.4 | Managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.4.md) | [[ISO_27001_2023_NL_NN 4.4 Managementsysteem voor informatiebeveiliging \|NN]] |
-| **5** | **Leiderschap** | | |
-| 5.1 | Leiderschap en betrokkenheid | [BT](ISO27001-2023-NL-5.1.md) | [[ISO_27001_2023_NL_NN 5.1 Leiderschap en betrokkenheid \|NN]] |
-| 5.2 | Beleid | [BT](ISO27001-2023-NL-5.2.md) | [[ISO_27001_2023_NL_NN 5.2 Beleid \|NN]] |
-| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [BT](ISO27001-2023-NL-5.3.md) | [[ISO_27001_2023_NL_NN 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie \|NN]] |
-| **6** | **Planning** | | |
-| 6.1 | Acties om risico's en kansen op te pakken | [BT](ISO27001-2023-NL-6.1.md) | [[ISO_27001_2023_NL_NN 6.1 Acties om risico's en kansen op te pakken \|NN]] |
-| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [BT](ISO27001-2023-NL-6.2.md) | [[ISO_27001_2023_NL_NN 6.2 Informatiebeveiligings[doelstellingen en de planning om ze te bereiken \|NN]] |
-| 6.3 | Planning van wijzigingen | [BT](ISO27001-2023-NL-6.3.md) | [[ISO_27001_2023_NL_NN 6.3 Planning van wijzigingen \|NN]] |
-| **7** | **Ondersteuning** | | |
-| 7.1 | Middelen | [BT](ISO27001-2023-NL-7.1.md) | [[ISO_27001_2023_NL_NN N.N 7.1 Middelen \|NN]] |
-| 7.2 | Competentie | [BT](ISO27001-2023-NL-7.2.md) | [[ISO_27001_2023_NL_NN N.N 7.2 Competentie \|NN]] |
-| 7.3 | Bewustzijn | [BT](ISO27001-2023-NL-7.3.md) | [[ISO_27001_2023_NL_NN N.N 7.3 Bewustzijn \|NN]] |
-| 7.4 | Communicatie | [BT](ISO27001-2023-NL-7.4.md) | [[ISO_27001_2023_NL_NN N.N 7.4 Communicatie \|NN]] |
-| 7.5 | Gedocumenteerde informatie | [BT](ISO27001-2023-NL-7.5.md) | [[ISO_27001_2023_NL_NN N.N 7.5 Gedocumenteerde informatie \|NN]] |
-| **8** | **Uitvoering** | | |
-| 8.1 | Operationele planning en beheersing | [BT](ISO27001-2023-NL-8.1.md) | [[ISO_27001_2023_NL_NN 8.1 Operationele planning en beheersing \|NN]] |
-| 8.2 | Risicobeoordeling van informatiebeveiliging | [BT](ISO27001-2023-NL-8.2.md) | [[ISO_27001_2023_NL_NN 8.2 Risicobeoordeling van informatiebeveiliging \|NN]] |
-| 8.3 | Informatiebeveiligingsrisico's behandelen | [BT](ISO27001-2023-NL-8.3.md) | [[ISO_27001_2023_NL_NN 8.3 Informatiebeveiligingsrisico's behandelen \|NN]] |
-| **9** | **Evaluatie van de prestaties** | | |
-| 9.1 | Monitoren, meten, analyseren en evalueren | [BT](ISO27001-2023-NL-9.1.md) | [[ISO_27001_2023_NL_NN N.N 9.1 Monitoren, meten, analyseren en evalueren \|NN]] |
-| 9.2 | Interne audit | [BT](ISO27001-2023-NL-9.2.md) | [[ISO_27001_2023_NL_NN N.N 9.2 Interne audit \|NN]] |
-| 9.3 | Management review | [BT](ISO27001-2023-NL-9.3.md) | [[ISO_27001_2023_NL_NN N.N 9.3 Management review \|NN]] |
-| **10** | **Verbetering** | | |
-| 10.1 | Continue verbetering | [BT](ISO27001-2023-NL-10.1.md) | [[ISO_27001_2023_NL_NN N.N 10.1 Continue verbetering \|NN]] |
-| 10.2 | Afwijkingen en corrigerende maatregelen | [BT](ISO27001-2023-NL-10.2.md) | [[ISO_27001_2023_NL_NN N.N 10.1 Afwijkingen en corrigerende maatregelen \|NN]] |
\ No newline at end of file
+| 2023 ID | Onderwerp | Brontekst |
+| :------ | :------------------------------------------------------------------------- | :----------------------------- |
+| **0** | **Inleiding** | [BT](ISO27001-2023-NL-0.md) |
+| **1** | **Onderwerp en toepassingsgebied** | [BT](ISO27001-2023-NL-1.md) |
+| **2** | **Normatieve verwijzingen** | [BT](ISO27001-2023-NL-2.md) |
+| **3** | **Termen en definities** | [BT](ISO27001-2023-NL-3.md) |
+| **4** | **Context van de organisatie** | |
+| 4.1 | Inzicht in de organisatie en haar context | [BT](ISO27001-2023-NL-4.1.md) |
+| 4.2 | Inzicht in de behoeften en verwachtingen van belanghebbenden | [BT](ISO27001-2023-NL-4.2.md) |
+| 4.3 | Het toepassingsgebied van het managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.3.md) |
+| 4.4 | Managementsysteem voor informatiebeveiliging | [BT](ISO27001-2023-NL-4.4.md) |
+| **5** | **Leiderschap** | |
+| 5.1 | Leiderschap en betrokkenheid | [BT](ISO27001-2023-NL-5.1.md) |
+| 5.2 | Beleid | [BT](ISO27001-2023-NL-5.2.md) |
+| 5.3 | Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie | [BT](ISO27001-2023-NL-5.3.md) |
+| **6** | **Planning** | |
+| 6.1 | Acties om risico's en kansen op te pakken | [BT](ISO27001-2023-NL-6.1.md) |
+| 6.2 | Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken | [BT](ISO27001-2023-NL-6.2.md) |
+| 6.3 | Planning van wijzigingen | [BT](ISO27001-2023-NL-6.3.md) |
+| **7** | **Ondersteuning** | |
+| 7.1 | Middelen | [BT](ISO27001-2023-NL-7.1.md) |
+| 7.2 | Competentie | [BT](ISO27001-2023-NL-7.2.md) |
+| 7.3 | Bewustzijn | [BT](ISO27001-2023-NL-7.3.md) |
+| 7.4 | Communicatie | [BT](ISO27001-2023-NL-7.4.md) |
+| 7.5 | Gedocumenteerde informatie | [BT](ISO27001-2023-NL-7.5.md) |
+| **8** | **Uitvoering** | |
+| 8.1 | Operationele planning en beheersing | [BT](ISO27001-2023-NL-8.1.md) |
+| 8.2 | Risicobeoordeling van informatiebeveiliging | [BT](ISO27001-2023-NL-8.2.md) |
+| 8.3 | Informatiebeveiligingsrisico's behandelen | [BT](ISO27001-2023-NL-8.3.md) |
+| **9** | **Evaluatie van de prestaties** | |
+| 9.1 | Monitoren, meten, analyseren en evalueren | [BT](ISO27001-2023-NL-9.1.md) |
+| 9.2 | Interne audit | [BT](ISO27001-2023-NL-9.2.md) |
+| 9.3 | Management review | [BT](ISO27001-2023-NL-9.3.md) |
+| **10** | **Verbetering** | |
+| 10.1 | Continue verbetering | [BT](ISO27001-2023-NL-10.1.md) |
+| 10.2 | Afwijkingen en corrigerende maatregelen | [BT](ISO27001-2023-NL-10.2.md) |
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md
new file mode 100644
index 0000000..4d737ed
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO 27002_2022_NL_Compleet.md
@@ -0,0 +1,8962 @@
+# Inhoud
+
+**Voorwoord**
+**Inleiding**
+
+ **Onderwerp en toepassingsgebied\ 11**
+
+ **Normatieve verwijzingen 11**
+
+ **Termen, definities en afgekorte termen \ 11**
+
+3 Termen en definities\ 11
+
+3 Afgekorte termen \ 17
+
+ **Structuur van dit document\ 19**
+
+4 Hoofdstukken \19
+
+4 Thema's en attributen 19
+
+4 Indeling beheersmaatregel 21
+
+
+
+
+**Voorwoord**
+
+ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatieationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van internationale normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkveldenechnische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebbenndere internationale organisaties, zowel overheidsinstanties als ngo's nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden.
+
+De procedures die zijn gebruikt voor het ontwikkelen van dit document en de procedures die zijn bedoeld voor het verdere onderhoud ervan, worden beschreven in de ISO/IEC-richtlijnen, deel 1ierbij wordt met name gewezen op de verschillende goedkeuringscriteria die nodig zijn voor de verschillende soorten documentenit document is opgesteld volgens de redactionele regels die in de ISO/IEC-richtlijnen, deel 2 zijn opgenomen (zie [wwwog/directives](https://wwwog/directives-and-policiesml) of [wwwc/members_experts/refdocs](https://wwwc/members_experts/refdocs)).
+
+Er wordt gewezen op de mogelijkheid dat sommige elementen van dit document onderwerp zijn van patentrechtenSO en IEC zijn niet verantwoordelijk voor identificatie van dergelijke patentrechtenadere informatie over eventuele patentrechten die zijn geïdentificeerd tijdens het ontwikkelen van het document, is te vinden in de inleiding en/of de ISO-lijst met ontvangen patentverklaringen (zie [wwwog/patents](https://wwwog/patents)) of de IEC-lijst met ontvangen patentverklaringen (zie [patentsc](https://patentsc/)).
+
+Eventuele handelsnamen die in dit document worden gebruikt, zijn verstrekt ter informatie voor het gemak van de gebruiker en houden geen aanbeveling in.
+
+Uitleg over de vrijwillige aard van normen, de betekenis van ISO-specifieke termen en uitdrukkingen met betrekking tot conformiteitsbeoordeling, alsmede informatie over hoe ISO voldoet aan de beginselen van de Wereldhandelsorganisatie (WTO) in de Technical Barriers to Trade (TBT), wordt gegeven op: [wwwog/iso/forewordmlhttp://wwwog/iso/forewordml) Voor IEC, zie [wwwc/understanding-standards](https://wwwc/understanding-standards).
+
+Dit document is opgesteld door ISO/IEC JTC 1, *Information technology*, SC 27, *Information security, cybersecurity and privacy protection*.
+
+Deze derde editie herroept en vervangt de tweede editie (ISO/IEC 27002:2013), die technisch is herzieneze editie bevat ook de technische corrigenda ISO/IEC 27002:2013/Cor:2014 en ISO/IEC 27002:2013/Cor:2015),
+
+De belangrijkste wijzigingen zijn als volgt: --- De titel is aangepast.
+
+--- De structuur van het document is gewijzigd, waarbij de beheersmaatregelen met behulp van een
+
+eenvoudige taxonomie en gerelateerde attributen worden gepresenteerd.
+
+--- Sommige beheersmaatregelen zijn samengevoegd, andere gewist en er is een aantal nieuwe beheersmaatregelen geïntroduceerdet volledige overzicht van hoe de beheersmaatregelen met elkaar overeenstemmen, is te vinden in bijlage B.
+
+
+
+
+Deze gecorrigeerde versie van ISO/IEC 27002:2022 bevat de volgende correcties: --- niet-functionerende hyperlinks zijn in het hele document hersteld;
+
+--- in de inleidende tabel in paragraaf 5 en in tabel A(rij 5) is '#Borging_van_informatie- beveiliging' verplaatst van de kolom met de kop 'Beveiligingsdomeinen' naar de kolom met de kop 'Operationele capaciteiten'.
+
+Eventuele feedback of vragen over dit document behoren te worden gericht aan het nationale normalisatie-instituut voor de gebruikeren volledig overzicht van deze instituten is te vinden op [wwwog/membersml](https://wwwog/membersml) en [wwwc/national-committees](https://wwwc/national-committees).
+
+
+
+
+# Inleiding
+
+## 0.1 Achtergrond en context
+
+Dit document is ontworpen voor organisaties van elk type en elke omvanget is bedoeld als referentie voor het vaststellen en implementeren van beheersmaatregelen voor het omgaan met informatiebeveiligingsrisico's in een op ISO/IEC 27001 gebaseerd managementsysteem voor informatiebeveiliging (ISMS)et kan ook worden gebruikt als leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging vaststellen en implementerenovendien is dit document bedoeld voor het ontwikkelen van sector- en organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer die rekening houden met de
+
+specifieke informatiebeveiligingsrisico-omgevingen van die sectoren en organisatiesndere dan de in dit document opgenomen organisatie- of omgevingsspecifieke beheersmaatregelen kunnen aan de hand van een risicobeoordeling worden vastgesteld voor zover dat nodig is.
+
+Organisaties van elk type en elke omvang (met inbegrip van openbare, particuliere, commerciële en non-profitorganisaties) maken, verzamelen, verwerken, bewaren, verzenden en verwijderen informatie in vele vormen, waaronder elektronisch, fysiek en mondeling (bijvia gesprekken en presentaties).
+
+De waarde van informatie is niet beperkt tot het geschreven woord, getallen en figuren: kennis, concepten, ideeën en merken zijn voorbeelden van immateriële vormen van informatien een onderling verbonden wereld verdienen of vereisen informatie en andere gerelateerde bedrijfsmiddelen bescherming tegen diverse natuurlijke, onbedoelde of opzettelijke bronnen van risico.
+
+Informatiebeveiliging wordt bereikt door een passende reeks beheersmaatregelen te implementeren met inbegrip van beleid, regels, processen, procedures, organisatiestructuren en software- en hardwarefunctiesm te bewerkstelligen dat aan de specifieke veiligheids- en bedrijfsdoelstellingen van de organisatie wordt voldaan, behoort de organisatie deze beheersmaatregelen waar nodig te definiëren, implementeren, monitoren, beoordelen en verbeterenen ISMS zoals omschreven in ISO/IEC 27001 benadert de informatiebeveiligingsrisico's van de organisatie holistisch en gecoördineerd met het doel om een allesomvattende reeks beheersmaatregelen voor informatiebeveiliging vast te stellen en te implementeren binnen het algehele kader van een samenhangend managementsysteem.
+
+Veel informatiesystemen, met inbegrip van het beheer en de uitvoering ervan, zijn niet ontworpen rekening houdend met de beveiligingsaspecten in termen van een ISMS zoals gespecificeerd in ISO/IEC 27001 en dit documentet niveau van beveiliging dat kan worden bereikt door alleen technische middelen toe te passen, is beperkt en behoort te worden ondersteund door passende beheeractiviteiten en processen van de organisatieet bepalen van de passende beheersmaatregelen vereist zorgvuldige planning en aandacht voor details waarbij risicobehandeling wordt uitgevoerd.
+
+Een succesvol ISMS vereist de inzet van al het personeel binnen de organisatieok participatie van andere belanghebbenden, zoals aandeelhouders of leveranciers, kan vereist zijnok kan advies van inhoudelijke deskundigen nodig zijn.
+
+Een passend, toereikend en doeltreffend managementsysteem voor informatiebeveiliging biedt het management van de organisatie en andere belanghebbenden de waarborg dat hun informatie en andere gerelateerde bedrijfsmiddelen redelijk beveiligd en beschermd tegen dreigingen en schade worden gehouden, waardoor de organisatie in staat wordt gesteld de kenbaar gemaakte bedrijfsdoelstellingen te bereiken.
+
+## 0.2 Informatiebeveiligingseisen
+
+Het is essentieel dat een organisatie haar informatiebeveiligingseisen vaststeltEr zijn drie belangrijke bronnen voor informatiebeveiligingseisen:
+
+a) de beoordeling van de risico's waar de organisatie aan blootgesteld is, rekening houdend met de algehele bedrijfsstrategie en -doelstellingenen informatiebeveiligingsspecifieke risicobeoordeling kan dit mogelijk maken of ondersteunenit behoort te leiden tot het vaststellen van de beheersmaatregelen die nodig zijn om te bewerkstelligen dat het restrisico voor de organisatie aan haar aanvaardingscriteria voor risico\'s voldoet;
+
+b) de eisen van wet- en regelgeving, statutaire en contractuele eisen waaraan een organisatie en haar belanghebbenden (handelspartners, dienstverleners enzmoeten voldoen, en hun sociaal-culturele omgeving;
+
+c) de reeks van principes, doelstellingen en bedrijfseisen die gelden voor alle stappen van de levenscyclus van informatie die een organisatie heeft ontwikkeld om haar bedrijfsvoering te ondersteunen.
+
+## 0.3 Beheersmaatregelen
+
+Een beheersmaatregel wordt gedefinieerd als een maatregel waarmee risico\'s worden gewijzigd of in stand gehoudenepaalde beheersmaatregelen in dit document zijn beheersmaatregelen waarmee risico\'s worden gewijzigd, terwijl andere beheersmaatregelen risico\'s in stand houdenen informatiebeveiligingsbeleid bijvoorbeeld kan alleen risico\'s in stand houden, terwijl naleving van het informatiebeveiligingsbeleid risico\'s kan wijzigenaarnaast beschrijven sommige beheersmaatregelen dezelfde generieke maatregel in verschillende risicocontextenit document geeft een generieke mix van organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen voor informatiebeveiliging die zijn ontleend aan internationaal erkende \'best practices\'.
+
+## 0.4 Beheersmaatregelen vaststellen
+
+Het vaststellen van beheersmaatregelen is afhankelijk van de beslissingen van de organisatie na een risicobeoordeling, met een duidelijk gedefinieerde reikwijdteeslissingen met betrekking tot geïdentificeerde risico\'s behoren te worden gebaseerd op de criteria voor het accepteren van risico's, de opties voor het behandelen van risico's en de benadering van risicobeheer die door de organisatie wordt toegepasteheersmaatregelen behoren ook met inachtneming van alle relevante nationale en internationale wet- en regelgeving te worden vastgesteldelke beheersmaatregelen worden vastgesteld, hangt ook samen met hoe beheersmaatregelen op elkaar inwerken om diepteverdediging te bewerkstelligen.
+
+De organisatie kan beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halenij het specificeren van dergelijke beheersmaatregelen behoort de organisatie de middelen en investeringen die nodig zijn om een beheersmaatregel te implementeren en uit te voeren af te zetten tegen de bedrijfswaarde die ermee wordt gerealiseerdie ISO/IEC TR 27016 voor richtlijnen over beslissingen over investeren in een ISMS en de economische gevolgen van deze beslissingen in de context van concurrerende eisen voor middelen.
+
+Er behoort een evenwicht te zijn tussen de middelen die worden ingezet voor het implementeren van beheersmaatregelen en de impact die voor het bedrijf het gevolg kan zijn als er zich beveiligingsincidenten voordoen terwijl die beheersmaatregelen ontbrekene resultaten van een risicobeoordeling behoren te dienen als richtlijn en het management te helpen bij het bepalen van de passende actie, de prioriteiten voor het beheer van informatiebeveiligingsrisico's en voor het implementeren van beheersmaatregelen waarvan is vastgesteld dat ze nodig zijn ter bescherming tegen deze risico's.
+
+Een aantal van de beheersmaatregelen in dit document kan worden beschouwd als richtlijn voor informatiebeveiligingsbeheer en als van toepassing op de meeste organisatieseer informatie over het vaststellen van beheersmaatregelen en andere opties voor het behandelen van risico's is te vinden in ISO/IEC 27005.
+
+## 0.5 Organisatiespecifieke richtlijnen ontwikkelen
+
+Dit document kan worden beschouwd als uitgangspunt voor het ontwikkelen van organisatie- specifieke richtlijneniet alle beheersmaatregelen en richtlijnen in dit document kunnen op alle organisaties van toepassing zijnet het oog op de specifieke behoeften van de organisatie en de geïdentificeerde risico\'s kunnen aanvullende beheersmaatregelen en richtlijnen vereist zijn die niet in deze norm zijn opgepaktls er documenten zijn ontwikkeld die aanvullende richtlijnen of beheers- maatregelen bevatten, kan het nuttig zijn kruisverwijzingen op te nemen naar hoofdstukken in dit document voor toekomstige verwijzing.
+
+## 0.6 Levenscyclusoverwegingen
+
+Informatie heeft een levenscyclus, van aanmaken tot vernietiginge waarde van en risico's voor informatie kunnen gedurende de gehele levenscyclus van de informatie variëren (bijvngeoorloofde openbaarmaking of diefstal van de financiële rekeningen van een bedrijf is niet belangrijk nadat deze zijn gepubliceerd, maar integriteit blijft van kritisch belang), en daarom blijft informatiebeveiliging tot op zekere hoogte in alle stadia belangrijk.
+
+Informatiesystemen en andere voor informatiebeveiliging relevante bedrijfsmiddelen hebben levenscycli waarbinnen ze worden gemaakt, gespecificeerd, ontworpen, ontwikkeld, getest, geïmplementeerd, gebruikt, onderhouden en ten slotte buiten bedrijf worden gesteld en verwijderdn elk stadium behoort informatiebeveiliging in aanmerking te worden genomenieuwe systeemontwikkelprojecten en wijzigingen aan bestaande systemen bieden kansen om beveiligings- beheersmaatregelen te verbeteren, rekening houdend met de risico\'s voor de organisatie en uit incidenten getrokken lering.
+
+## 0.7 Gerelateerde internationale normen
+
+Terwijl dit document richtlijnen biedt voor een brede waaier aan beheersmaatregelen voor informatiebeveiliging die in veel verschillende organisaties gangbaar zijn, bieden andere documenten in de ISO/IEC 27000-familie aanvullende eisen of advies met betrekking tot andere aspecten van het algehele proces van informatiebeveiligingsbeheer.
+
+Zie ISO/IEC 27000 voor een algemene inleiding in ISMS en de documentenfamilieSO/IEC 27000 biedt een glossarium dat de meeste in de ISO/IEC 27000-documentenfamilie gebruikte termen definieert, en beschrijft het onderwerp, toepassingsgebied en de doelstellingen voor elk onderdeel van de familie.
+
+Er zijn sectorspecifieke normen met aanvullende beheersmaatregelen die zich op specifieke gebieden richten (bijvSO/IEC 27017 voor clouddiensten, ISO/IEC 27701 voor privacy, ISO/IEC 27019 voor energie, ISO/IEC 27011 voor telecommunicatie-organisaties en ISO 27799 voor de zorg)eze normen zijn opgenomen in de bibliografie en naar sommige ervan wordt verwezen in de onderdelen met richtlijnen en overige informatie in de hoofdstukken 5 t/m 8.
+
+
+
+# 1 Onderwerp en toepassingsgebied
+
+Dit document geeft een referentieverzameling van generieke beheersmaatregelen voor informatiebeveiliging met inbegrip van implementatierichtlijnenit document is ontworpen om te worden gebruikt door organisaties:
+
+a) binnen de context van een managementsysteem voor informatiebeveiliging (ISMS) op basis van
+
+ISO/IEC 27001;
+
+b) om beheersmaatregelen voor informatiebeveiliging op basis van internationaal erkende \'best
+
+practices\' te implementeren;
+
+c) voor het ontwikkelen van organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer.
+
+# 2 Normatieve verwijzingen
+
+In dit document staan geen normatieve verwijzingen.
+
+# 3 Termen, definities en afgekorte termen
+
+## 3.1 Termen en definities
+
+In het kader van dit document zijn de volgende termen en definities van toepassing.
+
+ISO en IEC onderhouden op de volgende adressen terminologiedatabases voor gebruik in het kader van normalisatie:
+
+— ISO Online browsing platform: te bereiken op https://www.iso.org/obp
+— IEC Electropedia: te bereiken op https://www.electropedia.org/
+
+
+### 3.1.1 toegangsbeveiliging
+
+middel om te zorgen dat fysieke en logische toegang tot *bedrijfsmiddelen* (32) wordt goedgekeurd en beperkt op basis van de eisen voor bedrijfsvoering en informatiebeveiliging
+
+### 3.1.2 bedrijfsmiddel
+
+alles wat waarde heeft voor de organisatie
+
+Opmerking 1 bij de term: In de context van informatiebeveiliging kunnen twee soorten bedrijfsmiddelen worden onderscheiden:
+
+- de primaire bedrijfsmiddelen:
+ - informatie;
+ - bedrijfs*processen* (3.1.27) en -activiteiten;
+- de ondersteunende bedrijfsmiddelen (waarop de primaire bedrijfsmiddelen steunen) van allerlei soorten, bijvoorbeeld:
+ - hardware;
+ - software;
+ - netwerk;
+ - *personeel* (3.1.20);
+ - locatie;
+ - structuur van de organisatie.
+
+### 3.1.3 aanval
+
+geslaagde of mislukte onbevoegde poging om een *bedrijfsmiddel* (3.1.2) te vernietigen, aan te passen, buiten werking te stellen of er toegang toe te verkrijgen, of een poging om een *bedrijfsmiddel* (3.1.2) openbaar te maken, te stelen of er onbevoegd gebruik van te maken
+
+### 3.1.4 authenticatie
+
+het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek van een *entiteit* (3.1.11)
+
+### 3.1.5 authenticiteit
+eigenschap dat een *entiteit* (3.1.11) is wat zij claimt te zijn
+
+### 3.1.6 bewakingsketen
+
+aantoonba(a)r(e) bezit, verplaatsing, behandeling en locatie van materiaal vanaf een bepaald moment tot een ander moment
+
+Opmerking 1 bij de term: Materiaal omvat informatie en andere gerelateerde *bedrijfsmiddelen* (3.1.2) in de context van ISO/IEC 27002.
+
+[BRON: ISO/IEC 27050-1:2019, 3 gewijzigd -- Opmerking 1 bij de term toegevoegd]
+
+### 3.1.7 vertrouwelijke informatie
+
+informatie die niet bedoeld is om beschikbaar of bekend te worden gemaakt aan onbevoegde personen, *entiteiten* (3.1.11) of *processen* (3.1.27)
+
+### 3.1.8 beheersmaatregel
+
+maatregel die risico in stand houdt en/of wijzigt
+
+Opmerking 1 bij de term: Een beheersmaatregel kan onder andere elke vorm van *proces* (3.1.27), *beleid* (3.1.24), voorziening, werkwijze of andere omstandigheid of maatregel zijn waarmee het risico in stand wordt gehouden en/of wordt gewijzigd.
+
+Opmerking 2 bij de term: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde wijzigende effect.
+
+[BRON: ISO 31000:2018, 3.10]
+
+### 3.1.9 verstoring
+
+incident, al dan niet geanticipeerd, dat een niet-geplande, negatieve afwijking van de verwachte levering van producten en diensten volgens de doelstellingen van een organisatie veroorzaakt
+
+[BRON: ISO 22301:2019, 3.10]
+
+### 3.1.10 'endpoint device'
+
+met een netwerk verbonden informatie- en communicatietechnologie (ICT)-hardwareapparaat
+
+Opmerking 1 bij de term: 'Endpoint device' kan verwijzen naar pc\'s, laptops, smartphones, tablets, thin clients, printers of andere specialistische hardware waaronder slimme meters en IoT- ('internet of things') apparaten.
+
+### 3.1.11 entiteit
+
+object dat relevant is voor het uitvoeringsdoel van een domein dat een herkenbaar onderscheiden bestaan heeft
+
+Opmerking 1 bij de term: Een entiteit kan een fysieke of een logische belichaming hebben.
+
+VOORBEELD Een persoon, een organisatie, een apparaat, een groep van dergelijke objecten, een menselijke
+
+abonnee op een telecommunicatiedienst, een simkaart, een paspoort, een netwerkinterfacekaart, een softwaretoepassing, een dienst of een website.
+
+[BRON: ISO/IEC 24760-1:2019, 3.1.1]
+
+### 3.1.12 informatieverwerkende faciliteit
+
+elk informatieverwerkend(e) systeem, dienst of infrastructuur of de fysieke locatie waar dit of deze is ondergebracht
+
+[BRON: ISO/IEC 27000:2018, 3.27, gewijzigd -- faciliteiten is vervangen door faciliteit]
+
+### 3.1.13 inbreuk op de informatiebeveiliging
+
+compromittering van de informatiebeveiliging die leidt tot ongewenst(e) vernietiging, verlies, wijziging, bekendmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte beschermde informatie
+
+### 3.1.14 informatiebeveiligingsgebeurtenis
+
+voorval dat op een mogelijke *inbreuk op de informatiebeveiliging* (3.1.13) of een falen van *beheersmaatregelen* (3.1.8) duidt
+
+[BRON: ISO/IEC 27035-1:2016, 3.3 gewijzigd -- niet relevant voor de Nederlandse vertaling]
+
+### 3.1.15 informatiebeveiligingsincident
+
+een of meer samenhangende en geïdentificeerde *informatiebeveiligingsgebeurtenissen* (3.1.14) die de *bedrijfsmiddelen* (3.1.2) van een organisatie kunnen schaden of haar bedrijfsvoering kunnen compromitteren
+
+[BRON: ISO/IEC 27035-1:2016, 3.4]
+
+### 3.1.16 beheer van informatiebeveiligingsincidenten
+
+uitoefening van een consequente en doeltreffende aanpak bij het behandelen van *informatiebeveiligingsincidenten* (3.1.15)
+
+[BRON: ISO/IEC 27035-1:2016, 3.5]
+
+### 3.1.17 informatiesysteem
+
+stelsel van toepassingen, diensten, informatietechnologische *bedrijfsmiddelen* (3.1.2) of andere gegevensverwerkende componenten
+
+[BRON: ISO/IEC 27000:2018, 3.35]
+
+### 3.1.18 belanghebbende
+stakeholder
+
+persoon of organisatie die een besluit of activiteit kan beïnvloeden, door een besluit of activiteit kan worden beïnvloed, of zichzelf beschouwt als beïnvloed door een besluit of activiteit
+
+[BRON: ISO/IEC 27000:2018, 3.37]
+
+### 3.1.19 onweerlegbaarheid
+
+vermogen om te bewijzen dat een geclaimde gebeurtenis of actie zich heeft voorgedaan en welke *entiteiten* (3.1.11) deze hebben veroorzaakt
+
+### 3.1.20 personeel
+
+personen die onder leiding van de organisatie werk verrichten
+
+Opmerking 1 bij de term: Het concept van personeel omvat de leden van de organisatie, zoals het bestuursorgaan, de directie, medewerkers, tijdelijke medewerkers, contractanten en vrijwilligers.
+
+### 3.1.21 persoonsgegevens
+
+alle informatie die a) kan worden gebruikt om een verband te leggen tussen de informatie en de natuurlijke persoon op wie die informatie betrekking heeft, of b) direct of indirect met een natuurlijke persoon in verband wordt of kan worden gebracht
+
+Opmerking 1 bij de term: De 'natuurlijke persoon' in de definitie is de *betrokkene* (3.1.22) om vast te stellen of een betrokkene geïdentificeerd kan worden, behoort rekening te worden gehouden met alle middelen die redelijkerwijs door de privacystakeholder die de gegevens in bezit heeft of door een andere partij kunnen worden gebruikt om het verband te leggen tussen de verzameling persoonsgegevens en de natuurlijke persoon.
+
+[BRON: ISO/IEC 29100:2011/Amd2018, 2.9]
+
+### 3.1.22 betrokkene
+
+natuurlijke persoon op wie de *persoonsgegevens* (3.1.21) betrekking hebben
+
+Opmerking 1 bij de term: Afhankelijk van de jurisdictie en de specifieke databescherming- en privacywetgeving, kan het synoniem 'datasubject' worden gebruikt in plaats van de term 'betrokkene'.
+
+[BRON: ISO/IEC 29100:2011, 2.11]
+
+### 3.1.23 verwerker van persoonsgegevens
+
+privacystakeholder die *persoonsgegevens* (3.1.21) namens en volgens de instructies van een verwerkingsverantwoordelijke verwerkt *)
+
+[BRON: ISO/IEC 29100:2011, 2.12]
+
+\*) Nederlandse voetnoot: Vgle definitie van Cyberveilig Nederland: 'De partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant)'
+
+### 3.1.24 beleid
+
+intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
+
+[BRON: ISO/IEC 27000:2018, 3.53]
+
+### 3.1.25 privacy-effectbeoordeling **)
+**PEB**
+
+algeheel *proces* (3.1.27) van het identificeren, analyseren, evalueren, raadplegen, communiceren en plannen van de behandeling van mogelijke privacy-effecten met betrekking tot de verwerking van *persoonsgegevens* (3.1.21), ingekaderd binnen het bredere risicobeheerkader van een organisatie
+
+[BRON: ISO/IEC 29134:2017, 3.7 gewijzigd -- Opmerking 1 bij de term verwijderd.]
+
+\*\*) Nederlandse voetnoot: In Nederland wordt een DPIA ('Data Protection Impact Assessment') gehanteerden organisatie onderzoekt vooraf wat de risico\'s van gegevensverwerking zijn voor de privacy van personenit is vaak verplicht volgens de Algemene verordening gegevensbeschermingBron: Cyberveilig Nederland)
+
+### 3.1.26 procedure
+
+gespecificeerde wijze van uitvoering van een activiteit of *proces* (3.1.27)
+
+[BRON: ISO 30000:2009, 3.12]
+
+### 3.1.27 proces
+
+geheel van samenhangende of elkaar beïnvloedende activiteiten die input gebruiken of omzetten om een resultaat te leveren
+
+[BRON: ISO 9000:2015, 3.4.1, gewijzigd -- Opmerkingen bij de term verwijderd.]
+
+### 3.1.28 registratie
+
+informatie die als bewijs en als *bedrijfsmiddel* (3.1.2) wordt aangemaakt, ontvangen en onderhouden door een organisatie of persoon om wettelijke verplichtingen na te komen of voor zakelijke transacties
+
+Opmerking 1 bij de term: Wettelijke verplichtingen omvatten in deze context alle eisen van wet- en regelgeving, statutaire en contractuele eisen.
+
+[BRON: ISO 15489-1:2016, 3.14
+
+### 3.1.29 RPO
+
+punt in de tijd waarnaar gegevens moeten worden hersteld nadat er zich een *verstoring* (3.1.9) heeft voorgedaan
+
+[BRON: ISO/IEC 27031:2011, 3.12]
+
+### 3.1.30 hersteltijddoelstelling
+recovery time objective
+**RTO**
+
+tijdsperiode waarbinnen minimale niveaus van diensten en/of producten en de ondersteunende systemen, toepassingen of functies moeten worden hersteld nadat er zich een *verstoring* (3.1.9) heeft voorgedaan
+
+[BRON: ISO/IEC 27031:2011, 3.13]
+
+### 3.1.31 betrouwbaarheid
+
+eigenschap van consistent beoogd gedrag en consistente beoogde resultaten
+
+### 3.1.32 regel
+
+aanvaard beginsel of aanvaarde instructie waarin de verwachtingen van de organisatie over welke handelingen vereist zijn, wat is toegestaan of niet is toegestaan uiteen worden gezet
+
+Opmerking 1 bij de term: Regels kunnen formeel kenbaar worden gemaakt in *onderwerpspecifieke beleidsregels* (3.1.35) en andere soorten documenten.
+
+### 3.1.33 gevoelige informatie
+
+informatie die dient te worden beschermd tegen het niet-beschikbaar zijn, onbevoegde toegang, wijziging of openbaarmaking vanwege mogelijke nadelige gevolgen voor een persoon, organisatie, de nationale veiligheid of de openbare veiligheid
+
+### 3.1.34 dreiging \*)
+
+potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een organisatie
+
+[BRON: ISO/IEC 27000:2018, 3.74]
+
+\*) Nederlandse voetnoot: In NEN-ISO/IEC 27000 vertaald als 'bedreiging', maar tegenwoordig heeft de term 'dreiging' de voorkeur.
+
+### 3.1.35 onderwerpspecifiek beleid
+
+oogmerken en sturing voor een specifiek onderwerp of thema, zoals formeel kenbaar gemaakt door het passende managementniveau
+
+Opmerking 1 bij de term: Onderwerpspecifieke beleidsregels kunnen formeel *regels* (3.1.32) of normen van de organisatie kenbaar maken.
+
+Opmerking 2 bij de term: Bepaalde organisaties gebruiken andere termen voor deze onderwerpspecifieke beleidsregels.
+
+Opmerking 3 bij de term: De onderwerpspecifieke beleidsregels waarnaar in dit document wordt verwezen, houden verband met informatiebeveiliging.
+
+VOORBEELD Onderwerpspecifiek beleid inzake *toegangsbeveiliging* (3.1.1), onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen'.
+
+### 3.1.36 gebruiker
+
+*belanghebbende* (3.1.18) met toegang tot de *informatiesystemen* (3.1.17) van de organisatie
+
+VOORBEELD *Personeel* (3.1.20), klanten, leveranciers.
+
+### 3.1.37 'endpoint device' van gebruiker
+
+*'endpoint device'* (3.1.10) waarmee gebruikers toegang krijgen tot informatieverwerkende diensten
+
+Opmerking 1 bij de term: 'Endpoint device' van gebruiker kan verwijzen naar pc's, laptops, smartphones, tablets, thin clients enz.
+
+### 3.1.38 kwetsbaarheid
+
+zwak punt van een *bedrijfsmiddel* (3.1.2) of *beheersmaatregel* (3.1.8) waar een of meer *dreigingen* (3.1.34) gebruik van kunnen maken
+
+[BRON: ISO/IEC 27000:2018, 3.77]
+
+## 3.2 Afgekorte termen
+
+ABAC attribute-based access control
+
+ACL access control list
+
+BIA business impact analysis
+
+BYOD bring your own device
+
+CAPTCHA completely automated public Turing test to tell computers and humans apart
+
+CPU central processing unit
+
+DAC discretionary access control
+
+DNS domain name system
+
+gps global positioning system
+
+IAM identity and access management
+
+ICT information and communication technology
+
+ID identifier
+
+IDE integrated development environment
+
+IDS intrusion detection system
+
+IoT internet of things
+
+IP internetprotocol
+
+IPS intrusion prevention system
+
+IT information technology
+
+ISMS information security management system
+
+MAC mandatory access control
+
+NTP network time protocol
+
+PIA privacy impact assessment
+
+PII personally identifiable information
+
+pin personal identification number
+
+PKI public key infrastructure
+
+PTP precision time protocol
+
+RBAC role-based access control
+
+RPO recovery point objective
+
+RTO recovery time objective
+
+SAST static application security testing
+
+SD secure digital
+
+SDN software-defined networking
+
+SD-WAN software-defined wide area networking
+
+SIEM security information and event management
+
+sms short message service
+
+SQL structured query language
+
+SSO single sign on
+
+SWID software identification
+
+UEBA user and entity behaviour analytics
+
+UPS uninterruptible power supply
+
+URL uniform resource locator
+
+USB universal serial bus
+
+VM virtual machine
+
+VPN virtual private network
+
+wifi wireless fidelity
+
+
+# 4 Structuur van dit document
+
+## 4.1 Hoofdstukken
+
+Dit document is als volgt ingedeeld:
+
+a) Organisatorische beheersmaatregelen (hoofdstuk 5)
+
+b) Mensgerichte beheersmaatregelen (hoofdstuk 6)
+
+c) Fysieke beheersmaatregelen (hoofdstuk 7)
+
+d) Technologische beheersmaatregelen (hoofdstuk 8) Er zijn 2 informatieve bijlagen:
+
+--- Bijlage A -- Attributen gebruiken
+
+--- Bijlage B -- Overeenstemming met ISO/IEC 27002:2013
+
+In bijlage A wordt uitgelegd hoe een organisatie attributen (zie 4 kan gebruiken om haar eigen overzichten aan te maken op basis van de in dit document gedefinieerde of zelfbedachte attributen voor beheersmaatregelen.
+
+Bijlage B laat zien hoe de beheersmaatregelen in deze editie van ISO/IEC 27002 overeenstemmen met de vorige editie uit 2013.
+
+## 4.2 Thema's en attributen
+
+De categorieën waarin beheersmaatregelen kunnen worden ingedeeld volgens de hoofdstukken 5 t/m 8 worden aangeduid als thema's.
+
+Beheersmaatregelen worden ingedeeld in de categorieën:
+
+a) mensgericht, als ze betrekking hebben op individuele personen;
+
+b) fysiek, als ze betrekking hebben op fysieke objecten;
+
+c) technologisch, als ze betrekking hebben op technologie;
+
+d) organisatorisch, in de overige gevallen.
+
+De organisatie kan attributen gebruiken om verschillende overzichten te creërenit zijn verschillende indelingen in categorieën van beheersmaatregelen, gezien vanuit een ander perspectief op de thema\'sttributen kunnen worden gebruikt om beheersmaatregelen in verschillende overzichten te filteren, sorteren of presenteren voor verschillende doelgroepenn bijlage A wordt uitgelegd hoe dit kan worden bereikt en wordt een voorbeeld van een overzicht gegeven.
+
+Bij wijze van voorbeeld is elke beheersmaatregel in dit document gerelateerd aan vijf attributen met bijbehorende attribuutwaarden (voorafgegaan door '#' om ze opzoekbaar te maken) [\*)]it is als volgt opgebouwd:
+
+a) Type beheersmaatregel
+
+Type beheersmaatregel is een attribuut om beheersmaatregelen te bezien vanuit het oogpunt van wanneer en hoe de beheersmaatregel tot veranderingen van het risico leidt met betrekking tot het zich voordoen van een informatiebeveiligingsincidente attribuutwaarden bestaan uit #Preventief (de beheersmaatregel is ervoor bedoeld te voorkomen dat er zich een informatiebeveiligingsincident voordoet), #Detectief (de beheersmaatregel treedt in werking wanneer er zich een informatiebeveiligingsincident voordoet) en #Corrigerend (de beheersmaatregel treedt in werking nadat er zich een informatiebeveiligingsincident heeft voorgedaan).
+
+b) Informatiebeveiligingseigenschappen
+
+Informatiebeveiligingseigenschappen is een attribuut om beheersmaatregelen te bezien vanuit het oogpunt: aan het behoud van welk kenmerk van informatie draagt de beheersmaatregel bij? De attribuutwaarden bestaan uit #Vertrouwelijkheid, #Integriteit en #Beschikbaarheid.
+
+c) Cybersecurityconcepten
+
+Cybersecurityconcepten is een attribuut om beheersmaatregelen te bekijken vanuit het oogpunt van het verband tussen beheersmaatregelen en de in het in ISO/IEC TS 27110 beschreven cybersecuritykader gedefinieerde cybersecurityconcepteneze attribuutwaarden bestaan uit #Identificeren, #Beschermen, #Detecteren, #Reageren en #Herstellen.
+
+d) Operationele capaciteiten
+
+Operationele capaciteiten is een attribuut om beheersmaatregelen te bekijken vanuit het perspectief van beroepsbeoefenaren op informatiebeveiligingscapaciteitene attribuutwaarden bestaan uit #Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-\_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-\_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen en #Borging_van_informatiebeveiliging.
+
+e) Beveiligingsdomeinen
+
+Beveiligingsdomeinen is een attribuut om beheersmaatregelen te bekijken vanuit het oogpunt van vier informatiebeveiligingsdomeinen: 'Governance_en_Ecosysteem' omvat 'Information System Security Governance & Risk Management' en 'Ecosystem cybersecurity management' (inclusief interne en externe belanghebbenden); 'Bescherming' omvat 'IT-beveiligingsarchitectuur', 'IT- beveiligingsbeheer', 'Identiteits- en toegangsbeheer', 'IT-beveiligingsonderhoud' en 'Fysieke en omgevingsbeveiliging'; 'Verdediging' omvat 'Detectie' en 'Computer Security Incident Management'; onder 'Veerkracht' (Resilience) wordt verstaan 'Continuïteit van de bedrijfsvoering' en 'Crisisbeheersing'e attribuutwaarden bestaan uit #Governance_en_Ecosysteem, #Bescherming, #Verdediging en #Veerkracht.
+
+\*) Nederlandse voetnoot: In deze vertaling zijn ook in 4de attribuutwaarden van een '#' voorzien.
+
+De in dit document vermelde attributen zijn gekozen op basis van het feit dat ze als generiek genoeg worden beschouwd om door verschillende soorten organisaties te worden gebruiktrganisaties kunnen ervoor kiezen een of meer van de in dit document vermelde attributen buiten beschouwing te latene kunnen ook zelf attributen (met de bijbehorende attribuutwaarden) aanmaken om hun eigen organisatieoverzichten te makenoofdstuk Abevat voorbeelden van dergelijke attributen.
+
+## 4.3 Indeling beheersmaatregel
+
+De indeling van elke beheersmaatregel bevat het volgende:
+
+--- **Titel van de beheersmaatregel:** Korte naam van de beheersmaatregel;
+
+--- **Attribuuttabel**: Een tabel toont de waarde(n) van elk attribuut voor de beheersmaatregel in kwestie;
+
+--- **Beheersmaatregel:** Wat de beheersmaatregel is;
+
+--- **Doel**: Waarom de beheersmaatregel behoort te worden geïmplementeerd; --- **Richtlijn:** Hoe de beheersmaatregel behoort te worden geïmplementeerd;
+
+--- **Overige informatie:** Tekst met uitleg of verwijzingen naar andere gerelateerde documenten.
+
+Omwille van de leesbaarheid zijn lange richtlijnteksten die op meer onderwerpen ingaan, soms onderverdeelde titels van deze secties zijn onderstreept.
+
+# 5 Organisatorische beheersmaatregelen
+
+## 5.1 Beleidsregels voor informatiebeveiliging
+
++------------------------+----------------------------------------------------+----------------------+--------------------+-------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================+===========================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Governance | #Governance_en_Eco- systeem #Veerkracht |
++------------------------+----------------------------------------------------+----------------------+--------------------+-------------------------------------------+
+
+**Beheersmaatregel**
+
+Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
+
+**Doel**
+
+De voortdurende geschiktheid, toereikendheid, doeltreffendheid van de sturing en ondersteuning door het management overeenkomstig de bedrijfseisen en de eisen van wet- en regelgeving, statutaire en contractuele eisen bewerkstelligen.
+
+**Richtlijn**
+
+De organisatie behoort op het hoogste niveau een 'informatiebeveiligingsbeleid' te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar informatiebeveiliging te bereiken.
+
+Het informatiebeveiligingsbeleid behoort eisen in aanmerking te nemen die zijn ontleend aan:
+
+a) bedrijfsstrategie en -eisen;
+
+b) wet- en regelgeving en contracten;
+
+c) de huidige en verwachte risico\'s en dreigingen inzake informatiebeveiliging.
+
+Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende:
+
+a) de definitie van informatiebeveiliging;
+
+b) informatiebeveiligingsdoelstellingen of het kader voor het vaststellen van
+
+informatiebeveiligingsdoelstellingen;
+
+c) principes die als leidraad dienen voor alle activiteiten in verband met informatiebeveiliging;
+
+d) een verbintenis om te voldoen aan van toepassing zijnde eisen in verband met
+
+informatiebeveiliging;
+
+e) een verbintenis tot continue verbetering van het managementsysteem voor informatiebeveiliging;
+
+f) toekenning van verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde
+
+rollen;
+
+g) procedures voor het behandelen van vrijgestelde situaties en uitzonderingen.
+
+Eventuele wijzigingen aan het informatiebeveiligingsbeleid behoren ter goedkeuring aan de directie te worden voorgelegd.
+
+Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels naarmate nodig is, om de implementatie van beheersmaatregelen voor informatiebeveiliging verder verplicht te stellene typische structuur van onderwerpspecifieke beleidsregels is dusdanig dat ze ingaan op de behoeften van bepaalde doelgroepen binnen een organisatie of dat ze bepaalde beveiligingsgebieden bestrijkennderwerpspecifieke beleidsregels behoren te worden afgestemd op het informatiebeveiligingsbeleid van de organisatie en dit aan te vullen.
+
+Voorbeelden van dergelijke onderwerpen zijn:
+
+a) toegangsbeveiliging;
+
+b) fysieke beveiliging en beveiliging van de omgeving;
+
+c) beheer van bedrijfsmiddelen;
+
+d) overdragen van informatie;
+
+e) beveiligde configuratie van en omgang met 'endpoint devices' van gebruikers;
+
+f) netwerkbeveiliging;
+
+g) beheer van informatiebeveiligingsincidenten;
+
+h) back-up;
+
+i) cryptografie en sleutelbeheer;
+
+j) classificatie van en omgaan met informatie;
+
+k) beheer van technische kwetsbaarheden;
+
+l) veilig ontwikkelen.
+
+De verantwoordelijkheid voor het ontwikkelen, beoordelen en goedkeuren van de onderwerpspecifieke beleidsregels behoort te worden toegewezen aan relevant personeel, op basis van passend bevoegdheidsniveau en technische bekwaamheide beoordeling behoort mede het beoordelen te omvatten van mogelijkheden voor het verbeteren van het informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels en het informatiebeveiligingsbeheer van de organisatie als antwoord op veranderingen in:
+
+a) de bedrijfsstrategie van de organisatie;
+
+b) de technische omgeving van de organisatie;
+
+c) wet- en regelgeving en contracten;
+
+d) informatiebeveiligingsrisico\'s;
+
+e) huidige en verwachte dreigingen inzake informatiebeveiliging;
+
+f) lering die wordt getrokken uit informatiebeveiligingsgebeurtenissen en -incidenten.
+
+Bij de beoordeling van informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoort rekening te worden gehouden met de resultaten van directiebeoordelingen en auditsndien er één beleidsregel wordt gewijzigd, behoort, met het oog op de consistentie, te worden overwogen ook andere gerelateerde beleidsregels te beoordelen en bij te werken.
+
+Het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels behoren in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer te worden gecommuniceerd aan relevant personeel en relevante belanghebbendenan ontvangers van de beleidsregels behoort te worden verlangd dat ze bevestigen dat ze de beleidsregels, indien van toepassing, begrijpen en zich eraan zullen houdene organisatie kan voor deze beleidsdocumenten formaten en namen vaststellen die aan de behoeften van de organisatie voldoenn bepaalde organisaties kunnen het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels in een en hetzelfde document worden opgenomene organisatie kan deze onderwerpspecifieke beleidsregels aanduiden als normen, richtlijnen, beleidsregels enz.
+
+Als het informatiebeveiligingsbeleid of een onderwerpspecifieke beleidsregel buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie openbaar wordt gemaakt.
+
+Tabel 1 illustreert de verschillen tussen informatiebeveiligingsbeleid en onderwerpspecifiek beleid.
+
+
+**Tabel 1 --- Verschillen tussen informatiebeveiligingsbeleid en onderwerpspecifiek beleid**
+
++--------------------------------------------------+------------------------------------+---------------------------------+
+| | **Informatiebeveiligingsbeleid** | **Onderwerpspecifiek beleid** |
++==================================================+====================================+=================================+
+| **Detailniveau** | Algemeen of op hoofdlijnen | Specifiek en gedetailleerd |
++--------------------------------------------------+------------------------------------+---------------------------------+
+| **Gedocumenteerd en formeel goedgekeurd door** | De directie | Het passende managementniveau |
++--------------------------------------------------+------------------------------------+---------------------------------+
+
+**Overige informatie**
+
+Onderwerpspecifieke beleidsregels kunnen van organisatie tot organisatie verschillen.
+
+## 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging
+
++------------------------+----------------------------------------------------+----------------------+--------------------+-----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================+=============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Governance | #Governance_en_Ecosysteem |
+| | | | | |
+| | | | | #Bescherming #Veerkracht |
++------------------------+----------------------------------------------------+----------------------+--------------------+-----------------------------+
+
+**Beheersmaatregel**
+
+Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie.
+
+**Doel**
+
+Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de implementatie, uitvoering en het beheer van informatiebeveiliging binnen de organisatie inrichten.
+
+**Richtlijn**
+
+Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
+
+a) de bescherming van informatie en andere gerelateerde bedrijfsmiddelen;
+
+b) het uitvoeren van specifieke informatiebeveiligingsprocessen;
+
+c) beheeractiviteiten met betrekking tot informatiebeveiligingsrisico's en in het bijzonder voor het accepteren van de overblijvende risico's (bijv. voor de eigenaren van risico\'s);
+
+d) al het personeel dat gebruikmaakt van informatie en andere gerelateerde bedrijfsmiddelen van een organisatie.
+
+Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteitenersonen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend, kunnen beveiligingstaken aan anderen toewijzenij blijven echter verantwoordelijk en behoren vast te stellen of gedelegeerde taken correct zijn verricht.
+
+Elk beveiligingsgebied waarvoor personen verantwoordelijk zijn, behoort te worden gedefinieerd, gedocumenteerd en gecommuniceerdutorisatieniveaus behoren te worden gedefinieerd en gedocumenteerdersonen die een specifieke rol op het gebied van informatiebeveiliging op zich nemen, behoren competent te zijn wat betreft de kennis en vaardigheden die de rol vereist en behoren te worden ondersteund bij het op de hoogte blijven van de ontwikkelingen die verband houden met de rol en die vereist zijn om aan de verantwoordelijkheden van de rol te kunnen voldoen.
+
+**Overige informatie**
+
+Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van risico\'s en beperkende beheersmaatregelen te ondersteunen.
+
+Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managersen gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan.
+
+Afhankelijk van de omvang en de middelen van een organisatie kan informatiebeveiliging door speciale rollen of door functies die naast bestaande rollen worden uitgevoerd, worden afgedekt.
+
+## 5.3 Functiescheiding
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------+-------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=================================================+===============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Governance #Identiteits- \_en_toegangsbeheer | #Governance_en_Ecosys- teem |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------+-------------------------------+
+
+**Beheersmaatregel**
+
+Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.
+
+**Doel**
+
+Het risico op fraude, fouten en het omzeilen van beheersmaatregelen voor informatiebeveiliging verminderen.
+
+**Richtlijn**
+
+De functiescheiding en verantwoordelijkheidszones hebben tot doel conflicterende functies te scheiden en onder verschillende personen te verdelen om te voorkomen dat mogelijk conflicterende functies door één persoon alleen worden uitgevoerd.
+
+De organisatie behoort vast te stellen voor welke functies en verantwoordelijkheidszones het nodig is dat ze worden gesegmenteerdieronder volgen voorbeelden van activiteiten waarvoor segmentatie nodig kan zijn:
+
+a) het initiëren, goedkeuren en uitvoeren van een verandering;
+
+b) het verzoeken om, goedkeuren en implementeren van toegangsrechten;
+
+c) het ontwerpen, implementeren en beoordelen van code;
+
+d) het ontwikkelen van software en het beheren van productiesystemen;
+
+e) het gebruiken en beheren van toepassingen;
+
+f) het gebruiken van toepassingen en het beheren van databases;
+
+g) het ontwerpen, auditen en borgen van beheersmaatregelen voor informatiebeveiliging.
+
+Bij het ontwerpen van beheersmaatregelen met het oog op scheiding behoort rekening te worden gehouden met de mogelijkheid van samenzweringoor kleine organisaties kan het moeilijk zijn om functies te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar isanneer het moeilijk is om functies te scheiden, behoren andere beheersmaatregelen te worden overwogen, zoals het monitoren van activiteiten, audittrajecten en supervisie door het management.
+
+Bij het gebruik van op functies gebaseerde toegangsbeveiligingssystemen behoort ervoor te worden gezorgd dat aan personen geen conflicterende functies worden toegekendanneer er een groot aantal functies is, behoort de organisatie te overwegen geautomatiseerde hulpmiddelen te gebruiken om conflicten te identificeren en de verwijdering ervan mogelijk te makenuncties behoren zorgvuldig te worden gedefinieerd en ingesteld zodat toegangsproblemen tot een minimum kunnen worden beperkt indien een functie wordt verwijderd of opnieuw wordt toegewezen.
+
+**Overige informatie**
+
+Geen overige informatie.
+
+## 5.4 Managementverantwoordelijkheden
+
++------------------------+----------------------------------------------------+----------------------+--------------------+-----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================+=============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Governance | #Governance_en_Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+--------------------+-----------------------------+
+
+**Beheersmaatregel**
+
+Het management behoort van al het personeel te eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie.
+
+**Doel**
+
+Bewerkstelligen dat het management zijn rol bij informatiebeveiliging begrijpt en maatregelen neemt om ervoor te zorgen dat al het personeel zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging en deze ook nakomt.
+
+**Richtlijn**
+
+Het management behoort er blijk van te geven dat het het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels, procedures en beheersmaatregelen voor informatiebeveiliging ondersteunt.
+
+Het management behoort ervoor te zorgen dat personeelsleden:
+
+a) op de juiste manier worden geïnstrueerd over hun informatiebeveiligingsrollen en -verantwoordelijkheden voordat zij toegang krijgen tot informatie en andere gerelateerde bedrijfsmiddelen van de organisatie;
+
+b) richtlijnen ontvangen die de verwachtingen met betrekking tot hun informatiebeveiligingsrol binnen de organisatie aangeven;
+
+c) verplicht worden te voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie;
+
+d) een niveau van bewustwording van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie 6.3);
+
+e) de arbeids- of contractvoorwaarden en de voorwaarden van overeenkomsten, met inbegrip van het informatiebeveiligingsbeleid en passende werkmethoden, naleven \*);
+
+f) de passende vaardigheden en kwalificaties op het gebied van informatiebeveiliging blijven houden door voortdurende bijscholing;
+
+g) waar mogelijk, een vertrouwelijk kanaal krijgen om overtredingen van het informatiebeveiligings- beleid, onderwerpspecifiek beleid of procedures voor informatiebeveiliging te melden ('klokkenluiden')it kan anonieme meldingen mogelijk maken, of bepalingen bevatten die ervoor zorgen dat de identiteit van de melder alleen bekend is bij degenen die dergelijke meldingen moeten behandelen;
+
+h) voldoende middelen en tijd voor projectplanning krijgen voor het implementeren van de beveiligingsgerelateerde processen en beheersmaatregelen van de organisatie.
+
+\*) Nederlandse voetnoot: Anders geformuleerd dan in de brontekst,
+
+
+**Overige informatie**
+
+Geen overige informatie.
+
+## 5.5 Contact met overheidsinstanties
+
++------------------------+----------------------------------------------------+----------------------------------------------------+--------------------+----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+====================================================+====================+============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | |
+| #Corrigerend | | | | #Veerkracht |
++------------------------+----------------------------------------------------+----------------------------------------------------+--------------------+----------------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort contact met de relevante instanties te leggen en te onderhouden.
+
+**Doel**
+
+Een passende stroom van informatie met betrekking tot informatiebeveiliging tussen de organisatie en relevante juridische, regelgevende en toezichthoudende instanties bewerkstelligen.
+
+**Richtlijn**
+
+De organisatie behoort aan te geven wanneer en door wie contact behoort te worden opgenomen met overheidsinstanties (bijvolitie, regelgevende organen, toezichthouders) en hoe geïdentificeerde informatiebeveiligingsincidenten tijdig behoren te worden gemeld.
+
+Contacten met overheidsinstanties behoren ook te worden gebruikt om inzicht mogelijk te maken in de bestaande en toekomstige verwachtingen van deze instanties (bijvoepasselijke regelgeving met betrekking tot informatiebeveiliging).
+
+**Overige informatie**
+
+Organisaties die worden aangevallen, kunnen instanties verzoeken om actie te ondernemen tegen de aanvaller.
+
+Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie 5.24 t/m 5.28) of de noodplan- en bedrijfscontinuïteitsprocessen (zie 5.29 en 5.30). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].
+
+## 5.6 Contact met speciale belangengroepen
+
++------------------------+----------------------------------------------------+-------------------------------------+--------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+=====================================+====================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | |
+| #Corrigerend | | | | |
++------------------------+----------------------------------------------------+-------------------------------------+--------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen te leggen en te onderhouden.
+
+**Doel**
+
+Een passende stroom van informatie met betrekking tot informatiebeveiliging bewerkstelligen.
+
+**Richtlijn**
+
+Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om:
+
+a) kennis te verbeteren over 'best practices' en op de hoogte te blijven van relevante beveiligingsinformatie;
+
+b) ervoor te zorgen dat de kennis van informatiebeveiliging actueel is;
+
+c) vroegtijdige waarschuwingen te ontvangen inzake alarm, adviezen en patches die verband houden met aanvallen en kwetsbaarheden;
+
+d) toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging;
+
+e) informatie over nieuwe technologieën, producten, diensten, dreigingen of kwetsbaarheden te delen en uit te wisselen;
+
+f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie 5.24 t/m 5.28).
+
+**Overige informatie**
+Geen overige informatie.
+
+## 5.7 Informatie en analyses over dreigingen
+
++---------------------------------------+----------------------------------------------------+----------------------------------------+--------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++=======================================+====================================================+========================================+==========================+=====================+
+| #Preventief #Detectief #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Detecteren #Reageren | | #Verdediging |
+| | | | | |
+| | | | #Beheer_van_dreigingen_en_kwetsbaarheden | #Veerkracht |
++---------------------------------------+----------------------------------------------------+----------------------------------------+--------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd om informatie en analyses over dreigingen te produceren.
+
+**Doel**
+
+Bewustwording bieden van de mogelijke dreigingen voor de organisatie zodat de passende mitigerende maatregelen kunnen worden getroffen.
+
+**Richtlijn**
+
+Informatie over bestaande of opkomende dreigingen wordt verzameld en geanalyseerd teneinde:
+
+a) weloverwogen maatregelen mogelijk te maken om te voorkomen dat de dreigingen schade aan de organisatie toebrengen;
+
+b) de impact van dergelijke dreigingen te beperken.
+
+Informatie en analyses over dreigingen kunnen in drie lagen worden opgedeeld die alle drie in aanmerking behoren te worden genomen:
+
+a) informatie over strategische dreigingen: uitwisseling van informatie op hoofdlijnen over het veranderende dreigingslandschap (bijvoorten aanvallers of soorten aanvallen);
+
+b) informatie en analyses over tactische dreigingen: informatie over de desbetreffende methodieken, instrumenten en technologieën waarvan aanvallers zich bedienen;
+
+c) informatie en analyses over operationele dreigingen: details over specifieke aanvallen, met inbegrip van technische indicatoren.
+
+Informatie en analyses over dreigingen behoren:
+
+a) relevant te zijn (dzerband te houden met de bescherming van de organisatie);
+
+b) inzicht te bieden (dze organisatie een nauwkeurig en gedetailleerd inzicht te verschaffen in het dreigingslandschap);
+
+c) contextueel te zijn om situationeel bewustwording te bieden (dzoor context toe te voegen aan de informatie op basis van het tijdstip van de gebeurtenissen, waar zij zich voordoen, eerdere ervaringen en prevalentie in soortgelijke organisaties);
+
+d) bruikbaar te zijn (dzat de organisatie snel en doeltreffend kan handelen op basis van de informatie).
+
+Activiteiten op het gebied van informatie en analyses over dreigingen behoren het volgende te omvatten:
+
+a) het vaststellen van doelstellingen voor het produceren van informatie en analyses over dreigingen;
+
+b) het identificeren, doorlichten en selecteren van interne en externe informatiebronnen die nodig en geschikt zijn om te voorzien in informatie die vereist is om de gewenste informatie en analyses over dreigingen te produceren;
+
+c) het verzamelen van informatie uit geselecteerde interne en externe bronnen;
+
+d) het verwerken van verzamelde informatie om deze voor te bereiden op analyse (bijv. door informatie te vertalen, op te maken of te bevestigen);
+
+e) het analyseren van informatie om inzicht te krijgen in hoe deze verband houdt met de organisatie en de betekenis ervan voor de organisatie;
+
+f) het in een begrijpelijke vorm meedelen ervan aan en delen met relevante personen.
+
+Informatie over dreigingen behoort te worden geanalyseerd en later te worden gebruikt:
+
+a) door processen te implementeren om uit bronnen van informatie en analyses over dreigingen verzamelde informatie op te nemen in de beheerprocessen voor informatiebeveiligingsrisico's van de organisatie;
+
+b) als aanvullende input voor technische preventieve en detectieve beheersmaatregelen, zoals firewalls, inbraakdetectiesystemen of antimalwareoplossingen;
+
+c) als input voor de processen en technieken voor het testen van de informatiebeveiliging.
+
+De organisatie behoort informatie en analyses over dreigingen op wederzijdse basis met andere organisaties te delen om de algemene informatie en analyses over dreigingen te verbeteren.
+
+**Overige informatie**
+
+Organisaties kunnen informatie en analyses over dreigingen gebruiken om dreigingen te voorkomen, detecteren of erop te reagerenrganisaties kunnen zelf informatie en analyses over dreigingen produceren, maar het is gebruikelijker dat ze informatie en analyses over dreigingen ontvangen en gebruiken die door andere bronnen wordt geproduceerd.
+
+Informatie en analyses over dreigingen worden vaak verstrekt door onafhankelijke aanbieders of adviseurs, overheidsinstanties of groepen die gezamenlijk informatie over dreigingen verzamelen en analyseren.
+
+De doeltreffendheid van beheersmaatregelen zoals 5.25, 8.7, 8.16 of 8.23 is afhankelijk van de kwaliteit van de beschikbare informatie en analyses over dreigingen.
+
+## 5.8 Informatiebeveiliging in projectmanagement
+
++------------------------+----------------------------------------------------+----------------------+--------------------+-----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================+=============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Governance | #Governance_en_Ecosysteem |
+| | | | | |
+| | | #Beschermen | | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------+-----------------------------+
+
+**Beheersmaatregel**
+
+Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.
+
+**Doel**
+
+Ervoor zorgen dat informatiebeveiligingsrisico's binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt.
+
+**Richtlijn**
+
+Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement om ervoor te zorgen dat informatiebeveiligingsrisico\'s in het kader van projectmanagement worden aangepaktit kan worden toegepast op elk type project ongeacht de complexiteit, omvang, duur, discipline of het toepassingsgebied (bijv. een project voor een proces voor kernactiviteiten, IT, 'facility management' of andere ondersteunende processen).
+
+Het projectmanagement dat wordt toegepast, behoort te vereisen dat:
+
+a) informatiebeveiligingsrisico's tijdens een vroeg stadium en periodiek gedurende de volledige
+
+levenscyclus van het project als onderdeel van de projectrisico\'s worden beoordeeld en behandeld;
+
+b) informatiebeveiligingseisen [bijv. beveiligingseisen voor toepassingen (8.26), eisen inzake de naleving van intellectuele-eigendomsrechten (5.32) enz.] in de vroege stadia van projecten worden aangepakt;
+
+c) informatiebeveiligingsrisico's in verband met de uitvoering van projecten, zoals de beveiliging van interne en externe communicatieaspecten, gedurende de gehele levenscyclus van het project in aanmerking worden genomen en behandeld;
+
+d) de vorderingen met betrekking tot de behandeling van informatiebeveiligingsrisico's worden beoordeeld en de doeltreffendheid van de behandeling wordt beoordeeld en beproefd.
+
+De passendheid van de informatiebeveiligingsoverwegingen en -activiteiten behoort in vooraf bepaalde stadia te worden gecontroleerd door geschikte personen of governance-instanties, zoals de projectstuurgroep.
+
+Verantwoordelijkheden en bevoegdheden voor informatiebeveiliging relevant voor het project behoren te worden gedefinieerd en te worden toegewezen aan gespecificeerde rollen.
+
+Informatiebeveiligingseisen voor door het project te leveren producten of diensten behoren te worden vastgesteld met gebruikmaking van verschillende methoden zoals het afleiden van nalevingseisen uit informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en regelgevingerdere informatiebeveiligingseisen kunnen worden ontleend aan activiteiten zoals dreigingsmodellering, beoordelingen van incidenten, het gebruik van kwetsbaarheidsdrempels of het opstellen van noodplannen om zo te bewerkstelligen dat de architectuur en het ontwerp van informatiesystemen worden beschermd tegen bekende dreigingen die gebaseerd zijn op de operationele omgeving.
+
+Er behoren informatiebeveiligingseisen te worden vastgesteld voor alle soorten projecten, niet alleen voor ICT-ontwikkelprojectenij het vaststellen van deze eisen behoort ook het volgende in aanmerking te worden genomen:
+
+a) welke informatie het betreft (vaststelling van de informatie), wat de bijbehorende informatiebeveiligingsbehoeften zijn (classificatie; zie 5.12) en de mogelijke negatieve bedrijfsimpact die het gevolg kan zijn van ontoereikende beveiliging;
+
+b) de noodzaak om de desbetreffende informatie en andere gerelateerde bedrijfsmiddelen te beschermen, met name wat betreft vertrouwelijkheid, integriteit en beschikbaarheid;
+
+c) de vereiste mate van betrouwbaarheid of zekerheid ten opzichte van de beweerde identiteit van entiteiten om de authenticatie-eisen af te leiden;
+
+d) processen voor het verlenen van toegang en autorisatie, voor klanten en andere zakelijke gebruikers en voor bevoorrechte of technische gebruikers, zoals relevante projectleden, mogelijk operationeel personeel of externe leveranciers;
+
+e) het informeren van gebruikers over hun plichten en verantwoordelijkheden;
+
+f) eisen die zijn afgeleid van bedrijfsprocessen, zoals registreren en monitoren van transacties, eisen voor onweerlegbaarheid;
+
+g) eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot informatiebeveiliging (bijv. interfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);
+
+h) naleving van de wettelijke, statutaire, regelgevende en contractuele omgeving waarin de organisatie actief is;
+
+i) het vereiste niveau van vertrouwen of zekerheid dat derden zullen voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie, met inbegrip van relevante beveiligingsclausules in overeenkomsten of contracten.
+
+**Overige informatie**
+
+De projectontwikkelaanpak, zoals de Waterfall-levenscyclus of de Agile-levenscyclus, behoort gestructureerde informatiebeveiliging te ondersteunen die kan worden aangepast aan de volgens een beoordeling vastgestelde informatiebeveiligingsrisico's, aansluitend bij het karakter van het projectet vroegtijdig nadenken over informatiebeveiligingseisen voor het product of de dienst (bijvijdens de plannings- en ontwerpfasen) kan leiden tot doeltreffender en kostenefficiëntere oplossingen voor kwaliteits- en informatiebeveiliging. ISO 21500 en ISO 21502 geven richtlijnen voor projectmanagementconcepten en -processen die belangrijk zijn voor de prestaties van projecten.
+
+ISO/IEC 27005 geeft richtlijnen voor het gebruik van risicobeheerprocessen om beheersmaatregelen te identificeren die aan informatiebeveiligingseisen voldoen.
+
+## 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==================================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_be- drijfsmiddelen | #Governance_en_Eco- systeem #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+Er behoort een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden.
+
+**Doel**
+
+De informatie en andere gerelateerde bedrijfsmiddelen van de organisatie identificeren om de informatiebeveiliging ervan te behouden en passend eigenaarschap toe te wijzen.
+
+**Richtlijn**
+
+[Inventarislijst]
+
+De organisatie behoort haar informatie en andere gerelateerde bedrijfsmiddelen te identificeren en het belang ervan wat betreft informatiebeveiliging vast te stellenocumentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
+
+De inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijnpties om de nauwkeurigheid van een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen te bewerkstelligen zijn onder andere:
+
+a) regelmatig beoordelingen van geïdentificeerde informatie en andere gerelateerde bedrijfsmiddelen aan de hand van de inventarislijst van bedrijfsmiddelen uitvoeren;
+
+b) de inventarislijst automatisch laten bijwerken als er een bedrijfsmiddel wordt geïnstalleerd, gewijzigd of verwijderd.
+
+De locatie van een bedrijfsmiddel behoort al naargelang de situatie in de inventarislijst te worden opgenomen.
+
+De inventarislijst hoeft niet één lijst te zijn van informatie en andere gerelateerde bedrijfsmiddelenangezien de inventarislijst van bedrijfsmiddelen door de relevante functies behoort te worden onderhouden, kan deze worden beschouwd als een verzameling dynamische inventarislijsten, zoals inventarislijsten voor informatiebedrijfsmiddelen, hardware, software, virtuele machines (VM\'s), faciliteiten, personeel, competenties, capaciteiten en registraties.
+
+Elk bedrijfsmiddel behoort te worden geclassificeerd overeenkomstig de classificatie van de met dat bedrijfsmiddel gerelateerde informatie (zie 5.12).
+
+Het niveau van granulariteit van de inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen behoort te passen bij de behoeften van de organisatieoms is het vanwege de aard van het bedrijfsmiddel niet praktisch uitvoerbaar om specifieke instanties van bedrijfsmiddelen in de informatielevenscyclus te documenterenen voorbeeld van een bedrijfsmiddel met een korte levensduur is een instantie van een VM die van korte duur kan zijn.
+
+[Eigendom]
+
+Voor de geïdentificeerde informatie- en andere gerelateerde bedrijfsmiddelen behoort de eigendom van het bedrijfsmiddel te worden toegewezen aan een persoon of een groep en behoort de classificatie te worden geïdentificeerd (zie 5.12, 5.13). Er behoort een procedure te worden geïmplementeerd die ervoor zorgt dat de benoeming van de eigenaar van bedrijfsmiddelen tijdig plaatsvindtet eigenaarschap behoort te worden toegekend als bedrijfsmiddelen worden aangemaakt of als bedrijfsmiddelen naar de organisatie worden overgebrachtet eigenaarschap van een bedrijfsmiddel behoort naarmate nodig is opnieuw te worden toegekend wanneer de huidige eigenaren van een bedrijfsmiddel vertrekken of een andere functie krijgen.
+
+[Taken van de eigenaar]
+
+De eigenaar van het bedrijfsmiddel behoort verantwoordelijk te zijn voor het juiste beheer ervan voor de gehele levenscyclus van het bedrijfsmiddel en behoort ervoor te zorgen dat:
+
+a) informatie en andere gerelateerde bedrijfsmiddelen worden geïnventariseerd;
+
+b) informatie en andere gerelateerde bedrijfsmiddelen passend worden geclassificeerd en beschermd;
+
+c) de classificatie periodiek wordt beoordeeld;
+
+d) er een lijst wordt opgesteld van de componenten die technologische bedrijfsmiddelen ondersteunen, zoals database-, opslag-, softwarecomponenten en -subcomponenten, en deze worden gekoppeld;
+
+e) eisen voor het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen (zie 5.10) worden vastgesteld;
+
+f) de toegangsbeperkingen overeenstemmen met de classificatie, doeltreffend zijn en periodiek worden beoordeeld;
+
+g) informatie en andere gerelateerde bedrijfsmiddelen die worden gewist of verwijderd, veilig worden behandeld en uit de inventarislijst worden verwijderd;
+
+h) hij betrokken is bij het identificeren en het beheer van de risico\'s in verband met zijn bedrijfsmiddel(en);
+
+i) hij het personeel ondersteunt dat de rollen en de verantwoordelijkheden heeft voor het beheren van zijn informatie.
+
+**Overige informatie**
+
+Inventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen zijn vaak nodig om de doeltreffende bescherming van informatie zeker te stellen en kunnen voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële redenennventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen ondersteunen ook risicobeheer, auditactiviteiten, kwetsbaarhedenbeheer, incidentrespons- en herstelplanning.
+
+Taken en verantwoordelijkheden kunnen worden gedelegeerd (bijvan een beheerder die de dagelijkse zorg heeft over de bedrijfsmiddelen), maar de persoon of groep die ze heeft gedelegeerd blijft verantwoordelijk.
+
+Het kan nuttig zijn om groepen van informatie en andere gerelateerde bedrijfsmiddelen aan te wijzen die samen een bepaalde dienst verlenenn dat geval is de eigenaar van deze dienst verantwoordelijk voor het leveren van de dienst, met inbegrip van de werking van de bedrijfsmiddelen die de dienst verzorgen.
+
+Zie ISO/IEC 19770-1 voor aanvullende informatie over het beheer van IT-bedrijfsmiddelenie ISO 55001 voor aanvullende informatie over het beheer van bedrijfsmiddelen.
+
+## 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen
+
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===========================================================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_be- drijfsmiddelen #Informatiebescherming | #Governance_en_Ecosys- teem #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen behoren te worden vastgesteld, gedocumenteerd en geïmplementeerd.
+
+**Doel**
+
+Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen passend worden beschermd, gebruikt en behandeld.
+
+**Richtlijn**
+
+Personeel en externe gebruikers die informatie en andere gerelateerde bedrijfsmiddelen van de organisatie gebruiken of er toegang toe hebben, behoren bewust te worden gemaakt van de informatiebeveiligingseisen voor het beschermen van en omgaan met de informatie van de organisatie en andere gerelateerde bedrijfsmiddelenij behoren verantwoordelijk te zijn voor het gebruik dat zij maken van informatieverwerkende faciliteiten.
+
+De organisatie behoort onderwerpspecifiek beleid inzake het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen vast te stellen en dit mee te delen aan iedereen die informatie en andere gerelateerde bedrijfsmiddelen gebruikt of hanteertet onderwerpspecifieke beleid inzake aanvaardbaar gebruik behoort duidelijk aan te geven hoe van personen wordt verwacht dat ze informatie en andere gerelateerde bedrijfsmiddelen gebruikenn het onderwerpspecifieke beleid behoort het volgende te worden opgenomen:
+
+a) verwacht en onaanvaardbaar gedrag van personen vanuit het oogpunt van informatiebeveiliging;
+
+b) wat wordt beschouwd als toegestaan en verboden gebruik van informatie en andere gerelateerde bedrijfsmiddelen;
+
+c) welke monitoringactiviteiten de organisatie uitvoert.
+
+Er behoren procedures voor aanvaardbaar gebruik te worden opgesteld voor de volledige levenscyclus van de informatie overeenkomstig de classificatie ervan (zie 5.12) en de vastgestelde risico\'s. Met de volgende aspecten behoort rekening te worden gehouden:
+
+a) toegangsbeperkingen die de beschermingseisen van elk classificatieniveau ondersteunen;
+
+b) onderhoud van een registratie van de bevoegde gebruikers van informatie en andere gerelateerde bedrijfsmiddelen;
+
+c) bescherming van tijdelijke of permanente kopieën van de informatie tot een niveau dat consistent is met de bescherming van de originele informatie;
+
+d) opslag van bedrijfsmiddelen die samenhangen met informatie in overeenstemming met de voorschriften van de fabrikant (zie 7.8);
+
+e) duidelijke markering van alle kopieën van (elektronische of fysieke) opslagmedia ter attentie van de bevoegde ontvanger (zie 7.10);
+
+f) autorisatie van het verwijderen van informatie en andere gerelateerde bedrijfsmiddelen en ondersteunde wismethode(n) (zie 8.10).
+
+**Overige informatie**
+
+Het is mogelijk dat de desbetreffende bedrijfsmiddelen niet direct tot de organisatie behoren, zoals openbare clouddienstenet gebruik van zulke bedrijfsmiddelen van derden en van bedrijfsmiddelen van de organisatie in verband met zulke externe bedrijfsmiddelen (bijv. informatie, software) behoort te worden geïdentificeerd al naargelang de situatie en beheerst, bijvoor middel van overeenkomsten met aanbieders van clouddienstenndien er gebruik wordt gemaakt van een op samenwerking gerichte werkomgeving, behoort er ook zorgvuldig te worden gehandeld.
+
+## 5.11 Retourneren van bedrijfsmiddelen
+
++----------------------+--------------------------------------------------+--------------------+--------------------------------+----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==================================+============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------+----------------------------+
+
+**Beheersmaatregel**
+
+Personeel en andere belanghebbenden, al naargelang de situatie, behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren.
+
+**Doel**
+
+De bedrijfsmiddelen van de organisatie beschermen als onderdeel van de procedure voor het wijzigen of beëindigen van het dienstverband, het contract of de overeenkomst.
+
+**Richtlijn**
+
+In de wijzigings- of beëindigingsprocedure behoort formeel het retourneren van alle eerder verstrekte fysieke en elektronische bedrijfsmiddelen die het eigendom zijn van of toevertrouwd zijn aan de organisatie, te worden opgenomen.
+
+Ingeval personeel en andere belanghebbenden apparatuur van de organisatie kopen of eigen persoonlijke apparatuur gebruiken, behoren procedures te worden gevolgd om ervoor te zorgen dat alle relevante informatie wordt getraceerd en aan de organisatie wordt overgedragen en nauwkeurig van de apparatuur wordt verwijderd (zie 7.14).
+
+Indien personeel en andere belanghebbenden beschikken over kennis die belangrijk is voor de lopende bedrijfsvoering, behoort die informatie te worden gedocumenteerd en aan de organisatie te worden overgedragen.
+
+Tijdens de opzegtermijn en daarna behoort de organisatie het onbevoegd kopiëren van relevante informatie (bijv. intellectuele eigendom) door personeel van wie het dienstverband is opgezegd, te voorkomen.
+
+De organisatie behoort alle te retourneren informatie en andere gerelateerde bedrijfsmiddelen duidelijk te identificeren en documentereneze informatie en bedrijfsmiddelen kunnen onder andere zijn:
+
+a) 'endpoint devices' van gebruikers;
+
+b) draagbare opslagapparatuur;
+
+c) specialistische apparatuur;
+
+d) authenticatiehardware (bijv. mechanische sleutels, fysieke tokens en chipkaarten) voor informatiesystemen, locaties en fysieke archieven;
+
+e) fysieke kopieën van informatie.
+
+**Overige informatie**
+
+Het kan lastig zijn informatie te retourneren die zich bevindt op bedrijfsmiddelen die geen eigendom zijn van de organisatien dergelijke gevallen is het nodig het gebruik van informatie door middel van andere beheersmaatregelen voor informatiebeveiliging, zoals het beheer van toegangsrechten (5.18) of het gebruik van cryptografie (8.24) te beperken.
+
+## 5.12 Classificeren van informatie
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Informatiebe- scherming | #Bescherming |
+| | | | | |
+| | | | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+----------------------------+----------------------------+
+
+**Beheersmaatregel**
+
+Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante belanghebbenden.
+
+**Doel**
+
+Bewerkstelligen dat het identificeren van en het inzicht in de beschermingsbehoeften voor informatie in overeenstemming zijn met het belang ervan voor de organisatie.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake het classificeren van informatie vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+De organisatie behoort in het classificatieschema rekening te houden met eisen voor vertrouwelijkheid, integriteit en beschikbaarheid.
+
+Classificaties en gerelateerde beschermende beheersmaatregelen voor informatie behoren rekening te houden met de bedrijfsbehoeften ten aanzien van het delen of beperken van informatie, het beschermen van de integriteit van informatie en het waarborgen van beschikbaarheid, alsmede wettelijke eisen met betrekking tot de vertrouwelijkheid, integriteit of beschikbaarheid van de informatiendere bedrijfsmiddelen dan informatie kunnen ook worden geclassificeerd in overeenstemming met de classificatie van informatie die is opgeslagen in, verwerkt door of anderszins behandeld of beschermd door het bedrijfsmiddel.
+
+Eigenaren van informatie behoren verantwoordelijk te zijn voor de classificatie ervan.
+
+Het classificatieschema behoort regels voor het classificeren te bevatten en criteria voor het na verloop van tijd opnieuw beoordelen van de classificatieesultaten van classificatie behoren te worden geactualiseerd in overeenstemming met wijzigingen in de waarde, gevoeligheid en het belang van informatie in de loop van de levenscyclus.
+
+Het schema behoort te worden afgestemd op het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5 en het behoort te kunnen ingaan op specifieke bedrijfsbehoeften van de organisatie.
+
+De classificatie kan worden vastgesteld aan de hand van de mate van effect die compromittering van de informatie zou hebben op de organisatielk in het schema gedefinieerd niveau behoort een naam te krijgen die betekenis heeft in de context van de toepassing van het classificatieschema.
+
+Het schema behoort organisatiebreed consistent te zijn en te zijn opgenomen in de procedures van de organisatie zodat iedereen informatie en relevante andere gerelateerde bedrijfsmiddelen op dezelfde manier classificeertp deze manier heeft iedereen een gemeenschappelijk begrip van beschermingseisen en past iedereen de passende bescherming toe.
+
+Het binnen de organisatie gebruikte classificatieschema kan verschillen van de schema\'s die andere organisaties gebruiken, zelf als de namen voor niveaus op elkaar lijkenovendien kan de classificatie van informatie die tussen organisaties wordt getransporteerd verschillen, afhankelijk van de context ervan binnen elke organisatie, zelfs als de organisaties dezelfde classificatieschema\'s gebruikenaarom behoren overeenkomsten met andere organisaties waarin het delen van informatie voorkomt, procedures te bevatten voor het identificeren van de classificatie van die informatie en voor het interpreteren van de classificatieniveaus van andere organisatiese overeenstemming tussen verschillende schema\'s kan worden vastgesteld door te zoeken naar gelijkwaardigheid in de gerelateerde methoden voor hantering en bescherming.
+
+**Overige informatie**
+
+Classificatie biedt personen die met informatie omgaan, een beknopte indicatie van hoe deze te behandelen en te beschermen. Het aanmaken van informatiegroepen met gelijksoortige beschermingsbehoeften en het specificeren van informatiebeveiligingsprocedures die gelden voor alle informatie in elke groep, vergemakkelijken diteze aanpak vermindert de behoefte aan afzonderlijke risicobeoordeling en speciaal ontworpen beheersmaatregelen.
+
+Het is mogelijk dat informatie na verloop van tijd niet meer gevoelig of essentieel is. Als de informatie bijvoorbeeld openbaar is gemaakt, gelden er niet langer vertrouwelijkheidseisen voor, maar kan het nog steeds nodig zijn deze vanwege de integriteits- en beschikbaarheidseigenschappen ervan te beschermenet deze aspecten behoort rekening te worden gehouden omdat overclassificatie kan leiden tot het implementeren van onnodige beheersmaatregelen, wat resulteert in extra kosten, terwijl onderclassificatie kan leiden tot onvoldoende beheersmaatregelen om de informatie tegen compromittering te beschermen.
+
+Bij wijze van voorbeeld kan een classificatieschema betreffende de vertrouwelijkheid van informatie worden gebaseerd op de volgende vier niveaus:
+
+a) openbaarmaking veroorzaakt geen schade;
+
+b) openbaarmaking veroorzaakt geringe reputatieschade of een geringe operationele impact;
+
+c) openbaarmaking heeft een kortdurende significante impact op de operationele of bedrijfsdoelstellingen;
+
+d) openbaarmaking heeft een ernstige impact op de langetermijnbedrijfsdoelstellingen of brengt het voortbestaan van de organisatie in gevaar.
+
+## 5.13 Labelen van informatie
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Informatiebe- scherming | #Verdediging |
+| | | | | |
+| | | | | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------+----------------------------+
+
+**Beheersmaatregel**
+
+Om informatie te labelen behoort een passende reeks procedures te worden vastgesteld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.
+
+**Doel**
+
+Het communiceren van de classificatie van informatie mogelijk maken en het automatiseren van informatieverwerking en -beheer ondersteunen.
+
+**Richtlijn**
+
+Procedures voor het labelen van informatie behoren te gaan over informatie en andere gerelateerde bedrijfsmiddelen in alle formatene labeling behoort in overeenstemming te zijn met het classificatieschema vastgesteld in 5e labels behoren gemakkelijk herkenbaar te zijne procedures behoren richtlijnen te geven over waar en hoe labels zijn bevestigd, rekening houdend met hoe de informatie wordt bereikt of hoe de bedrijfsmiddelen worden gehanteerd afhankelijk van de soorten opslagmediae procedures kunnen het volgende definiëren:
+
+a) gevallen waarin labelen niet wordt toegepast (bijvij niet-vertrouwelijke informatie, om de werklast te verminderen);
+
+b) de manier van labelen van informatie die wordt verzonden door of opgeslagen op elektronische of fysieke middelen, of een ander formaat;
+
+c) hoe om te gaan met gevallen waarin labelen niet mogelijk is (bijvanwege technische beperkingen).
+
+Voorbeelden van labeltechnieken zijn:
+
+a) fysieke labels;
+
+b) kop- en voetteksten;
+
+c) metagegevens;
+
+d) watermerken;
+
+e) rubberen stempels.
+
+Digitale informatie behoort gebruik te maken van metagegevens om informatie te identificeren, beheren en beheersen, met name wat betreft vertrouwelijkheidetagegevens behoren ook het doelmatig en correct zoeken naar informatie mogelijk te makenetagegevens behoren mogelijk te maken dat systemen interactie met elkaar hebben en op basis van de toegekende classificatielabels besluiten nemen.
+
+De procedures behoren te beschrijven hoe metagegevens aan informatie worden gekoppeld, welke labels behoren te worden gebruikt en hoe gegevens behoren te worden gehanteerd, in overeenstemming met het informatiemodel en de ICT-architectuur van de organisatie.
+
+Relevante aanvullende metagegevens behoren te worden toegevoegd door systemen wanneer ze informatie verwerken, afhankelijk van de informatiebeveiligingseigenschappen ervan.
+
+Personeel en andere belanghebbenden behoren op de hoogte te worden gebracht van de labelproceduresl het personeel behoort de benodigde training te krijgen om te waarborgen dat informatie juist wordt gelabeld en dienovereenkomstig wordt behandeld.
+
+Output van systemen die informatie bevatten die is geclassificeerd als gevoelig of essentieel, behoort een passend classificatielabel te dragen.
+
+**Overige informatie**
+
+Het labelen van geclassificeerde informatie is een belangrijke eis voor het delen van informatie.
+
+Andere nuttige metagegevens die aan de informatie kunnen worden gekoppeld, zijn welk proces van de organisatie de informatie heeft aangemaakt, en op welk tijdstip.
+
+Het labelen van informatie en andere gerelateerde bedrijfsmiddelen kan soms negatieve effecten hebbeneclassificeerde bedrijfsmiddelen zijn gemakkelijker te identificeren door kwaadwillenden, die daarvan mogelijk misbruik maken.
+
+Bepaalde systemen voorzien individuele bestanden of registraties in databases niet van labels met de classificatie, maar beschermen alle informatie op het hoogste classificatieniveau van de informatie die erin vervat is of mag zijnet is gebruikelijk in dergelijke systemen dat informatie wordt geïdentificeerd en vervolgens gelabeld op het moment van exporteren.
+
+## 5.14 Overdragen van informatie
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescherming | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn vastgesteld voor alle soorten van overdracht binnen de organisatie en tussen de organisatie en andere partijen.
+
+**Doel**
+
+Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe belanghebbende.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort een onderwerpspecifiek beleid inzake de overdracht van informatie vast te stellen en aan alle relevante belanghebbenden mee te delenegels, procedures en overeenkomsten om informatie die wordt overgedragen te beschermen, behoren de classificatie van de desbetreffende informatie te weerspiegelenanneer informatie wordt overgedragen tussen de organisatie en derden, behoren transportovereenkomsten (met inbegrip van authenticatie van de ontvanger) te worden vastgesteld en gehandhaafd om informatie in alle vormen tijdens overdracht te beschermen (zie 5.10).
+
+Informatie kan worden overgedragen via elektronische overdracht, door fysieke opslagmedia over te dragen en via mondelinge overdracht.
+
+Voor alle soorten van overdracht van informatie behoren de regels, procedures en overeenkomsten het volgende te omvatten:
+
+a) beheersmaatregelen die ervoor zijn ontworpen om overgedragen informatie te beschermen tegen interceptie, toegang door onbevoegden, kopiëren, wijziging, foutieve routering, vernietiging en 'denial of service', met inbegrip van toegangsbeveiligingsniveaus die passend zijn bij de classificatie van de desbetreffende informatie en eventuele speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals het gebruik van cryptografische technieken (zie 8.24);
+
+b) beheersmaatregelen om de traceerbaarheid en onweerlegbaarheid te waarborgen, met inbegrip van het in stand houden van een bewakingsketen voor informatie tijdens het overdragen;
+
+c) identificatie van passende contactpersonen met betrekking tot het overdragen, met inbegrip van de eigenaren van de informatie, risico-eigenaren, beveiligingsfunctionarissen en beheerders van informatie, voor zover van toepassing;
+
+d) verantwoordelijkheden en aansprakelijkheden in geval van informatiebeveiligingsincidenten, zoals verlies van fysieke opslagmedia of gegevens;
+
+e) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie 5.13);
+
+f) betrouwbaarheid en beschikbaarheid van de overdrachtdienst;
+
+g) het onderwerpspecifieke beleid of richtlijnen over aanvaardbaar gebruik van overdragen van informatiefaciliteiten (zie 5.10);
+
+h) richtlijnen voor het bewaren en verwijderen van alle bedrijfsregistraties, met inbegrip van berichten;
+
+OPMERKING Er kan lokale wet- en regelgeving bestaan inzake het bewaren en verwijderen van bedrijfsregistraties.
+
+i) aandacht voor andere relevante eisen van wet- en regelgeving, statutaire en contractuele eisen (zie 5.31, 5.32, 5.33, 5.34) in verband met het overdragen van informatie (bijvisen voor elektronische handtekeningen).
+
+Elektronisch transport
+
+In regels, procedures en overeenkomsten behoort ook rekening te worden gehouden met de volgende punten bij het gebruik van elektronische communicatiefaciliteiten voor het overdragen van informatie:
+
+a) het detecteren van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie 8.7);
+
+b) bescherming van als bijlage gecommuniceerde gevoelige elektronische informatie;
+
+c) het voorkómen dat documenten en berichten in mededelingen naar het verkeerde adres of nummer worden gestuurd;
+
+d) het verkrijgen van toestemming voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken, het delen van bestanden of opslag in de cloud;
+
+e) sterkere authenticatieniveaus bij het overdragen van informatie via openbaar toegankelijke netwerken;
+
+f) beperkingen die samenhangen met het gebruik van elektronische communicatiefaciliteiten (bijv. het geautomatiseerd doorsturen van e-mail naar externe e-mailadressen voorkomen);
+
+g) personeel en andere belanghebbenden adviseren geen berichten met essentiële informatie via sms of andere vormen van instant messaging te verzenden, aangezien deze op openbare plekken (en derhalve door onbevoegden) kunnen worden gelezen of kunnen worden opgeslagen op apparaten die niet afdoende zijn beschermd;
+
+h) personeel en andere belanghebbenden informeren over problemen in verband met het gebruiken van faxapparatuur of -diensten, namelijk:
+
+1) onbevoegde toegang tot ingebouwde berichtenboxen om berichten op te vragen;
+
+2) opzettelijk of onbedoeld programmeren van machines, waardoor berichten naar bepaalde nummers worden gestuurd.
+
+Fysiek overdragen van opslagmedia
+
+Bij het overdragen van fysieke opslagmedia, waaronder papier, behoort in de regels, procedures en overeenkomsten ook te zijn voorzien in:
+
+a) verantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
+
+b) het garanderen van correcte adressering en overdracht van het bericht;
+
+c) verpakking die de inhoud beschermt tegen fysieke schade waarvan aannemelijk is dat deze zich kan voordoen tijdens het overdragen en overeenkomstig de specificaties van fabrikanten, bijv. verpakking die bescherming biedt tegen omgevingsfactoren die de doeltreffendheid kunnen verminderen van het herstellen van opslagmedia, zoals blootstelling aan warmte, vocht of elektromagnetische velden; met gebruikmaking van de minimale technische normen voor verpakking en verzending (bijv. het gebruik van ondoorzichtige enveloppen);
+
+d) een door het management goedgekeurde lijst van goedgekeurde betrouwbare koeriers;
+
+e) koeriersidentificatienormen;
+
+f) afhankelijk van het classificatieniveau van de informatie in of op de over te dragen opslagmedia, de toepassing van beheersmaatregelen waardoor manipulatie duidelijk wordt aangetoond of die tegen manipulatie bestendig zijn (bijv. tassen, containers);
+
+g) procedures om de identificatie van koeriers te verifiëren;
+
+h) een goedgekeurde lijst van derden die vervoers- of koeriersdiensten verlenen, afhankelijk van de classificatie van de informatie;
+
+i) het bijhouden van registraties die de inhoud van de opslagmedia en de toegepaste bescherming identificeren, een lijst bevatten van bevoegde ontvangers waarin ook wordt vastgelegd hoe vaak de media zijn overgedragen naar de beheerder en in ontvangst zijn genomen op de plaats van bestemming.
+
+Mondelinge overdracht
+
+Om de mondelinge overdracht van informatie te beschermen, behoren personeel en andere belanghebbenden eraan te worden herinnerd dat zij:
+
+a) geen vertrouwelijke mondelinge gesprekken behoren te voeren op openbare plekken of via onveilige communicatiekanalen, aangezien deze door onbevoegden kunnen worden afgeluisterd;
+
+b) geen berichten die vertrouwelijke informatie bevatten, behoren achter te laten op antwoordapparaten of als spraakbericht, omdat deze kunnen worden afgespeeld door onbevoegde personen, op gemeenschappelijke systemen kunnen worden opgeslagen of onjuist kunnen worden opgeslagen als gevolg van foutieve nummerkeuze;
+
+c) op het juiste niveau behoren te zijn gescreend om naar het gesprek te mogen luisteren;
+
+d) behoren te waarborgen dat passende beheersmaatregelen voor de ruimte zijn geïmplementeerd (bijv. geluidsdichtheid, dichte deur);
+
+e) gevoelige gesprekken altijd behoren te beginnen met een disclaimer zodat de aanwezigen het classificatieniveau kennen van wat ze gaan horen en eventuele eisen met betrekking tot de omgang ermee.
+
+**Overige informatie**
+
+Geen overige informatie.
+
+## 5.15 Toegangsbeveiliging
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.
+
+**Doel**
+
+Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
+
+**Richtlijn**
+
+Eigenaren van informatie en andere gerelateerde bedrijfsmiddelen behoren informatiebeveiligings- en bedrijfseisen met betrekking tot toegangsbeveiliging vast te stellenr behoort onderwerpspecifiek beleid inzake toegangsbeveiliging te worden gedefinieerd waarin rekening wordt gehouden met deze eisen en dit behoort naar alle desbetreffende belanghebbenden te worden gecommuniceerd.
+
+Bij deze eisen en het onderwerpspecifieke beleid behoort rekening te worden gehouden met het volgende:
+
+a) vaststellen voor welke entiteiten welke soort toegang tot de informatie en andere gerelateerde bedrijfsmiddelen vereist is;
+
+b) beveiliging van toepassingen (zie 8.26);
+
+c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie 7.2, 7.3, 7.4);
+
+d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie 5.10, 5.12, 5.13);
+
+e) beperkingen op speciale toegangsrechten (zie 8.2);
+
+f) functiescheiding (zie 5.3);
+
+g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie 5.31, 5.32, 5.33, 5.34, 8.3);
+
+h) scheiding van toegangsbeveiligingsfuncties (bijvoegangsverzoek, -autorisatie, -administratie);
+
+i) formele autorisatie voor verzoeken om toegang (zie 5.16 en 5.18);
+
+j) het beheer van toegangsrechten (zie 5.18);
+
+k) registratie (zie 8.15).
+
+Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie
+
+5)en entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
+
+Bij het definiëren en implementeren van regels voor toegangsbeveiliging behoort rekening te worden gehouden met het volgende:
+
+a) consistentie tussen de toegangsrechten en de informatieclassificatie;
+
+b) consistentie tussen de toegangsrechten en de behoeften en eisen met betrekking tot de fysieke
+
+beveiliging van de buitengrenzen;
+
+c) het in aanmerking nemen van alle soorten beschikbare verbindingen in gedistribueerde omgevingen zodat entiteiten alleen toegang krijgen tot informatie en andere gerelateerde bedrijfsmiddelen, waaronder netwerken en netwerkdiensten waarvoor zij als gebruiker bevoegd zijn;
+
+d) het overwegen hoe elementen of factoren die relevant zijn voor dynamische toegangsbeveiliging
+
+kunnen worden weergegeven.
+
+**Overige informatie**
+
+Er worden vaak overkoepelende principes gebruikt in de toegangsbeveiligingscontextwee van de meest gebruikte principes zijn:
+
+a) 'need-to-know': een entiteit krijgt alleen toegang tot de informatie die de entiteit in kwestie nodig heeft voor het uitvoeren van zijn functies (verschillende functies of rollen betekenen verschillende 'need-to-know'-informatie en daardoor verschillende toegangsprofielen);
+
+b) noodzaak tot gebruik ('need-to-use'): een entiteit krijgt alleen toegang tot de
+
+informatietechnologie-infrastructuur indien daarvoor een duidelijke noodzaak bestaat.
+
+Bij het opstellen van regels voor toegangsbeveiliging behoort aandacht te worden besteed aan het volgende:
+
+a) het vaststellen van regels gebaseerd op de vooronderstelling van het 'least privilege' (minste rechten): 'Alles is in principe verboden tenzij het uitdrukkelijk is toegelaten', in plaats van de zwakkere regel 'Alles is in principe toegelaten tenzij het uitdrukkelijk is verboden';
+
+b) wijzigingen in informatielabels (zie 5) die automatisch door informatieverwerkende faciliteiten
+
+worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
+
+c) wijzigingen in toegangsrechten voor gebruikers die automatisch door het informatiesysteem
+
+worden aangebracht, en wijzigingen die door een beheerder worden aangebracht;
+
+d) de momenten van het definiëren en regelmatig beoordelen van de goedkeuring.
+
+Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie 5, 5, 5, 8 8 8 8 8) en gedefinieerde verantwoordelijkheden (zie 5 5).
+
+
+
+
+Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging).
+
+Regels voor toegangsbeveiliging kunnen ook dynamische elementen bevatten (bijven functie die toegangsinstanties uit het verleden of specifieke omgevingswaarden beoordeelt)egels voor toegangsbeveiliging kunnen met verschillende granulariteit worden geïmplementeerd, uiteenlopend van het afdekken van volledige netwerken of systemen tot specifieke gegevensvelden, en hierbij kunnen ook eigenschappen zoals de locatie van de gebruiker of het soort netwerkverbinding dat voor de toegang wordt gebruikt, in aanmerking worden genomeneze principes, evenals de wijze waarop granulaire toegangsbeveiliging wordt gedefinieerd, kunnen een aanmerkelijk kosteneffect hebbentrengere regels en meer granulariteit leiden doorgaans tot hogere kostenan de hand van bedrijfseisen en risico-overwegingen behoort te worden gedefinieerd welke regels voor toegangsbeveiliging worden toegepast en welke granulariteit vereist is.
+
+## 5.16 Identiteitsbeheer
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De volledige levenscyclus van identiteiten behoort te worden beheerd.
+
+**Doel**
+
+De unieke identificatie van personen en systemen die toegang hebben tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, en een juiste toewijzing van toegangsrechten mogelijk maken.
+
+**Richtlijn**
+
+De processen die worden gebruikt in de context van identiteitsbeheer, behoren te bewerkstelligen dat:
+
+a) indien identiteiten aan personen zijn toegewezen, een specifieke identiteit slechts aan één persoon wordt gekoppeld zodat de persoon ertoe kan worden gehouden rekenschap af te leggen voor met deze specifieke identiteit verrichte handelingen;
+
+b) aan meer personen toegewezen identiteiten (bijvedeelde identiteiten) alleen zijn toegestaan wanneer ze om zakelijke of operationele redenen nodig zijn en ze aan speciale goedkeuring en documentatie worden onderworpen;
+
+c) naar behoren gescheiden goedkeuring en onafhankelijk lopend toezicht wordt uitgeoefend indien
+
+identiteiten aan niet-menselijke entiteiten zijn toegewezen;
+
+d) identiteiten tijdig gedeactiveerd of verwijderd worden als ze niet meer nodig zijn (bijvls de gerelateerde entiteiten worden verwijderd of niet langer worden gebruikt of als de aan een identiteit gekoppelde persoon de organisatie heeft verlaten of van rol is veranderd);
+
+
+
+
+e) in een specifiek domein één enkele identiteit aan één enkele entiteit wordt gekoppeld [dzat wordt vermeden dat meerdere identiteiten binnen dezelfde context aan dezelfde entiteit worden gekoppeld (dubbele identiteiten)];
+
+f) registraties worden bijgehouden van alle belangrijke gebeurtenissen betreffende het gebruik en het
+
+beheer van gebruikersidentiteiten en authenticatie-informatie.
+
+De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omgaan met veranderingen aan informatie met betrekking tot gebruikersidentiteiteneze processen kunnen het opnieuw verifiëren van vertrouwde documenten met betrekking tot een persoon omvatten.
+
+Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico\'s bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie 5) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie 5) omvatten.
+
+**Overige informatie**
+
+Het verlenen of intrekken van toegang tot informatie en andere gerelateerde bedrijfsmiddelen is doorgaans een meerstapsprocedure:
+
+a) het bevestigen van de zakelijke eisen voor het vaststellen van een identiteit;
+
+b) het verifiëren van de identiteit van een entiteit alvorens deze een logische identiteit toe te kennen;
+
+c) het vaststellen van een identiteit;
+
+d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen
+
+van gerelateerde authenticatiediensten;
+
+e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende
+
+beslissingen over autorisatie of rechten (zie 5).
+
+## 5.17 Beheren van authenticatie-informatie
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+### Beheersmaatregel
+
+De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het informeren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt.
+
+### Doel
+
+Goede authenticatie bewerkstelligen en fouten van authenticatieprocessen voorkomen.
+
+### Richtlijn
+
+**Toewijzing van authenticatie-informatie**
+
+Het toewijzings- en beheerproces behoort te bewerkstelligen dat:
+
+a) tijdens inschrijfprocessen automatisch gegenereerde persoonlijke wachtwoorden of pincodes als tijdelijke geheime authenticatie informatie niet geraden kunnen worden en gebruikers deze na het eerste gebruik moeten wijzigen;
+
+b) er procedures worden vastgesteld om de identiteit van een gebruiker vast te stellen voordat nieuwe, vervangende of tijdelijke authenticatie-informatie wordt verstrekt;
+
+c) authenticatie-informatie, met inbegrip van tijdelijke authenticatie-informatie, op een beveiligde manier aan de gebruikers wordt verzonden (bijv. via een geauthenticeerd en beschermd kanaal) en het gebruik van onbeschermde (onversleutelde) e-mailberichten voor dit doel wordt vermeden;
+
+d) gebruikers de ontvangst van authenticatie-informatie bevestigen;
+
+e) standaard authenticatie-informatie zoals vooraf gedefinieerd of door verkopers verstrekt onmiddellijk na het installeren van systemen of software wordt gewijzigd;
+
+f) registraties van belangrijke gebeurtenissen in verband met de toewijzing en het beheer van authenticatie-informatie worden bewaard en de vertrouwelijkheid ervan gewaarborgd is, en dat de registratiemethode is goedgekeurd (bijvet behulp van een goedgekeurd wachtwoordkluisinstrument).
+
+**Verantwoordelijkheden van gebruikers**
+
+Elke persoon die toegang heeft tot of gebruikmaakt van authenticatie-informatie, behoort erop te worden gewezen ervoor te zorgen dat:
+
+a) geheime authenticatie-informatie zoals wachtwoorden geheim wordt gehoudenersoonlijke geheime authenticatie-informatie mag niet met anderen worden gedeeldeheime authenticatie- informatie die wordt gebruikt in de context van identiteiten die zijn gekoppeld aan meer gebruikers of aan niet-persoonlijke entiteiten, wordt uitsluitend gedeeld met bevoegden.
+
+b) aangetaste of gecompromitteerde authenticatie-informatie wordt gewijzigd onmiddellijk na kennisgeving ervan of na andere aanwijzingen dat deze is gecompromitteerd;
+
+c) wanneer wachtwoorden als authenticatie-informatie worden gebruikt, er sterke wachtwoorden volgens aanbevelingen aan de hand van 'best practices' worden gekozen, bijvoorbeeld:
+
+1) wachtwoorden worden niet gebaseerd op gegevens die iemand anders gemakkelijk met behulp van persoonsgerelateerde informatie (zoals namen, telefoonnummers en geboortedata) kan raden of achterhalen;
+
+2) wachtwoorden worden niet gebaseerd op woordenboekwoorden of combinaties daarvan;
+
+3) gebruik gemakkelijk te onthouden wachtzinnen en probeer daarin alfanumerieke en speciale tekens te gebruiken;
+
+4) wachtwoorden hebben een minimumlengte;
+
+d) een en hetzelfde wachtwoord niet voor verschillende diensten en op verschillende systemen wordt gebruikt;
+
+e) de verplichting om deze regels na te leven ook wordt opgenomen in de arbeidsovereenkomst (zie 6.2;
+
+**Systeem voor wachtwoordbeheer**
+
+Wanneer wachtwoorden worden gebruikt als authenticatie-informatie, behoort het wachtwoordbeheersysteem:
+
+a) gebruikers de mogelijkheid te bieden hun eigen wachtwoord te kiezen en te wijzigen, en een bevestigingsprocedure te bevatten om foutieve invoer te adresseren;
+
+b) sterke wachtwoorden af te dwingen volgens aanbevelingen aan de hand van 'best practices' (zie c) van 'Verantwoordelijkheden van gebruikers');
+
+c) gebruikers te dwingen hun wachtwoord bij het eerste inloggen te wijzigen;
+
+d) af te dwingen dat wachtwoorden worden gewijzigd wanneer dat nodig is, bijva een beveiligingsincident of bij beëindiging of wijziging van dienstverband wanneer een gebruiker beschikt over bekende wachtwoorden voor identiteiten die actief blijven (bijvedeelde identiteiten);
+
+e) het hergebruik van eerdere wachtwoorden te voorkomen;
+
+f) het gebruik van veelgebruikte wachtwoorden en gecompromitteerde gebruikersnamen wachtwoordcombinaties uit gehackte systemen te voorkomen;
+
+g) wachtwoorden niet op het scherm te tonen als ze worden ingevoerd;
+
+h) wachtwoorden in beschermde vorm op te slaan en te versturen.
+
+Wachtwoordversleuteling en hashing behoren te worden uitgevoerd volgens goedgekeurde cryptografische technieken voor wachtwoorden (zie 8.24).
+
+### Overige informatie
+
+Wachtwoorden of wachtzinnen zijn een algemeen gebruikt type authenticatie-informatie en zijn een gebruikelijk middel om de identiteit van een gebruiker te verifiërenndere typen authenticatie- informatie zijn cryptografische sleutels en andere gegevens die zijn opgeslagen op hardwaretokens (bijv. chipkaarten) die authenticatiecodes producerenn biometrische gegevens zoals irisscans of vingerafdrukkenanvullende informatie is te vinden in de ISO/IEC 24760-reeks.
+
+Verplichten dat wachtwoorden vaak worden gewijzigd kan een probleem zijn, aangezien gebruikers geïrriteerd kunnen raken door de frequente wijzigingen, nieuwe wachtwoorden kunnen vergeten, ze op onveilige plaatsen kunnen noteren, of onveilige wachtwoorden kunnen kiezenls 'Single Sign On' (SSO) of andere authenticatiebeheerinstrumenten (bijv. wachtwoordkluizen) beschikbaar worden gesteld, vermindert dat de hoeveelheid authenticatie-informatie die gebruikers moeten beschermen, waardoor de doeltreffendheid van deze beheersmaatregel kan toenemenchter, deze instrumenten kunnen ook de impact van openbaarmaking van authenticatie-informatie vergroten.
+
+Bepaalde toepassingen vereisen dat wachtwoorden voor gebruikers door een onafhankelijke instantie worden toegewezenn dergelijke gevallen zijn de punten a), c) en d) van 'Systeem voor wachtwoordbeheer' niet van toepassing.
+
+
+## 5.18 Toegangsrechten
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Toegangsrechten met betrekking tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.
+
+**Doel**
+
+Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmiddelen wordt vastgesteld en goedgekeurd overeenkomstig de bedrijfseisen.
+
+**Richtlijn**
+
+Verlenen en intrekken van toegangsrechten
+
+De procedure voor het toewijzen of intrekken van fysieke en logische toegangsrechten aan de geauthenticeerde identiteit van een entiteit behoort te omvatten:
+
+a) autorisatie van de eigenaar van de informatie en andere gerelateerde bedrijfsmiddelen verkrijgen voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen (zie 5e verlening van aparte goedkeuring voor toegangsrechten door het management kan ook passend zijn;
+
+b) de bedrijfseisen en het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de
+
+organisatie in overweging nemen;
+
+c) overwegen functies te scheiden, waaronder het scheiden van de rollen van goedkeuring en
+
+implementatie van de toegangsrechten en het scheiden van conflicterende rollen;
+
+d) bewerkstelligen dat toegangsrechten worden ingetrokken wanneer iemand geen toegang meer nodig heeft tot de informatie en andere gerelateerde bedrijfsmiddelen, en met name bewerkstelligen dat toegangsrechten van gebruikers die de organisatie hebben verlaten, tijdig worden ingetrokken;
+
+e) overwegen tijdelijke toegangsrechten voor beperkte duur te verlenen en deze op de afloopdatum in te trekken, met name voor tijdelijk personeel of indien slechts tijdelijk toegang vereist is voor het personeel;
+
+f) verifiëren dat het toegekende toegangsniveau in overeenstemming is met de onderwerpspecifieke beleidsregels inzake toegangsbeveiliging (zie 5) en aansluit op andere informatiebeveiligingseisen zoals functiescheiding (zie 5;
+
+g) waarborgen dat toegangsrechten pas worden geactiveerd (bijvoor dienstverleners) nadat de
+
+autorisatieprocedures succesvol zijn afgerond;
+
+h) een centraal overzicht bijhouden van toegangsrechten die aan een (logische of fysieke) gebruikersidentificatie zijn toegekend om toegang te verkrijgen tot informatie en andere gerelateerde bedrijfsmiddelen;
+
+
+
+
+i) de toegangsrechten aanpassen van gebruikers die van rol of functie zijn veranderd;
+
+j) fysieke en logische toegangsrechten verwijderen of aanpassen, hetgeen kan worden gedaan door sleutels, authenticatie-informatie, ID-kaarten of abonnementen te verwijderen, in te trekken, te herroepen of te vervangen;
+
+k) een registratie bijhouden van wijzigingen in de logische en fysieke toegangsrechten van gebruikers.
+
+Beoordeling van toegangsrechten
+
+Bij het regelmatig beoordelen van fysieke en logische toegangsrechten behoren de volgende aspecten in overweging te worden genomen:
+
+a) de toegangsrechten van gebruikers na een verandering binnen dezelfde organisatie (bijv.
+
+verandering van functie, promotie, demotie) of beëindiging van het dienstverband (zie 6t/m 6;
+
+b) autorisaties voor speciale toegangsrechten.
+
+Overweging voorafgaand aan een wijziging of beëindiging van het dienstverband
+
+De toegangsrechten van een gebruiker tot informatie en gerelateerde bedrijfsmiddelen behoren te worden beoordeeld en aangepast of ingetrokken voorafgaand aan een wijziging aan of beëindiging van het dienstverband, op basis van de evaluatie van risicofactoren zoals:
+
+a) of de beëindiging of wijziging is geïnitieerd door de gebruiker of door het management en de reden
+
+voor de beëindiging;
+
+b) de actuele verantwoordelijkheden van de gebruiker;
+
+c) de waarde van de bedrijfsmiddelen die op dat moment toegankelijk zijn.
+
+**Overige informatie**
+
+Er behoort op te worden gelet dat gebruikerstoegangsrollen worden vastgesteld op basis van bedrijfseisen die een aantal toegangsrechten samenvatten in specifieke gebruikerstoegangsprofielenoegangsverzoeken en beoordelingen van toegangsrechten zijn gemakkelijker te beheren op het niveau van dergelijke rollen dan op het niveau van bijzondere rechten.
+
+Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor personeel dat onbevoegde toegang probeert te verkrijgen (zie 5, 6 6 6.
+
+Ingeval het management de beëindiging van het dienstverband heeft geïnitieerd, bestaat het risico dat ontevreden personeel of externe gebruikers opzettelijk informatie corrumperen of informatieverwerkende faciliteiten saboterenersonen die ontslag nemen of worden ontslagen, kunnen in de verleiding komen informatie te verzamelen voor toekomstig gebruik.
+
+Klonen is een doelmatige manier waarop organisaties toegang aan gebruikers kunnen toewijzenit behoort echter met zorg te gebeuren, op basis van door de organisatie vastgestelde onderscheiden rollen, in plaats van een identiteit met alle gerelateerde toegangsrechten zomaar te klonenan het klonen is het inherente risico verbonden dat het leidt tot buitensporige toegangsrechten tot informatie en andere gerelateerde bedrijfsmiddelen.
+
+
+
+## 5.19 Informatiebeveiliging in leveranciersrelaties
+
+| Attribuut | Waarde |
+| :----------------------------------- | :----------------------------------------------- |
+| Type beheersmaatregel: | #Preventief |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Identificeren |
+| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
+| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
+
+**Beheersmaatregel**
+
+Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheren.
+
+**Doel**
+
+Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake leveranciersrelaties vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+De organisatie behoort processen en procedures te identificeren en te implementeren om de beveiligingsrisico\'s in verband met het gebruik van door leveranciers geleverde producten en diensten op te pakkenit behoort ook van toepassing te zijn op het gebruik door de organisatie van middelen van aanbieders van clouddiensteneze processen en procedures behoren de door de organisatie te implementeren processen en procedures te omvatten, alsmede de processen en procedures waarvan de organisatie vereist dat de leverancier ze implementeert om te starten met het gebruik van de producten of diensten van een leverancier of voor de beëindiging van het gebruik van de producten en diensten van een leverancier, zoals:
+
+a) het vaststellen en documenteren van de soorten leveranciers, bijvCT-diensten, logistieke voorzieningen, financiële diensten, ICT-infrastructuurcomponenten die gevolgen kunnen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie;
+
+b) het vaststellen hoe leveranciers worden geëvalueerd en geselecteerd op basis van de gevoeligheid van informatie, producten en diensten (bijvet marktanalyse, referenties van klanten, beoordeling van documenten, beoordelingen op locatie, certificeringen);
+
+c) het evalueren en selecteren van producten of diensten van een leverancier met toereikende beheersmaatregelen voor informatiebeveiliging en deze beoordelen; met name de juistheid en volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen die de integriteit van de informatie van, en de informatieverwerking door, de leverancier en daarmee de informatiebeveiliging van de organisatie garanderen;
+
+d) het definiëren van de informatie, ICT-diensten en fysieke infrastructuur van de organisatie waartoe leveranciers toegang hebben en die ze kunnen monitoren, beheersen of gebruiken;
+
+e) het definiëren van de door leveranciers geleverde soorten ICT-infrastructuurcomponenten en -diensten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie
+
+f) het beoordelen en beheren van de informatiebeveiligingsrisico's in verband met:
+
+1) het gebruik door leveranciers van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, met inbegrip van risico\'s die uitgaan van mogelijk kwaadwillig personeel van de leverancier;
+
+2) storingen of kwetsbaarheden van de door de leveranciers geleverde producten (met inbegrip van softwarecomponenten en subcomponenten die in deze producten worden gebruikt) of diensten;
+
+g) het monitoren van het voldoen aan vastgestelde informatiebeveiligingseisen voor elke soort leverancier en elke soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
+
+h) het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door monitoring of door andere middelen;
+
+i) het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van leveranciers, met inbegrip van verantwoordelijkheden van zowel de organisatie als van de leveranciers;
+
+j) veerkracht- en, indien nodig, herstel- en calamiteitenmaatregelen om de beschikbaarheid te bewerkstelligen van de informatie van, en de informatieverwerking door, de leverancier en als gevolg daarvan de beschikbaarheid van de informatie van de organisatie;
+
+k) bewustwording en training voor het personeel van de organisatie dat contacten onderhoudt met personeel van de leverancier betreffende passende regels van betrokkenheid, onderwerpspecifieke beleidsregels, processen en procedures en gedrag, gebaseerd op het type leverancier en het soort toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
+
+l) het beheren van het nodige transport van informatie, gerelateerde bedrijfsmiddelen en al het andere dat moet worden veranderd, en waarborgen dat informatiebeveiliging tijdens de gehele transportperiode wordt gehandhaafd;
+
+m)eisen om veilige beëindiging van de leveranciersrelatie te bewerkstelligen, met inbegrip van:
+
+1) het intrekken van toegangsrechten;
+
+2) het omgaan met informatie;
+
+3) het vaststellen van de eigendom van intellectuele eigendom die tijdens de verbintenis is ontwikkeld;
+
+4) de overdraagbaarheid van informatie in geval van verandering van leverancier of 'insourcing';
+
+6) beheer van registraties;
+
+7) het retourneren van bedrijfsmiddelen;
+
+8) beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen;
+
+9) voortdurende geheimhoudingseisen;
+
+n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt verwacht van personeel en faciliteiten van de leverancier.
+
+Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijvls gevolg van een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende producten of diensten te voorkomen (bijvoor van tevoren een alternatieve leverancier aan te wijzen of altijd gebruik te maken van alternatieve leveranciers).
+
+**Overige informatie**
+
+In gevallen waarin het voor een organisatie niet mogelijk is eisen te stellen aan een leverancier, behoort de organisatie:
+
+a) de in deze beheersmaatregel gegeven richtlijnen in aanmerking te nemen bij het nemen van beslissingen over de keuze van een leverancier en zijn product of dienst;
+
+b) op basis van een risicobeoordeling benodigde compenserende beheersmaatregelen te implementeren.
+
+Informatie kan in gevaar worden gebracht door leveranciers met een ontoereikend informatiebeveiligingsbeheer. Om de toegang tot informatie en andere gerelateerde bedrijfsmiddelen door de leverancier te beheren, behoren beheersmaatregelen te worden vastgesteld en toegepast.
+
+Indien er bijvoorbeeld een speciale noodzaak is om de informatie vertrouwelijk te houden, kunnen geheimhoudingsovereenkomsten of cryptografische technieken worden gebruikten.
+
+Ander voorbeeld vormen risico\'s voor de bescherming van persoonlijke gegevens als de leveranciersovereenkomst betrekking heeft op de overdracht van, of toegang tot informatie over de grens. De organisatie behoort zich ervan bewust te zijn dat de wettelijke of contractuele verantwoordelijkheid voor het beschermen van de informatie bij de organisatie ligt.
+
+Risico\'s kunnen ook worden veroorzaakt door ontoereikende beheersmaatregelen van door leveranciers geleverde ICT-infrastructuurcomponenten of -dienstenomponenten of diensten met storingen of kwetsbaarheden kunnen inbreuken op de informatiebeveiliging in de organisatie of voor een andere entiteit veroorzaken. Ze kunnen bijvoorbeeld besmetting met malware, aanvallen of andere schade aan andere entiteiten dan de organisatie veroorzaken.
+
+Zie ISO/IEC 27036-2 voor nadere details.
+
+## 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
+
+
+| Attribuut | Waarde |
+| :----------------------------------- | :----------------------------------------------- |
+| Type beheersmaatregel: | #Preventief |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Identificeren |
+| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
+| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
+
+**Beheersmaatregel**
+
+Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen.
+
+**Doel**
+
+Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
+
+**Richtlijn**
+
+Leveranciersovereenkomsten behoren te worden vastgesteld en gedocumenteerd om te waarborgen dat er tussen de organisatie en de leverancier duidelijkheid bestaat ten aanzien van de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
+
+Om aan de vastgestelde informatiebeveiligingseisen te voldoen kan worden overwogen de volgende voorwaarden in de overeenkomsten op te nemen:
+
+a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te verschaffen of toegankelijk te maken;
+
+b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 5.10, 5.12, 5.13);
+
+c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de leverancier;
+
+d) eisen van wet- en regelgeving, statutaire en contractuele eisen, met inbegrip van gegevensbescherming, het omgaan met persoonsgegevens, rechten van intellectuele eigendom en auteursrecht, en een beschrijving van hoe wordt gewaarborgd dat eraan wordt voldaan;
+
+e) de verplichting van elke contractpartij om overeengekomen beheersmaatregelen te implementeren, met inbegrip van toegangsbeveiliging, prestatiebeoordeling, monitoren, melden, rapportage en auditen en de verplichtingen van de leverancier om te voldoen aan de informatiebeveiligingseisen van de organisatie;
+
+f) de regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen, met
+
+inbegrip van onaanvaardbaar gebruik indien noodzakelijk;
+
+g) procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door personeel van de leverancier (bijvan de hand van een specifieke lijst van personeel van leveranciers dat bevoegd is om de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie te gebruiken);
+
+h) informatiebeveiligingseisen met betrekking tot de ICT-infrastructuur van de leverancier; met name minimale informatiebeveiligingseisen voor elk type informatie en elk type toegang, te gebruiken als basis voor individuele overeenkomsten met leveranciers op basis van de bedrijfsbehoeften en risicocriteria van de organisatie;
+
+i) schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet;
+
+j) eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident);
+
+k) trainings- en bewustwordingseisen voor specifieke procedures en informatiebeveiligingseisen (bijv. voor incidentresponsprocedures, autorisatieprocedures);
+
+l) relevante voorzieningen voor uitbesteding, met inbegrip van de te implementeren beheersmaatregelen, zoals een overeenkomst over de inzet van onderleveranciers (bijvisen dat voor hen dezelfde verplichtingen gelden als voor de leverancier, eisen dat er een lijst van onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert);
+
+m) relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging;
+
+n) screeningeisen, indien wettelijk toegestaan, voor het personeel van leveranciers, met inbegrip van verantwoordelijkheden voor het uitvoeren van de screening en kennisgevingsprocedures indien de screening niet is voltooid of de resultaten aanleiding geven tot twijfel of bezorgdheid;
+
+o) de bewijs- en borgingsmechanismen van attesten van derden voor relevante informatiebeveiligingseisen met betrekking tot de processen van leveranciers en een onafhankelijk rapport over de doeltreffendheid van beheersmaatregelen;
+
+p) het recht om de processen en beheersmaatregelen van de leverancier in verband met de overeenkomst te auditen;
+
+q) verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid van beheersmaatregelen, en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld;
+
+r) procedures voor het oplossen van defecten en conflicten;
+
+s) voorzien in back-up die is afgestemd op de behoeften van de organisatie (wat betreft frequentie en type en opslaglocatie);
+
+t) het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit (dzoodherstellocatie) waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit en overwegingen met betrekking tot alternatieve beheersmaatregelen waarop wordt teruggevallen indien de primaire beheersmaatregelen falen;
+
+u) de beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat de organisatie vooraf op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden;
+
+v) fysieke beveiligingsbeheersmaatregelen die passen bij de classificatie van de informatie;
+
+w) beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens fysiek transport of tijdens logische overdracht;
+
+x) beëindigingsclausules bij het afsluiten van de overeenkomst, met inbegrip van beheer van registraties, het retourneren van bedrijfsmiddelen, beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen en eventuele doorlopende geheimhoudingsverplichtingen;
+
+y) het voorzien in een methode om de door de leverancier opgeslagen informatie van de organisatie op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is;
+
+z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere leverancier of aan de organisatie zelf bij het einde van de overeenkomst.
+
+De organisatie behoort een register van afspraken met externe partijen (bijv. contracten, een memorandum van overeenstemming, overeenkomsten voor het delen van informatie) op te stellen en te onderhouden om bij te houden waar haar informatie naartoe gaate organisatie behoort ook haar overeenkomsten met externe partijen regelmatig te beoordelen, te valideren en bij te werken om te garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules over informatiebeveiliging bevatten.
+
+
+**Overige informatie**
+
+De overeenkomsten kunnen voor de verschillende organisaties en de verschillende soorten leveranciers aanzienlijk variërenerhalve behoort erop te worden toegezien dat alle relevante eisen voor het oppakken van informatiebeveiligingsrisico's erin worden opgenomen.
+
+Voor gegevens over overeenkomsten met leveranciers, zie de ISO/IEC 27036-reeks. Voor gegevens over overeenkomsten voor clouddiensten, zie de ISO/IEC 19086-reeks.
+
+## 5.21 Beheren van informatiebeveiliging in de ICT-keten
+
+
+
+| Attribuut | Waarde |
+| :----------------------------------- | :----------------------------------------------- |
+| Type beheersmaatregel: | #Preventief |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Identificeren |
+| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
+| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
+
+
+
+**Beheersmaatregel**
+
+Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten en -diensten te beheren.
+
+**Doel**
+
+Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
+
+**Richtlijn**
+
+In aanvulling op de algemene informatiebeveiligingseisen voor leveranciersrelaties behoren de volgende informatiebeveiligingsonderwerpen in aanmerking te worden genomen binnen de beveiliging van de ITC-toeleveringsketen:
+
+a) informatiebeveiligingseisen definiëren die van toepassing zijn op het verwerven van ICT-producten of -diensten;
+
+b) eisen dat leveranciers de beveiligingseisen van de organisatie in de gehele toeleveringsketen bekendmaken indien zij delen van de ICT-dienst die zij aan de organisatie leveren, uitbesteden;
+
+c) eisen dat de leveranciers van ICT-producten passende beveiligingspraktijken in de gehele toeleveringsketen bekendmaken indien deze producten componenten bevatten die worden ingekocht bij of verkregen van andere leveranciers of andere entiteiten (bijvoftwareontwikkelaars en leveranciers van hardwarecomponenten die op basis van onderaanneming werken);
+
+d) verzoeken dat de leveranciers van ICT-producten informatie verstrekken waarin de in producten gebruikte softwarecomponenten worden beschreven;
+
+e) verzoeken dat de leveranciers van ICT-producten informatie verstrekken waarin de geïmplementeerde beveiligingsfuncties van hun product en de voor het veilige gebruik ervan vereiste configuratie worden beschreven;
+
+f) een monitoringproces en aanvaardbare methoden voor het valideren dat de geleverde ICT-producten en -diensten voldoen aan de gestelde beveiligingseisen, implementerenoorbeelden
+
+van zulke methoden voor het beoordelen van leveranciers zijn penetratietests en bewijs of validatie van attesten van derden voor de informatiebeveiligingsactiviteiten van de leverancier;
+
+g) een proces implementeren voor het vaststellen en documenteren van componenten van producten of diensten die essentieel zijn voor het handhaven van de functionaliteit en daarom verhoogde aandacht, toezicht en verdere opvolging vereisen als deze buiten de organisatie worden gebouwd, in het bijzonder indien de leverancier delen van componenten van producten of diensten aan andere leveranciers uitbesteedt;
+
+h) zekerheid verkrijgen dat essentiële componenten en de herkomst ervan in de toeleveringsketen kunnen worden getraceerd;
+
+i) zekerheid verkrijgen dat de geleverde ICT-producten functioneren zoals voorzien zonder onverwachte of ongewenste verschijnselen;
+
+j) processen implementeren om te garanderen dat componenten van leveranciers echt zijn en ongewijzigd zijn ten opzichte van de specificatiesoorbeeldmaatregelen zijn labels tegen manipulatie, cryptografische hashverificaties of digitale handtekeningenonitoren op prestaties die niet aan de specificaties voldoen, kan een manier zijn om manipulatie of namaak aan te tonen.
+
+Er behoort preventie en detectie van manipulatie te worden geïmplementeerd tijdens verschillende fasen van de levenscyclus van systeemontwikkeling, met inbegrip van de ontwerp-, ontwikkel-, integratie-, operationele en onderhoudsfasen;
+
+k) waarborgen dat ICT-producten de vereiste beveiligingsniveaus halen, bijvoor middel van een formele certificerings- of beoordelingsregeling, zoals de Common Criteria Recognition Arrangement;
+
+l) regels definiëren voor het delen van informatie met betrekking tot de toeleveringsketen en potentiële kwesties en compromissen tussen de organisatie en leveranciers;
+
+m)specifieke processen implementeren voor het beheren van de levenscyclus en beschikbaarheid van ICT-componenten en gerelateerde beveiligingsrisico\'sit omvat het beheren van de risico\'s dat onderdelen niet langer beschikbaar zijn omdat leveranciers hun bedrijf hebben gestaakt of deze onderdelen als gevolg van technologische ontwikkelingen niet meer aanbiedenet identificeren van een alternatieve leverancier en het proces om software en competentie naar de alternatieve leverancier over te brengen behoren te worden overwogen.
+
+**Overige informatie**
+
+De specifieke risicobeheerpraktijken betreffende de ICT-toeleveringsketen komen boven op de algemene praktijken van informatiebeveiliging, kwaliteit, projectmanagement en systeemengineering, maar vervangen deze niet.
+
+Organisaties wordt geadviseerd om samen te werken met leveranciers voor een goed begrip van de ICT-toeleveringsketen en de aangelegenheden die een belangrijke uitwerking hebben op de producten en diensten die worden geleverde organisatie kan informatiebeveiligingspraktijken van de ICT- toeleveringsketen beïnvloeden door in overeenkomsten met leveranciers de aangelegenheden bekend te maken waaraan door andere leveranciers in de ICT-toeleveringsketen invulling behoort te worden gegeven.
+
+ICT behoort te worden verkregen van bronnen met een goede reputatiee betrouwbaarheid van software en hardware is een kwestie van kwaliteitscontroleoewel het voor een organisatie over het algemeen niet mogelijk is om de kwaliteitscontrolesystemen van haar leveranciers te inspecteren, kan zij wel een betrouwbaar oordeel vellen op basis van de reputatie van de leverancier.
+
+De ICT-toeleveringsketen zoals hier bedoeld omvat ook clouddienstenoorbeelden van ICT-toeleveringsketens zijn:
+
+a) 'cloud services provisioning', waar de aanbieder van de clouddienst afhankelijk is van de softwareontwikkelaars, aanbieders van telecommunicatiediensten, hardware-aanbieders;
+
+b) internet of things (IoT), waarbij de dienst ook de fabrikanten van apparatuur, de aanbieders van de clouddienst (bijve exploitanten van het IoT-platform), de ontwikkelaars voor mobiele en internettoepassingen en de leverancier van softwarebibliotheken betreft;
+
+c) hostingdiensten, waar de aanbieder op externe servicebalies vertrouwt, met inbegrip van eerste, tweede en derde niveaus van ondersteuning.
+
+Zie ISO/IEC 27036-3 voor nadere details met inbegrip van richtlijnen voor risicobeoordeling.
+
+Software-identificatietags (SWID) kunnen ook bijdragen aan betere informatiebeveiliging in de toeleveringsketen, door informatie te geven over de herkomst van softwareie ISO/IEC 19770-2 voor nadere details.
+
+## 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten
+
+
+| Attribuut | Waarde |
+| :----------------------------------- | :---------------------------------------------------------------------- |
+| Type beheersmaatregel: | #Preventief |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Identificeren |
+| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties #Borging_van_informatiebeveiliging |
+| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming #Verdediging |
+
+
+**Beheersmaatregel**
+
+De organisatie behoort de informatiebeveiligingspraktijken en de leveranciersdiensten regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren.
+
+**Doel**
+
+Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.
+
+**Richtlijn**
+
+Het monitoren en beoordelen van, en het beheren van veranderingen aan, leveranciersdiensten behoort te bewerkstelligen dat aan de informatiebeveiligingsvoorwaarden van de overeenkomsten wordt voldaan, informatiebeveiligingsincidenten en -problemen naar behoren worden beheerd en veranderingen in leveranciersdiensten of de bedrijfsstatus niet van invloed zijn op de dienstverlening.
+
+Hiertoe behoort een proces voor het beheer van de relatie tussen de organisatie en de leverancier te bestaan om:
+
+a) de prestatieniveaus van de dienstverlening te monitoren om de naleving van de overeenkomsten te verifiëren;
+
+b) door leveranciers aangebrachte veranderingen te monitoren, waaronder:
+
+1) verbeteringen van de huidige aangeboden dienstverlening;
+
+2) ontwikkelingen van nieuwe toepassingen en systemen;
+
+3) wijzigingen in of updates van beleid en procedures van de leverancier;
+
+4) nieuwe of gewijzigde beheersmaatregelen om informatiebeveiligingsincidenten op te lossen en om de informatiebeveiliging te verbeteren;
+
+c) veranderingen in leveranciersdiensten te monitoren, waaronder:
+
+1) veranderingen en verbeteringen van netwerken;
+
+2) gebruik van nieuwe technologieën;
+
+3) aanvaarding van nieuwe producten of nieuwere versies of uitgaven;
+
+4) nieuwe ontwikkelinstrumenten en omgevingen;
+
+5) veranderingen in fysieke locatie van dienstverleningsfaciliteiten;
+
+6) verandering van onderleveranciers;
+
+7) uitbesteding aan een andere leverancier;
+
+d) de rapporten over de dienstverlening die zijn opgesteld door de leverancier, te beoordelen en regelmatig voortgangsbesprekingen te regelen voor zover door de overeenkomsten vereist;
+
+e) audits van leveranciers en onderleveranciers uit te voeren, in samenhang met de beoordeling van rapporten van onafhankelijke auditoren, indien beschikbaar, en vastgestelde kwesties op te volgen;
+
+f) informatie te verstrekken over informatiebeveiligingsincidenten en deze informatie te beoordelen voor zover vereist door de overeenkomsten en ondersteunende richtlijnen en procedures;
+
+g) audittrajecten van leveranciers en registraties van informatiebeveiligingsgebeurtenissen, operationele problemen, weigeringen, opsporing van storingen en onderbrekingen in verband met de geleverde dienst te beoordelen;
+
+h) te reageren op geïdentificeerde informatiebeveiligingsgebeurtenissen of -incidenten en deze te beheren;
+
+i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren;
+
+j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen;
+
+k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie 5, 5, 5, 5, 8);
+
+l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten;
+
+m)regelmatig te evalueren of de leveranciers afdoende informatiebeveiligingsniveaus in stand houden.
+
+De verantwoordelijkheid voor het beheer van leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of teamm te monitoren dat de eisen van de overeenkomst, in het bijzonder de informatiebeveiligingseisen, worden nagekomen, behoren voldoende technische vaardigheden en middelen beschikbaar te worden gesteldls tekortkomingen in de dienstverlening worden waargenomen behoren passende maatregelen te worden getroffen.
+
+**Overige informatie**
+
+Zie ISO/IEC 27036-3 voor nadere details.
+
+## 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
+
+| Attribuut | Waarde |
+| :----------------------------------- | :----------------------------------------------- |
+| Type beheersmaatregel: | #Preventief |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Beschermen |
+| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties |
+| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming |
+
+
+**Beheersmaatregel**
+
+Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
+
+**Doel**
+
+Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+De organisatie behoort te definiëren en te communiceren hoe zij voornemens is informatiebeveili- gingsrisico\'s in verband met het gebruik van clouddiensten te beherenit kan een uitbreiding zijn of deel uitmaken van de bestaande aanpak voor de manier waarop een organisatie door externe partijen geleverde diensten beheert (zie 5 en 5).
+
+Het gebruik van clouddiensten kan gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedtet is essentieel dat de verantwoordelijkheden voor zowel de aanbieder als de organisatie, handelend als afnemer van de clouddienst, op de juiste wijze worden gedefinieerd en geïmplementeerd.
+
+De organisatie behoort het volgende te definiëren:
+
+a) alle relevante informatiebeveiligingseisen in verband met het gebruik van de clouddiensten;
+
+b) selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten;
+
+c) rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten;
+
+d) welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst en
+
+welke door de organisatie als afnemer van de clouddienst worden beheerd;
+
+e) hoe door de aanbieder van de clouddienst verstrekte informatiebeveiligingscapaciteiten kunnen
+
+worden verkregen en gebruikt;
+
+f) hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten
+
+geïmplementeerde beheersmaatregelen voor informatiebeveiliging;
+
+g) hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten;
+
+h) procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met
+
+betrekking tot het gebruik van clouddiensten;
+
+i) haar aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van
+
+clouddiensten om informatiebeveiligingsrisico's te beheren;
+
+j) hoe het gebruik van clouddiensten met inbegrip van exitstrategieën voor clouddiensten kan
+
+worden gewijzigd of beëindigd.
+
+Overeenkomsten voor clouddiensten zijn vaak vooraf gedefinieerd zonder dat het mogelijk is erover te onderhandelenoor alle clouddiensten behoort de organisatie overeenkomsten voor clouddiensten met de aanbieder(s) van clouddiensten te beoordelenen overeenkomst voor clouddiensten behoort in te gaan op de eisen van de organisatie ten aanzien van vertrouwelijkheid, integriteit, beschikbaarheid en het omgaan met persoonsgegevens, met passende doelstellingen voor het niveau van dienstverlening van de clouddienst en kwalitatieve doelstellingen voor de clouddienste organisatie behoort ook relevante risicobeoordelingen uit te voeren om de risico\'s in verband met het gebruik van de clouddienst te identificerenventuele overblijvende risico\'s in verband met het gebruik van de clouddienst behoren duidelijk te worden geïdentificeerd en aanvaard door het passende management van de organisatie.
+
+Een overeenkomst tussen de aanbieder van een clouddienst en de organisatie, in haar rol van afnemer van de clouddienst, behoort de volgende bepalingen te bevatten voor de bescherming van de gegevens van de organisatie en de beschikbaarheid van diensten:
+
+a) het leveren van oplossingen op basis van door de industrie aanvaarde normen voor architectuur en
+
+infrastructuur;
+
+b) het beheren van toegangsbeveiligingsmaatregelen van de clouddienst conform de eisen van de
+
+organisatie;
+
+c) het implementeren van oplossingen voor het monitoren van en beschermen tegen malware;
+
+d) het verwerken en op goedgekeurde locaties (bijven bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid opslaan van gevoelige informatie van de organisatie;
+
+e) het bieden van gerichte steun indien er zich een informatiebeveiligingsincident voordoet in de
+
+cloudomgeving;
+
+f) het bewerkstelligen dat aan de informatiebeveiligingseisen van de organisatie wordt voldaan indien clouddiensten verder worden uitbesteed aan een externe leverancier (of verbieden dat clouddiensten worden uitbesteed);
+
+g) het ondersteunen van de organisatie bij het verzamelen van digitaal bewijsmateriaal, met inachtneming van wet- en regelgeving inzake digitaal bewijsmateriaal in verschillende rechtsgebieden;
+
+h) het voorzien in passende ondersteuning en beschikbaarheid van diensten gedurende een passend
+
+tijdsbestek wanneer de organisatie niet langer gebruik wil maken van de clouddienst;
+
+i) het voorzien in de vereiste back-ups van gegevens en configuratie-informatie en het veilig beheren van back-ups voor zover van toepassing, op basis van de capaciteiten van de leverancier van de clouddienst die wordt ingezet door de organisatie in haar rol als afnemer van de clouddienst;
+
+j) het verstrekken en retourneren van informatie zoals configuratiebestanden, broncode en gegevens die eigendom zijn van de organisatie in haar rol van afnemer van de clouddienst op verzoek of bij beëindiging van de dienst.
+
+In haar rol van afnemer van de clouddienst behoort de organisatie te overwegen of de overeenkomst behoort te vereisen dat de aanbieders van clouddiensten vooraf kennis geven van wezenlijke wijzigingen aan hoe de dienst aan de organisatie wordt geleverd die gevolgen hebben voor de afnemer, waaronder:
+
+a) wijzigingen aan de technische infrastructuur (bijverhuizing, herconfiguratie of wijzigingen in hardware of software) die van invloed zijn op, of tot veranderingen leiden in, de aangeboden clouddienst;
+
+b) het verwerken of opslaan van informatie in een nieuw geografisch of juridisch rechtsgebied;
+
+c) het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers (met inbegrip
+
+van het wijzigen van bestaande of het gebruik van nieuwe partijen).
+
+De organisatie die clouddiensten gebruikt, behoort nauw contact te onderhouden met haar aanbieders van de clouddiensteneze contacten maken wederzijdse uitwisseling mogelijk van informatie over informatiebeveiliging voor het gebruik van de clouddiensten, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie, in haar rol van afnemer van de clouddiensten, om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.
+
+**Overige informatie**
+
+Deze beheersmaatregel bekijkt cloudbeveiliging vanuit het oogpunt van de afnemer van de clouddienst(en).
+
+Aanvullende informatie met betrekking tot clouddiensten is te vinden in ISO/IEC 17788, ISO/IEC 17789 en ISO/IEC 22123-1pecifieke informatie met betrekking tot clouds en overdraagbaarheid bij exitstrategieën is te vinden in ISO/IEC 19941pecifieke informatie met
+
+betrekking tot informatiebeveiliging en publieke clouddiensten wordt beschreven in ISO/IEC 27017pecifieke informatie met betrekking tot de bescherming van persoonsgegevens in publieke clouds die als verwerker van persoonsgegevens fungeren, wordt beschreven in ISO/IEC 27018everanciers- relaties voor clouddiensten worden behandeld in ISO/IEC 27036-4 en clouddienstovereenkomsten en de inhoud ervan worden behandeld in de ISO/IEC 19086-reeks, waarbij ISO/IEC 19086-4 specifiek ingaat op beveiliging en privacy.
+
+
+## 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten
+
+| Attribuut | Waarde |
+| :----------------------------------- | :----------------------------------------------- |
+| Type beheersmaatregel: | #Corrigerend |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Reageren |
+| Operationele capaciteiten: | #Beheer_van_infor- matiebeveiligings- gebeurtenissen |
+| Beveiligingsdomeinen: | #Verdediging |
+
+
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================================================================+=====================+
+| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Governance #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Herstellen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren.
+
+**Doel**
+
+Een snelle, doeltreffende, consistente en geordende reactie op informatiebeveiligingsincidenten, met inbegrip van communicatie over informatiebeveiligingsgebeurtenissen, bewerkstelligen.
+
+**Richtlijn**
+
+Rollen en verantwoordelijkheden
+
+De organisatie behoort passende processen voor het beheer van informatiebeveiligingsincidenten op te stellenollen en verantwoordelijkheden voor het uitvoeren van de procedures voor incidentenbeheer behoren te worden vastgesteld en op doeltreffende wijze te worden gecommuniceerd aan de relevante interne en externe belanghebbenden.
+
+Het volgende behoort te worden overwogen:
+
+a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings-
+
+gebeurtenissen met inbegrip van een contactpunt (zie 6;
+
+b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden;
+
+c) een proces opstellen voor het reageren op incidenten waardoor de organisatie het vermogen krijgt
+
+informatiebeveiligingsincidenten te beoordelen, erop te reageren en er lering uit te trekken;
+
+d) alleen competent personeel toestaan de kwesties te behandelen die verband houden met informatiebeveiligingsincidenten binnen de organisatieit personeel behoort te worden voorzien van documentatie over de procedures en periodieke training;
+
+e) een proces opstellen voor het identificeren van vereiste training, certificering en voortdurende
+
+professionele ontwikkeling van personeel dat de taak heeft op incidenten te reageren.
+
+Procedures voor incidentenbeheer
+
+De doelstellingen voor het beheer van informatiebeveiligingsincidenten behoren met het management te worden overeengekomen en er behoort te worden gewaarborgd dat de personen die verantwoordelijk zijn voor het beheer van informatiebeveiligingsincidenten, op de hoogte zijn van de prioriteiten van de organisatie voor het behandelen van informatiebeveiligingsincidenten met
+
+inbegrip van een op de mogelijke gevolgen en ernst gebaseerde tijdspanne voor het oplossen ervanr
+
+
+
+
+behoren procedures voor incidentenbeheer te worden geïmplementeerd die aan deze doelstellingen en prioriteiten voldoen.
+
+Het management behoort te bewerkstelligen dat er een plan voor het beheer van informatiebeveiligingsincidenten wordt opgesteld waarbij rekening wordt gehouden met verschillende scenario\'s en dat er procedures worden ontwikkeld en geïmplementeerd voor de volgende activiteiten:
+
+a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor wat een
+
+informatiebeveiligingsincident uitmaakt;
+
+b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
+
+c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
+
+d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe
+
+belangengroepen en fora, leveranciers en klanten (zie 5en 5;
+
+e) het registreren van incidentbeheeractiviteiten;
+
+f) het behandelen van bewijs (zie 5);
+
+g) analyse van de onderliggende oorzaak of post-mortemprocedures;
+
+h) identificatie van getrokken lering en eventueel vereiste verbeteringen van de procedures voor
+
+incidentenbeheer of de beheersmaatregelen voor informatiebeveiliging in het algemeen.
+
+Meldings- en rapportageprocedures
+
+Meldings- en rapportageprocedures behoren de volgende aspecten te omvatten:
+
+a) de in geval van een informatiebeveiligingsgebeurtenis te treffen maatregelen (bijvnmiddellijk alle relevante details zoals de optredende storing en berichten op het scherm noteren, onmiddellijk melden bij het contactpunt en alleen gecoördineerde actie ondernemen);
+
+b) het gebruik van incidentenformulieren om het personeel te ondersteunen bij het verrichten van alle
+
+noodzakelijke handelingen bij het melden van informatiebeveiligingsincidenten;
+
+c) passende feedbackprocedures om te bewerkstelligen dat de personen die informatiebeveiligingsgebeurtenissen melden, voor zover mogelijk over de resultaten worden geïnformeerd nadat de kwestie is opgepakt en afgesloten;
+
+d) het opstellen van rapportage over incidenten.
+
+Bij het implementeren van procedures voor incidentenbeheer behoren externe eisen ten aanzien van het binnen het gedefinieerde tijdsbestek melden van incidenten aan relevante belanghebbenden (bijvisen voor het melden van inbreuken aan de regelgevende instanties) in aanmerking te worden genomen.
+
+
+
+
+**Overige informatie**
+
+Informatiebeveiligingsincidenten kunnen de grenzen van organisaties en landen overschrijdenm op dergelijke incidenten te kunnen reageren is het nuttig om indien van toepassing opvolging te coördineren en informatie over deze incidenten te delen met externe organisaties.
+
+De ISO/IEC 27035-reeks biedt gedetailleerde richtlijnen over het beheer van informatiebeveiligingsincidenten.
+
+## 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Reageren | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten.
+
+**Doel**
+
+Doeltreffende categorisering en prioritering van informatiebeveiligingsgebeurtenissen bewerkstelligen.
+
+**Richtlijn**
+
+Er behoort een categoriserings- en prioriteringsschema voor informatiebeveiligingsincidenten te worden overeengekomen voor het identificeren van de gevolgen en prioriteit van een incidentet schema behoort de criteria te omvatten voor het als informatiebeveiligingsincident categoriseren van gebeurtenissenet contactpunt behoort elke informatiebeveiligingsgebeurtenis aan de hand van het overeengekomen schema te beoordelen.
+
+Personeel dat verantwoordelijk is voor het coördineren van en reageren op informatiebeveiligings- incidenten behoort de beoordeling uit te voeren en een besluit te nemen over informatiebeveiligingsgebeurtenissen.
+
+Resultaten van de beoordeling en het besluit behoren in detail te worden geregistreerd ten behoeve van toekomstige raadpleging en verificatie.
+
+**Overige informatie**
+
+De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.
+
+
+
+
+## 5.26 Reageren op informatiebeveiligingsincidenten
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Herstellen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
+
+**Doel**
+
+Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewerkstelligen.
+
+**Richtlijn**
+
+De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen.
+
+Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten.
+
+De reactie behoort de volgende aspecten te omvatten:
+
+a) de systemen die door het incident worden getroffen inperken als de gevolgen van het incident zich
+
+kunnen uitbreiden;
+
+b) zo snel mogelijk na het incident bewijs verzamelen (zie 5);
+
+c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door
+
+bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5);
+
+d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor
+
+latere analyse;
+
+e) het bestaan van het informatiebeveiligingsincident of relevante details daarvan volgens het 'need-
+
+to-know'-principe aan alle relevante in- en externe belanghebbenden communiceren;
+
+f) met interne en externe partijen, waaronder overheidsinstanties, belangengroepen en fora, leveranciers en klanten, afstemmen om de doeltreffendheid van de reactie te verbeteren en de gevolgen voor andere organisaties tot het minimum te helpen beperken;
+
+g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt;
+
+h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5);
+
+
+
+
+i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het
+
+wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5);
+
+j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren.
+
+**Overige informatie**
+
+De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.
+
+## 5.27 Leren van informatiebeveiligingsincidenten
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Beschermen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren.
+
+**Doel**
+
+De waarschijnlijkheid of de gevolgen van toekomstige incidenten verminderen.
+
+**Richtlijn**
+
+De organisatie behoort procedures op te stellen om de soorten, volumes en kosten van informatiebeveiligingsincidenten te kwantificeren en te monitoren.
+
+De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincidenten behoort te worden gebruikt om:
+
+a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren
+
+(zie 5);
+
+b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten;
+
+c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven
+
+van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden.
+
+**Overige informatie**
+
+De ISO/IEC 27035-reeks geeft verdere richtlijnen.
+
+
+
+
+## 5.28 Verzamelen van bewijsmateriaal
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Reageren | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.
+
+**Doel**
+
+In het kader van disciplinaire en gerechtelijke stappen consistent en doeltreffend beheer bewerkstelligen van bewijsmateriaal in verband met informatiebeveiligingsincidenten.
+
+**Richtlijn**
+
+Bij het in het kader van disciplinaire en gerechtelijke stappen omgaan met bewijs met betrekking tot informatiebeveiligingsgebeurtenissen behoren interne procedures te worden ontwikkeld en gevolgde eisen van verschillende rechtsgebieden behoren in aanmerking te worden genomen om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden.
+
+In het algemeen behoren deze procedures voor het beheren van bewijs instructies in te houden voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs in overeenstemming met de verschillende soorten opslagmedia, apparaten en de status van de apparaten (dzn- of uitgeschakeld)ewoonlijk is het nodig bewijsmateriaal dusdanig te verzamelen dat het voor de bevoegde nationale rechters of een ander disciplinair forum toelaatbaar iset behoort mogelijk te zijn aan te tonen dat:
+
+a) registraties volledig zijn en op geen enkele wijze zijn gemanipuleerd;
+
+b) kopieën van elektronische bewijsstukken waarschijnlijk identiek zijn aan de originelen;
+
+c) elk informatiesysteem waarvan bewijsmateriaal is verkregen, correct werkte op het moment van
+
+vastlegging van het bewijsmateriaal.
+
+Indien beschikbaar, behoort certificatie of andere relevante methoden om personeel en middelen te kwalificeren te worden gezocht om de waarde van het verkregen bewijs te versterken.
+
+Digitaal bewijs kan grenzen van organisaties of rechtsgebieden overschrijdenn zulke gevallen behoort te worden gewaarborgd dat de organisatie het recht heeft de vereiste informatie als digitaal bewijs te verzamelen.
+
+**Overige informatie**
+
+Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet altijd duidelijk of de gebeurtenis zal leiden tot gerechtelijke stappenet gevaar bestaat dan ook dat noodzakelijk bewijs bewust of toevallig wordt vernietigd voordat de ernst van het incident wordt onderkendet is raadzaam om vroegtijdig juridisch advies of de rechtshandhavers in te schakelen als gerechtelijke stappen worden overwogen en advies in te winnen over het vereiste bewijs.
+
+
+
+
+ISO/IEC 27037 biedt definities en richtlijnen voor het identificeren, verzamelen, verkrijgen en bewaren van digitaal bewijs.
+
+De ISO/IEC 27050-reeks behandelt elektronische ontdekking, hetgeen gepaard gaat met het als bewijsmiddel verwerken van elektronisch opgeslagen informatie.
+
+## 5.29 Informatiebeveiliging tijdens een verstoring
+
++------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Continuïteit | #Bescherming |
+| | | | | |
+| #Corrigerend | | #Reageren | | #Veerkracht |
++------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.
+
+**Doel**
+
+Informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring beschermen.
+
+**Richtlijn**
+
+De organisatie behoort haar eisen vast te stellen voor het tijdens een verstoring aanpassen van beheersmaatregelen voor informatiebeveiligingnformatiebeveiligingseisen behoren te worden opgenomen in de processen voor bedrijfscontinuïteitsbeheer van de organisatie.
+
+Er behoren plannen te worden ontwikkeld, geïmplementeerd, getest, beoordeeld en geëvalueerd om de beveiliging van informatie van essentiële bedrijfsprocessen in stand te houden of te herstellen na een (ver)storinge beveiliging van informatie behoort op het vereiste niveau en binnen de vereiste tijdsbestekken te worden hersteld.
+
+De organisatie behoort het volgende te implementeren en te onderhouden:
+
+a) beheersmaatregelen voor informatiebeveiliging, ondersteunende systemen en hulpmiddelen
+
+binnen bedrijfscontinuïteits- en ICT-continuïteitsplannen;
+
+b) processen om bestaande beheersmaatregelen voor informatiebeveiliging tijdens een verstoring in
+
+stand te houden;
+
+c) compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebeveiliging die
+
+tijdens een verstoring niet kunnen worden gehandhaafd.
+
+**Overige informatie**
+
+In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandighedenls onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen bedrijfscontinuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioriteerd.
+
+
+
+
+Informatie over systemen voor bedrijfscontinuïteitsbeheer is te vinden in ISO 22301 en ISO 22313erdere richtlijnen voor bedrijfsimpactanalyse (BIA) zijn te vinden in ISO/TS 22317.
+
+## 5.30 ICT-gereedheid voor bedrijfscontinuïteit
+
++------------------------+---------------------+----------------------+--------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+====================+=====================+
+| #Corrigerend | #Beschikbaarheid | #Reageren | #Continuïteit | #Veerkracht |
++------------------------+---------------------+----------------------+--------------------+---------------------+
+
+**Beheersmaatregel**
+
+De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
+
+**Doel**
+
+De beschikbaarheid van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring waarborgen.
+
+**Richtlijn**
+
+De ICT-gereedheid voor bedrijfscontinuïteit is een belangrijk onderdeel van
+
+bedrijfscontinuïteitsbeheer en informatiebeveiligingsbeheer om te bewerkstelligen dat ook tijdens een verstoring aan de doelstellingen van de organisatie kan blijven worden voldaan.
+
+De ICT-continuïteitseisen zijn het resultaat van de bedrijfsimpactanalyse (BIA)et BIA-proces behoort gebruik te maken van impactsoorten en -criteria om de impact in de tijd als gevolg van de verstoring van bedrijfsactiviteiten die producten en diensten leveren te beoordelene omvang en de duur van de daaruit voortvloeiende gevolgen behoren te worden gebruikt om geprioriteerde activiteiten waaraan een hersteltijddoelstelling (RTO) behoort te worden toegekend te identificerene BIA behoort vervolgens vast te stellen welke middelen nodig zijn om geprioriteerde activiteiten te ondersteunenr behoort ook een RTO te worden gespecificeerd voor deze middelenen deel van deze middelen behoort ICT-diensten te omvatten.
+
+De BIA waarbij ICT-diensten worden betrokken, kan worden uitgebreid om de prestatie- en capaciteitseisen van ICT-systemen en de RPO's van informatie die nodig is om activiteiten te ondersteunen tijdens een verstoring, te definiëren.
+
+Op basis van de output van de BIA en risicobeoordeling waarbij ICT-diensten worden betrokken, behoort de organisatie strategieën voor ICT-continuïteit te identificeren en selecteren waarin opties voor voorafgaand aan, tijdens en na een verstoring in overweging worden genomene strategieën voor bedrijfscontinuïteit kunnen uit een of meer oplossingen bestaanp basis van de strategieën behoren plannen te worden opgesteld, geïmplementeerd en getest om na een (ver)storing van essentiële processen het vereiste beschikbaarheidsniveau van ICT-diensten binnen de vereiste tijdsbestekken te halen.
+
+
+
+
+De organisatie behoort ervoor te zorgen dat:
+
+a) er een adequate organisatiestructuur is die is voorbereid op een verstoring, deze verzacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie;
+
+b) ICT-continuïteitsplannen, met inbegrip van respons- en herstelprocedures waarin wordt
+
+beschreven hoe de organisatie gepland heeft een verstoring van de ICT-diensten te beheren:
+
+1) regelmatig door middel van oefeningen en tests worden geëvalueerd;
+
+2) door het management worden goedgekeurd;
+
+c) ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten:
+
+1) prestatie- en capaciteitsspecificaties om te voldoen aan de bedrijfscontinuïteitseisen
+
+en -doelstellingen zoals gespecificeerd in de BIA;
+
+2) de RTO van elke geprioriteerde ICT-dienst en de procedures voor het herstel van die
+
+componenten;
+
+3) de RPO van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om
+
+de informatie te herstellen.
+
+**Overige informatie**
+
+Het beheer van de ICT-continuïteit vormt een essentieel onderdeel van de bedrijfscontinuïteitseisen met betrekking tot beschikbaarheid om in staat te zijn:
+
+a) te reageren op en te herstellen van verstoringen van ICT-diensten ongeacht de oorzaak;
+
+b) te bewerkstelligen dat de continuïteit van geprioriteerde activiteiten door de vereiste ICT-diensten
+
+wordt ondersteund;
+
+c) te reageren voordat er zich een verstoring van de ICT-diensten voordoet en zodra er ten minste één
+
+incident is waargenomen dat kan leiden tot een verstoring van de ICT-diensten.
+
+Verdere richtlijnen over de ICT-gereedheid voor bedrijfscontinuïteit zijn te vinden in ISO/IEC 27031.
+
+Verdere richtlijnen over een systeem voor bedrijfscontinuïteitsbeheer zijn te vinden in ISO 22301 en ISO 22313.
+
+Verdere richtlijnen over BIA zijn te vinden in ISO/TS 22317.
+
+## 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen
+
++------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==============================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ Ecosysteem #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
+
+
+
+
+**Beheersmaatregel**
+
+Eisen van wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen behoren te worden vastgesteld, gedocumenteerd en actueel gehouden.
+
+**Doel**
+
+De naleving bewerkstelligen van wettelijke, statutaire, regelgevende en contractuele eisen in verband met informatiebeveiliging.
+
+**Richtlijn**
+
+Algemeen
+
+Externe eisen, met inbegrip van wettelijke, statutaire, regelgevende en contractuele eisen behoren in aanmerking te worden genomen bij het:
+
+a) ontwikkelen van informatiebeveiligingsbeleid en -procedures;
+
+b) ontwerpen, implementeren of wijzigen van beheersmaatregelen voor informatiebeveiliging;
+
+c) classificeren van informatie en andere gerelateerde bedrijfsmiddelen in het kader van het proces voor het vaststellen van informatiebeveiligingseisen voor interne behoeften of voor overeenkomsten met leveranciers;
+
+d) uitvoeren van risicobeoordelingen met het oog op informatiebeveiliging en het vaststellen van de
+
+activiteiten voor de behandeling van informatiebeveiligingsrisico's;
+
+e) vaststellen van processen plus de bijbehorende rollen en verantwoordelijkheden met betrekking
+
+tot informatiebeveiliging;
+
+f) vaststellen van de contractuele eisen voor leveranciers die relevant zijn voor de organisatie en de
+
+reikwijdte van de levering van producten en diensten.
+
+Wet- en regelgeving
+
+De organisatie behoort:
+
+a) alle wet- en regelgeving te identificeren die relevant zijn voor de informatiebeveiliging van de
+
+organisatie om op de hoogte te zijn van de eisen voor haar soort bedrijf;
+
+b) het voldoen eraan in alle relevante landen in aanmerking te nemen, indien de organisatie: --- zaken doet in andere landen;
+
+--- producten en diensten gebruikt uit andere landen waar wet- en regelgeving van invloed kunnen
+
+zijn op de organisatie;
+
+--- informatie over de grenzen van rechtsgebieden transporteert waar wet- en regelgeving van
+
+invloed kunnen zijn op de organisatie;
+
+c) de geïdentificeerde wet- en regelgeving regelmatig te beoordelen om op de hoogte te blijven van
+
+wijzigingen en nieuwe wetgeving te identificeren;
+
+d) de specifieke processen en individuele verantwoordelijkheden om aan deze eisen te voldoen te
+
+definiëren en documenteren.
+
+
+
+
+Cryptografie
+
+Cryptografie is een gebied waarvoor vaak specifieke wettelijke eisen geldenet naleven van de relevante overeenkomsten en wet- en regelgeving met betrekking tot de volgende punten behoort in aanmerking te worden genomen:
+
+a) beperkingen op de import of export van computerhardware en -software voor het uitvoeren van
+
+cryptografische functies;
+
+b) beperkingen op de import of export van computerhardware en -software die zo zijn ontworpen dat
+
+er cryptografische functies aan kunnen worden toegevoegd;
+
+c) beperkingen op de toepassing van cryptografie;
+
+d) verplichte of discretionaire methoden voor de toegang van de overheidsinstanties van de landen tot
+
+versleutelde informatie;
+
+e) geldigheid van digitale handtekeningen, zegels en certificaten.
+
+Het wordt aanbevolen juridisch advies in te winnen om ervoor te zorgen dat de relevante wet- en regelgeving wordt nageleefd, vooral wanneer versleutelde informatie of cryptografie-instrumenten tot voorbij de grenzen van rechtsgebieden worden verplaatst.
+
+Contracten
+
+Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omvatten die zijn vermeld in:
+
+a) contracten met klanten;
+
+b) contracten met leveranciers (zie 5);
+
+c) verzekeringscontracten.
+
+**Overige informatie** Geen overige informatie.
+
+## 5.32 Intellectuele-eigendomsrechten
+
++------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen.
+
+
+
+
+**Doel**
+
+De naleving bewerkstelligen van eisen van wet- en regelgeving, statutaire en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van gepatenteerde producten.
+
+**Richtlijn**
+
+De volgende richtlijnen behoren in overweging te worden genomen om materiaal dat kan worden beschouwd als intellectuele eigendom te beschermen:
+
+a) onderwerpspecifiek beleid inzake de bescherming van intellectuele-eigendomsrechten definiëren
+
+en communiceren;
+
+b) procedures voor het voldoen aan intellectuele-eigendomsrechten publiceren die het gebruik van
+
+software en informatieproducten volgens de eisen definiëren;
+
+c) software alleen aanschaffen bij bekende bronnen met een goede reputatie, om te waarborgen dat
+
+het auteursrecht niet wordt geschonden;
+
+d) geschikte registers van bedrijfsmiddelen bijhouden, en alle bedrijfsmiddelen waarbij bescherming
+
+van intellectuele-eigendomsrechten vereist is, identificeren;
+
+e) bewijs en bewijsmateriaal bijhouden van de eigendom van licenties, handleidingen enz.
+
+f) bewerkstelligen dat een maximumaantal gebruikers of middelen (bijvPU\'s) dat eventueel door de
+
+licentie is toegestaan, niet wordt overschreden;
+
+g) beoordelingen uitvoeren om te bewerkstelligen dat alleen goedgekeurde software en in licentie
+
+gegeven producten zijn geïnstalleerd;
+
+h) procedures vaststellen voor het handhaven van de juiste licentievoorwaarden;
+
+i) procedures vaststellen voor het verwijderen of aan anderen overdragen van software;
+
+j) voldoen aan voorwaarden voor software en informatie verkregen van openbare netwerken en
+
+externe bronnen;
+
+k) niet dupliceren, naar een ander formaat converteren of een uittreksel maken van commerciële opnamen (video, audio), tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan;
+
+l) geen normen (bijvnternationale normen van ISO/IEC), boeken, artikelen, rapporten of andere documenten geheel of ten dele kopiëren, tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan.
+
+**Overige informatie**
+
+Onder intellectuele-eigendomsrechten vallen auteursrechten op software of documenten, ontwerprechten, handelsmerken, patenten en broncodelicenties.
+
+Eigendomssoftwareproducten worden gewoonlijk geleverd op basis van een licentieovereenkomst die de licentievoorwaarden vermeldt, bijvet gebruik van de producten beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-upkopieënie de ISO/IEC 19770-reeks voor nadere informatie over het beheer van IT-bedrijfsmiddelen.
+
+Gegevens kunnen worden verkregen uit externe bronnenoorgaans worden dergelijke gegevens verkregen op grond van een overeenkomst voor het delen van gegevens of een soortgelijk juridisch
+
+
+
+
+instrumentn zulke overeenkomsten voor het delen van gegevens behoort duidelijk te worden gemaakt welke verwerking is toegestaan voor de verkregen gegevenset is ook raadzaam dat de herkomst van de gegevens duidelijk wordt vermeldie ISO/IEC 23751 voor meer informatie over overeenkomsten voor het delen van gegevens.
+
+Eisen van wet- en regelgeving, statutaire en contractuele eisen kunnen beperkingen inhouden voor het kopiëren van eigendomsmateriaaln het bijzonder kan worden bepaald dat alleen materiaal mag worden gebruikt dat is ontwikkeld door de organisatie zelf of dat door de ontwikkelaar in licentie is gegeven aan de organisatie of aan de organisatie is geleverdchending van auteursrecht kan leiden
+
+tot gerechtelijke stappen, die kunnen resulteren in een geldboete of een strafproces.
+
+Afgezien van het feit dat het nodig is dat de organisatie voldoet aan haar verplichtingen wat betreft de intellectuele-eigendomsrechten van derden, behoren de risico\'s dat personeel en derden de eigen intellectuele-eigendomsrechten van de organisatie niet behartigen ook te worden beheerst.
+
+## 5.33 Beschermen van registraties
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Beheer_van_bedrijfs- middelen #Informatiebescher- ming | #Verdediging |
+| | | | | |
+| | | #Beschermen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.
+
+**Doel**
+
+De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen, alsmede gemeenschaps- of maatschappelijke verwachtingen, met betrekking tot de bescherming en beschikbaarheid van registraties.
+
+**Richtlijn**
+
+De organisatie behoort de volgende stappen te ondernemen om de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van registraties te beschermen, aangezien de bedrijfscontext en de eisen voor het beheer ervan na verloop van tijd veranderen:
+
+a) richtlijnen uitvaardigen inzake de opslag, de bewakingsketen voor de hantering, en het verwijderen van registraties, hetgeen ook het voorkomen van manipulatie van registraties omvateze richtlijnen behoren te worden afgestemd op het onderwerpspecifieke beleid van de organisatie inzake het beheer van registraties en andere eisen aan registraties;
+
+b) een bewaarschema opstellen waarin registraties en de periode dat ze behoren te worden bewaard,
+
+zijn gedefinieerd.
+
+Het systeem waarmee gegevens worden opgeslagen en behandeld, behoort de identificatie van registraties en hun bewaarperiode te waarborgen, rekening houdend, indien van toepassing, met nationale of regionale wet- of regelgeving, evenals de verwachtingen vanuit de gemeenschap of de
+
+
+
+
+maatschappijit systeem behoort toe te staan dat registraties na afloop van die termijn op een passende manier worden vernietigd als de organisatie ze niet langer nodig heeft.
+
+Bij besluitvorming over bescherming van specifieke registraties van de organisatie behoort de informatiebeveiligingsclassificatie daarvan, gebaseerd op het classificatieschema van de organisatie, in overweging te worden genomenegistraties behoren te worden gecategoriseerd naar types
+
+registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registraties)ij elk type behoren de bewaartermijn en de toegestane soorten opslagmedia (fysiek of elektronisch) te worden vermeld.
+
+Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen.
+
+Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8).
+
+Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan.
+
+**Overige informatie**
+
+Registraties documenteren individuele gebeurtenissen of transacties of kunnen samenvoegingen zijn van gegevens die ervoor zijn opgezet om arbeidsprocessen, activiteiten of functies te documenterene vormen het bewijs van zowel bedrijfsactiviteiten als van informatiebedrijfsmiddelenlke informatieverzameling, ongeacht structuur of vorm, kan als registratie worden beheerdit omvat informatie in de vorm van een document, een verzameling gegevens of andere soorten digitale of analoge informatie die in het kader van de bedrijfsvoering worden aangemaakt, vastgelegd en beheerd.
+
+In het kader van het beheren van registraties zijn metagegevens gegevens die de context, inhoud en structuur van registraties, evenals het beheer ervan in de loop van de tijd, beschrijvenetagegevens zijn een essentieel bestanddeel van elke registratie.
+
+Het kan nodig zijn sommige registraties veilig te bewaren om te voldoen aan eisen van wet- en regelgeving, statutaire en contractuele eisen, en om essentiële bedrijfsactiviteiten te ondersteunene bewaartermijn en de soort informatie die behoort te worden bewaard, kunnen zijn vastgelegd in nationale wet- of regelgevingerdere informatie over beheer van registraties is te vinden in
+
+ISO 15489.
+
+
+
+
+## 5.34 Privacy en bescherming van persoonsgegevens
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Informatiebescherming | #Bescherming |
+| | | | | |
+| | | #Beschermen | #Juridisch_en_compliance | |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.
+
+**Doel**
+
+De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot de informatiebeveiligingsaspecten voor de bescherming van persoonsgegevens.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake privacy en bescherming van persoonsgegevens vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+De organisatie behoort procedures te ontwikkelen en te implementeren voor het behoud van privacy en het beschermen van persoonsgegevenseze procedures behoren te worden gecommuniceerd aan alle relevante belanghebbenden die betrokken zijn bij het verwerken van persoonsgegevens.
+
+Naleving van deze procedures en van alle relevante wet- en regelgeving betreffende het behoud van privacy en het beschermen van persoonsgegevens vereist passende rollen, verantwoordelijkheden en beheersmaatregelenaak kan dit het beste worden bereikt door een persoon te benoemen die hiervoor verantwoordelijk is, zoals een privacyfunctionaris, die richtlijnen behoort te geven aan personeel, dienstverleners en andere belanghebbenden over hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd.
+
+Verantwoordelijkheid voor het omgaan met persoonsgegevens behoort met inachtneming van de desbetreffende wet- en regelgeving te worden behandeld.
+
+Er behoren passende technische en organisatorische maatregelen te worden geïmplementeerd om persoonsgegevens te beschermen.
+
+**Overige informatie**
+
+Een aantal landen heeft wetgeving ingevoerd waardoor er beheersmaatregelen zijn ingesteld voor het verzamelen, verwerken, verzenden en wissen van persoonsgegevensfhankelijk van de respectieve nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan personen die persoonsgegevens verzamelen, verwerken en verspreiden, en kunnen zij ook de bevoegdheid voor het versturen van persoonsgegevens naar andere landen beperken.
+
+ISO/IEC 29100 voorziet in een kader op hoog niveau voor de bescherming van persoonsgegevens binnen ICT-systemenerdere informatie over privacy-informatiebeheersystemen is te vinden in ISO/IEC 27701pecifieke informatie met betrekking tot privacy-informatiebeheer voor publieke clouds die als verwerkers van persoonsgegevens fungeren is te vinden in ISO/IEC 27018.
+
+
+
+
+ISO/IEC 29134 geeft richtlijnen voor privacy-effectbeoordelingen (PIA) en een voorbeeld van de structuur en inhoud van een PIA-rapportn vergelijking met ISO/IEC 27005 is dit toegespitst op het verwerken van persoonsgegevens en is het relevant voor die organisaties die persoonsgegevens verwerkenit kan helpen bij het identificeren van privacyrisico\'s en mogelijke beperkende maatregelen om deze risico\'s tot een aanvaardbaar niveau terug te brengen.
+
+## 5.35 Onafhankelijke beoordeling van informatiebeveiliging
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
+| | | | | |
+| #Corrigerend | | #Beschermen | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
+
+**Doel**
+
+Waarborgen dat de organisatie continu een geschikte, toereikende en doeltreffende aanpak voor het beheer van informatiebeveiliging hanteert.
+
+**Richtlijn**
+
+De organisatie behoort te beschikken over processen om onafhankelijke beoordelingen uit te voeren.
+
+Het management behoort periodieke onafhankelijke beoordelingen te plannen en te initiërene beoordelingen behoren tevens het beoordelen van verbetermogelijkheden en de noodzaak om wijzigingen aan te brengen in de informatiebeveiligingsaanpak te omvatten, met inbegrip van het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en andere beheersmaatregelen.
+
+Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied (bijvoor de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen)ersonen die deze beoordelingen uitvoeren, behoren te beschikken over de passende competentiem te garanderen dat de persoon die de beoordelingen uitvoert voldoende onafhankelijk is om een beoordeling uit te voeren, behoort hij of zij geen deel uit te maken van de hiërarchie.
+
+De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.
+
+Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren.
+
+
+
+
+In aanvulling op de periodieke onafhankelijke beoordelingen behoort de organisatie te overwegen onafhankelijke beoordelingen uit te voeren wanneer:
+
+a) wet- en regelgeving die van invloed is op de organisatie, verandert;
+
+b) er zich belangrijke incidenten voordoen;
+
+c) de organisatie een nieuw bedrijf start of een bestaand bedrijf verandert;
+
+d) de organisatie een nieuw product of nieuwe dienst gaat gebruiken of het gebruik van een actueel
+
+gebruikt(e) product of dienst wijzigt;
+
+e) de organisatie de beheersmaatregelen en procedures voor informatiebeveiliging significant wijzigt.
+
+**Overige informatie**
+
+ISO/IEC 27007 en ISO/IEC TS 27008 voorzien in richtlijnen voor het uitvoeren van onafhankelijke beoordelingen.
+
+## 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
+| | | | | |
+| | | #Beschermen | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoort regelmatig te worden beoordeeld.
+
+**Doel**
+
+Bewerkstelligen dat informatiebeveiliging in overeenstemming met het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en normen van de organisatie wordt geïmplementeerd en uitgevoerd.
+
+**Richtlijn**
+
+Managers of de eigenaren van diensten, producten of informatie behoren vast te stellen op welke manier wordt beoordeeld of aan informatiebeveiligingseisen zoals gedefinieerd in het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels, normen en andere toepasselijke regelgeving, wordt nageleefdoor een doeltreffende regelmatige beoordeling behoort te worden overwogen om automatische meet- en rapportage-instrumenten in te zetten.
+
+Indien de beoordeling een geval van niet-naleving oplevert, behoren managers:
+
+a) de oorzaken van de niet-naleving vast te stellen;
+
+b) de noodzaak te evalueren tot het treffen van corrigerende maatregelen om naleving te
+
+bewerkstelligen;
+
+
+
+
+c) passende corrigerende maatregelen te implementeren;
+
+d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid ervan te verifiëren en
+
+om gebreken of zwakke plekken te identificeren.
+
+Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
+
+Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld.
+
+**Overige informatie**
+
+Operationele monitoring van het gebruik van systemen wordt behandeld in 8, 8, 8.
+
+## 5.37 Gedocumenteerde bedieningsprocedures
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================================================================================================================================================================================================================+=========================================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs\_ middelen #Fysieke_beveiliging #Systeem- \_en_netwerkbeveiliging #Toepassingsbeveili- ging #Veilige_configuratie #Identiteits- \_en_toegangsbeheer #Beheer_van_dreigin- gen_en_kwetsbaar- heden | #Governance_en\_ Ecosysteem #Bescherming #Verdediging |
+| | | | | |
+| #Corrigerend | | #Herstellen | #Continuïteit #Beheer_van_infor- matiebeveiligings- gebeurtenissen | |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+
+**Beheersmaatregel**
+
+Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft.
+
+**Doel**
+
+De correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
+
+
+
+
+**Richtlijn**
+
+Er behoren gedocumenteerde procedures te worden opgesteld voor de operationele activiteiten van de organisatie die verband houden met informatiebeveiliging, bijvoorbeeld:
+
+a) wanneer het nodig is dat de activiteit door veel mensen op dezelfde manier wordt uitgevoerd;
+
+b) wanneer de activiteit zelden wordt uitgevoerd en waarschijnlijk vergeten zal zijn als zij weer wordt
+
+uitgevoerd;
+
+c) wanneer de activiteit nieuw is en een risico inhoudt als zij niet correct wordt uitgevoerd;
+
+d) voorafgaand aan de overdracht van de activiteit aan nieuwe medewerkers.
+
+In de bedieningsprocedures behoort het volgende te worden gespecificeerd:
+
+a) welke personen verantwoordelijk zijn;
+
+b) de beveiligde installatie en configuratie van systemen;
+
+c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
+
+d) back-up (zie 8) en veerkracht;
+
+e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen;
+
+f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen;
+
+g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van
+
+onverwachte bedienings- of technische moeilijkheden;
+
+h) instructies voor het behandelen van opslagmedia (zie 7 en 7);
+
+i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van
+
+systeemstoringen;
+
+j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en
+
+videobewakingssystemen (zie 7;
+
+k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies.
+
+Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen.
+
+**Overige informatie** Geen overige informatie.
+
+
+
+
+# 6 Mensgerichte beheersmaatregelen
+
+## 6.1 Screening
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De achtergrond van alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaaldierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving, voorschriften en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico\'s.
+
+**Doel**
+
+Bewerkstelligen dat al het personeel in aanmerking komt en geschikt is voor de functies waarvoor zij worden overwogen en dat zij hiervoor gedurende hun dienstverband in aanmerking blijven komen en geschikt blijven.
+
+**Richtlijn**
+
+Al het personeel, met inbegrip van voltijd-, deeltijd- en tijdelijk personeel, behoort te worden gescreendndien deze personen via dienstverleners worden ingehuurd, behoren screeningeisen te worden opgenomen in de contractuele afspraken tussen de organisatie en de dienstverleners.
+
+Informatie over alle kandidaten die in aanmerking komen voor posities binnen de organisatie, behoort te worden verzameld en verwerkt met inachtneming van de relevante wetgeving in het relevante rechtsgebiedn bepaalde rechtsgebieden kan het wettelijk vereist zijn dat de organisatie de kandidaten vooraf op de hoogte stelt van de screeningsactiviteiten.
+
+Bij deze controle behoort alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving in acht te worden genomen, en de controle behoort, voor zover toegestaan, het volgende te omvatten:
+
+a) de beschikbaarheid van positieve referenties (bijvakelijke en persoonlijke referenties);
+
+b) een controle (op volledigheid en nauwkeurigheid) van het curriculum vitae van de sollicitant;
+
+c) bevestiging van de geclaimde academische en beroepskwalificaties;
+
+d) onafhankelijke identiteitscontrole (bijven paspoort of ander aanvaardbaar document dat is
+
+afgegeven door een passende instantie);
+
+e) meer gedetailleerde controle, zoals controle op kredietwaardigheid of strafblad indien de kandidaat
+
+een essentiële rol krijgt.
+
+
+
+
+Als een persoon wordt ingehuurd voor een specifieke informatiebeveiligingsrol, behoort de organisatie zich ervan te vergewissen dat:
+
+a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
+
+b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de
+
+organisatie.
+
+Als een functie, hetzij bij een eerste aanstelling, hetzij bij promotie, met zich meebrengt dat de persoon toegang heeft tot faciliteiten die informatie verwerken, en, in het bijzonder, indien het hierbij gaat om vertrouwelijke informatie (bijvinanciële, persoonlijke of medische informatie of zeer vertrouwelijke informatie), behoort de organisatie ook verdere, meer gedetailleerde verificaties te overwegen.
+
+In procedures behoren criteria en beperkingen voor controleonderzoeken te worden gedefinieerd (bijvie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd).
+
+In situaties waarin de controle niet tijdig kan worden voltooid, behoren beperkende beheersmaatregelen te worden geïmplementeerd totdat de beoordeling is voltooid, bijvoorbeeld:
+
+a) uitgestelde 'onboarding';
+
+b) uitgestelde inzet van bedrijfsmiddelen van het bedrijf;
+
+c) 'onboarding' met beperkte toegang;
+
+d) beëindiging van het dienstverband.
+
+Deze controles behoren op gezette tijden te worden herhaald om te bevestigen dat personeel nog altijd geschikt is, afhankelijk van hoe essentieel de rol van een persoon is.
+
+**Overige informatie** Geen overige informatie.
+
+## 6.2 Arbeidsovereenkomst
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| | | | | ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.
+
+**Doel**
+
+Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging voor de rollen waarvoor zij mogelijk in aanmerking komen.
+
+
+
+
+**Richtlijn**
+
+In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
+
+a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6;
+
+b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of
+
+wetgeving inzake gegevensbescherming (zie 5 en 5)];
+
+c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5);
+
+d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen informatie;
+
+e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt
+
+(zie 6.
+
+De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd.
+
+De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen.
+
+Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.
+
+**Overige informatie**
+
+Er kan een gedragscode worden gebruikt die de verantwoordelijkheden van het personeel in het kader van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, bescherming van persoonsgegevens, ethiek, passend gebruik van de informatie en andere gerelateerde
+
+bedrijfsmiddelen van de organisatie, alsmede ten aanzien van door de organisatie verwacht moreel verantwoord handelen.
+
+Een externe partij waarmee personeel van leveranciers is verbonden, kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken.
+
+Indien de organisatie geen rechtspersoon is en geen werknemers heeft, kan het equivalent van een contractuele overeenkomst en van contractuele voorwaarden in aanmerking worden genomen, overeenkomstig de richtlijnen van deze beheersmaatregel.
+
+
+
+
+## 6.3 Bewustwording van, opleiding en training in informatiebeveiliging
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Personeel van de organisatie en relevante belanghebbenden behoren een passend(e) bewustwording van, opleiding, training en bijscholing in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen.
+
+**Doel**
+
+Ervoor zorgen dat personeel en relevante belanghebbenden zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
+
+**Richtlijn**
+
+Algemeen
+
+Een bewustwordingsprogramma, -opleiding en -training voor informatiebeveiliging behoren te worden vastgesteld in overeenstemming met het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en relevante procedures inzake informatiebeveiliging van de organisatie, rekening houdend met de te beschermen informatie van de organisatie en de beheersmaatregelen voor informatiebeveiliging die zijn geïmplementeerd om de informatie te beschermen.
+
+Opleiding en training voor bewustwording van informatiebeveiliging behoort periodiek plaats te vindenen basisbewustwordingsprogramma, -opleiding en -training kunnen van toepassing zijn op nieuw personeel en op personeel dat naar nieuwe functies of rollen met substantieel andere informatiebeveiligingseisen overstapt.
+
+Om de kennisoverdracht en doeltreffendheid van het bewustwordings-, opleidings- of trainingsprogramma te testen behoort aan het eind van een bewustwordings-, opleidings- of trainingsactiviteit een beoordeling van het inzicht van het personeel te worden uitgevoerd.
+
+Bewustwording
+
+Een bewustwordingsprogramma voor informatiebeveiliging behoort erop gericht te zijn om personeel bewust te maken van hun verantwoordelijkheden voor informatiebeveiliging en de manieren waarop personeel zich van deze verantwoordelijkheden kan kwijten.
+
+Bij het plannen van het bewustwordingsprogramma behoort rekening te worden gehouden met de rollen van het personeel binnen de organisatie, met inbegrip van intern en extern personeel (bijvxterne consultants, personeel van leveranciers)e activiteiten in het bewustwordingsprogramma behoren op zo'n manier te worden gespreid en bij voorkeur regelmatig te worden uitgevoerd dat de activiteiten worden herhaald en nieuw personeel deze ook meemakenr behoort te worden voortgebouwd op lering die is getrokken uit informatiebeveiligingsincidenten.
+
+Het bewustwordingsprogramma behoort een aantal bewustwordingsactiviteiten te bevatten via passende fysieke of virtuele kanalen, zoals campagnes, boekjes, posters, nieuwsbrieven, websites, informatiesessies, briefings, e-learningmodules en e-mails.
+
+
+
+
+Bewustwording van informatiebeveiliging behoort algemene aspecten te omvatten zoals:
+
+a) de betrokkenheid van het management bij informatiebeveiliging in de gehele organisatie;
+
+b) de noodzaak van bekend zijn met en het voldoen aan de van toepassing zijnde regels en verplichtingen met betrekking tot informatiebeveiliging, rekening houdend met informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels, normen, wetten, statuten, regelgeving, contracten en overeenkomsten;
+
+c) persoonlijke verantwoordelijkheid voor eigen doen en laten, en algemene verantwoordelijkheden ten opzichte van het beveiligen of beschermen van informatie die eigendom is van de organisatie en belanghebbenden;
+
+d) basisprocedures op informatiebeveiliging [zoals het melden van informatiebeveiligings-
+
+gebeurtenissen (6] en basisbeheersmaatregelen [zoals wachtwoordbeveiliging (5)];
+
+e) contactpunten en bronnen voor aanvullende informatie en advies over informatiebeveiligings- aangelegenheden, met inbegrip van aanvullende materialen voor het verhogen van bewustwording van informatiebeveiliging.
+
+Opleiding en training
+
+De organisatie behoort een passend trainingsplan vast te stellen, voor te bereiden en te implementeren voor technische teams met rollen die specifieke vaardigheden en deskundigheid vereisenechnische teams behoren te beschikken over de vaardigheden voor het configureren en in
+
+stand houden van het vereiste beveiligingsniveau voor apparaten, systemen, toepassingen en dienstenndien er vaardigheden ontbreken, behoort de organisatie actie te ondernemen om deze vaardigheden te verwerven.
+
+Voor het opleidings- en trainingsprogramma behoren verschillende vormen te worden overwogen [bijvessen of zelfstudie, begeleiding door deskundig personeel of consultants (training in de praktijk), het rouleren van personeelsleden om verschillende activiteiten te volgen, mensen met de juiste vaardigheden werven en consultants inhuren]it kan via verschillende middelen worden geleverd, bijvlassikaal, via afstandsonderwijs, via internet, in eigen tempoechnisch personeel behoort zijn kennis op peil te houden door zich te abonneren op nieuwsbrieven en tijdschriften of door conferenties en evenementen te bezoeken die zich richten op technische en professionele verbetering.
+
+**Overige informatie**
+
+Bij het opstellen van een bewustwordingsprogramma is het belangrijk niet alleen de aandacht te richten op het 'wat' en 'hoe', maar ook op het 'waarom', indien mogelijket is belangrijk dat personeel het doel van informatiebeveiliging en de mogelijke uitwerking, positief en negatief, van het eigen gedrag op de organisatie begrijpt.
+
+Bewustwording van, opleiding en training in informatiebeveiliging kunnen onderdeel zijn van, of worden gegeven in combinatie met andere activiteiten, bijvoorbeeld algemene informatiemanagement-, ICT-, beveiligings-, privacy- of veiligheidstraining.
+
+
+
+
+## 6.4 Disciplinaire procedure
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| #Corrigerend | | #Reageren | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.
+
+**Doel**
+
+Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen begrijpen van schending van het informatiebeveiligingsbeleid, personeel en andere relevante belanghebbenden ervan weerhouden zich schuldig te maken aan een schending, en personeel en andere relevante belanghebbenden die zich schuldig hebben gemaakt aan een schending op de juiste manier aanpakken.
+
+**Richtlijn**
+
+De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5).
+
+De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals:
+
+a) de aard (wie, wat, wanneer, hoe) en ernst van de inbreuk en de gevolgen ervan;
+
+b) of de overtreding opzettelijk (kwaadwillig) of onopzettelijk (per ongeluk) was;
+
+c) of het al dan niet een eerste overtreding betreft;
+
+d) of de overtreder al dan niet naar behoren was opgeleid.
+
+Bij de reactie behoort rekening te worden gehouden met relevante eisen van wet- en regelgeving, statutaire, contractuele en bedrijfseisen evenals andere factoren voor zover vereiste disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat personeel en andere relevante belanghebbenden het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures voor informatiebeveiliging overtredenpzettelijke schendingen van het informatiebeveiligingsbeleid kunnen onmiddellijke maatregelen vereisen.
+
+**Overige informatie**
+
+Indien mogelijk behoort de identiteit van personen tegen wie disciplinaire actie wordt ondernomen overeenkomstig de toepasselijke eisen te worden beschermd.
+
+Wanneer personen blijk hebben gegeven van uitstekend gedrag met betrekking tot informatiebeveiliging, kunnen ze worden beloond om de informatiebeveiliging te bevorderen en goed gedrag te stimuleren.
+
+
+
+
+## 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband
+
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging #Beheer_van_be- drijfsmiddelen | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden.
+
+**Doel**
+
+De belangen van de organisatie beschermen als onderdeel van de wijzigings- of beëindigingsprocedure van dienstverband of contracten.
+
+**Richtlijn**
+
+Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6erantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6ndere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden
+
+op het gebied van informatiebeveiliging bevatten.
+
+Wijzigingen in verantwoordelijkheid of dienstverband behoren te worden beheerst als het beëindigen van de desbetreffende verantwoordelijkheid of het desbetreffende dienstverband behoort te worden gecombineerd met het initiëren van de nieuwe verantwoordelijkheid of het nieuwe dienstverband.
+
+De informatiebeveiligingsrollen en -verantwoordelijkheden van een persoon die een rol of functie neerlegt of van rol of functie verandert, behoren te worden geïdentificeerd en op een andere persoon te worden overgedragen.
+
+Er behoort een proces te worden opgesteld om de wijzigingen en operationele procedures te communiceren naar het personeel, andere belanghebbenden en relevante contactpersonen (bijvlanten en leveranciers).
+
+Het proces voor het beëindigen of wijzigen van een dienstverband behoort ook te worden toegepast
+
+op extern personeel (dzeveranciers) wanneer een dienstverband van personeel, het contract of de functie bij de organisatie wordt beëindigd of wanneer er een verandering van functie binnen de organisatie is.
+
+**Overige informatie**
+
+In veel organisaties is de afdeling personeelszaken doorgaans verantwoordelijk voor de totale beëindigingsprocedure en werkt deze afdeling samen met de direct leidinggevende van de persoon die
+
+
+
+
+overstapt om de informatiebeveiligingsaspecten van de relevante procedures af te handelenls het gaat om personeel dat is ingehuurd via een externe partij (bijvia een leverancier), dan wordt deze beëindigingsprocedure uitgevoerd door de externe partij in overeenstemming met het contract tussen de organisatie en de externe partij.
+
+## 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
+
++------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele capaciteiten** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+=======================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Personeelsbeveiliging #Informatiebescherming #Leveranciersrelaties | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.
+
+**Doel**
+
+De vertrouwelijkheid van informatie waartoe personeel of externe partijen toegang hebben handhaven.
+
+**Richtlijn**
+
+Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren de eis van bescherming van vertrouwelijke informatie te behandelen binnen juridisch afdwingbare voorwaardenertrouwelijkheids- of geheimhoudingsovereenkomsten zijn van toepassing op belanghebbenden en personeel van de organisatiep basis van de informatiebeveiligingseisen van een organisatie behoren de voorwaarden in de overeenkomsten te worden vastgesteld door te kijken naar de soort informatie waarmee de belanghebbenden of het personeel zullen omgaan, het classificatieniveau en het gebruik ervan en de toegestane toegang door de andere partijij het vaststellen van eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten, behoren de volgende elementen in overweging te worden genomen:
+
+a) een definitie van de te beschermen informatie (bijvertrouwelijke informatie);
+
+b) de verwachte looptijd van een overeenkomst, met inbegrip van gevallen waarin het nodig kan zijn
+
+de vertrouwelijkheid onbeperkt te handhaven of tot de informatie openbaar beschikbaar wordt;
+
+c) de vereiste acties als een overeenkomst is beëindigd;
+
+d) de verantwoordelijkheden en acties van de ondertekenaars betreffende het vermijden van
+
+onbevoegd openbaar maken van informatie;
+
+e) de eigendom van informatie, handelsgeheimen en intellectuele eigendom, en hoe dit zich verhoudt
+
+tot de bescherming van vertrouwelijke informatie;
+
+f) het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om de
+
+informatie te gebruiken;
+
+
+
+
+g) het recht om activiteiten waar vertrouwelijke informatie voor uiterst gevoelige omstandigheden bij
+
+is betrokken, te auditen en te monitoren;
+
+h) de procedure voor het notificeren en melden van ongeoorloofde openbaarmaking of lekken van
+
+vertrouwelijke informatie;
+
+i) de voorwaarden voor retourneren of vernietigen van informatie na beëindiging van de
+
+overeenkomst;
+
+j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst.
+
+De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5).
+
+Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
+
+**Overige informatie**
+
+Vertrouwelijkheids- en geheimhoudingsovereenkomsten beschermen informatie van de organisatie en informeren de ondertekenaars over hun verantwoordelijkheid om informatie op een verantwoordelijke en bevoegde manier te beschermen, te gebruiken en openbaar te maken.
+
+## 6.7 Werken op afstand
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===================================================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescher- ming #Fysieke_beveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.
+
+**Doel**
+
+De beveiliging van informatie waarborgen wanneer personeel op afstand werkt.
+
+**Richtlijn**
+
+Er is sprake van werken op afstand telkens wanneer personeel van de organisatie vanaf een locatie buiten het gebouw en/of terrein van de organisatie werkt en toegang maakt tot informatie, hetzij in gedrukte vorm of elektronisch via ICT-apparatuurmgevingen voor werken op afstand zijn onder andere omgevingen die worden aangeduid als 'telewerken', 'teleforenzen', 'flexibele werkplek', 'virtuele werkomgevingen' en 'onderhoud op afstand'.
+
+
+
+
+OPMERKING Het is mogelijk dat niet alle aanbevelingen in deze richtlijn kunnen worden toegepast als gevolg
+
+van lokale wet- en regelgeving in verschillende rechtsgebieden.
+
+Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerpspecifiek beleid inzake werken op afstand uit te vaardigen waarin de desbetreffende voorwaarden en beperkingen worden gedefinieerdaar van toepassing geacht, behoort rekening te worden gehouden met de volgende zaken:
+
+a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt;
+
+b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6;
+
+c) de verwachte fysieke werkomgevingen op afstand;
+
+d) de beveiligingseisen die voor communicatie gelden, waarbij rekening wordt gehouden met de behoefte aan toegang op afstand tot de systemen van de organisatie, de gevoeligheid van de informatie die wordt ingezien en via de communicatiekoppeling wordt doorgegeven, en de gevoeligheid van de systemen en toepassingen;
+
+e) het gebruik van toegang op afstand zoals virtuele desktoptoegang die verwerking en opslag van
+
+informatie op privéapparatuur ondersteunt;
+
+f) de dreiging van onbevoegde toegang tot informatie of middelen van andere gebruikers op de locatie
+
+vanwaaraf op afstand wordt gewerkt (bijvamilie en vrienden);
+
+g) de dreiging van onbevoegde toegang tot informatie of middelen door andere personen op openbare
+
+plekken;
+
+h) het gebruik van thuisnetwerken en openbare netwerken en de eisen of beperkingen van de
+
+configuratie van draadloze netwerkdiensten;
+
+i) het gebruik van beveiligingsmaatregelen, zoals firewalls en bescherming tegen malware;
+
+j) beveiligde mechanismen voor het op afstand inzetten en initialiseren van systemen;
+
+k) beveiligde mechanismen voor het authenticeren en inschakelen van speciale toegangsrechten, rekening houdend met de kwetsbaarheid van eenfactorauthenticatiemechanismen waarbij toegang tot het netwerk van de organisatie vanaf een externe locatie is toegestaan.
+
+De in acht te nemen richtlijnen en maatregelen behoren te omvatten:
+
+a) het beschikbaar stellen van passende apparatuur en opbergmeubelen voor de activiteiten van het werken op afstand, waarbij het gebruik van privéapparatuur die niet onder het beheer van de organisatie staat, niet is toegelaten;
+
+b) een definitie van geoorloofde werkzaamheden, de classificatie van informatie waarover men kan beschikken en de interne systemen en diensten waartoe de persoon die werkt op afstand, bevoegde toegang heeft;
+
+
+
+
+c) het voorzien in training voor personeel dat werkt op afstand en personeel dat ondersteuning biedt.
+
+Dit behoort ook in te gaan op hoe men veilig kan zakendoen tijdens het werken op afstand;
+
+d) het voorzien in passende communicatieapparatuur, met inbegrip van methoden voor het beveiligen van toegang op afstand, zoals eisen inzake schermvergrendeling en inactiviteitstimers; de mogelijkheid om de locatie van apparaten te traceren; de installatie van mogelijkheden om apparaten op afstand schoon te vegen;
+
+e) fysieke beveiliging;
+
+f) regels en richtlijnen voor toegang voor familie en bezoekers tot apparatuur en informatie;
+
+g) het beschikbaar stellen van ondersteuning en onderhoud van hardware en software;
+
+h) het regelen van de verzekering;
+
+i) de procedures voor de back-up en de bedrijfscontinuïteit;
+
+j) audit en monitoren van de beveiliging;
+
+k) intrekking van bevoegdheid en toegangsrechten en het inleveren van apparatuur na beëindiging
+
+van de werkactiviteiten op afstand.
+
+**Overige informatie** Geen overige informatie.
+
+## 6.8 Melden van informatiebeveiligingsgebeurtenissen
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.
+
+**Doel**
+
+Tijdige, consistente en doeltreffende melding ondersteunen van informatiebeveiligingsgebeurtenissen die door personeel kunnen worden geïdentificeerd.
+
+**Richtlijn**
+
+Al het personeel en alle gebruikers behoren bewust te worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te melden om het effect van informatiebeveiligingsincidenten te voorkomen of tot het minimum te beperkenij behoren ook te worden geïnformeerd over de procedure voor het melden van informatiebeveiligingsgebeurtenissen en het contactpunt waar de gebeurtenissen behoren te worden gemeldet meldmechanisme behoort zo eenvoudig, toegankelijk en beschikbaar mogelijk te zijnnformatiebeveiligingsgebeurtenissen zijn onder andere incidenten, inbreuken en kwetsbaarheden.
+
+
+
+
+Wat betreft het melden van informatiebeveiligingsgebeurtenissen, behoort rekening te worden gehouden met de volgende situaties:
+
+a) ondoeltreffende informatiebeveiligingsbeheersmaatregelen;
+
+b) schending van informatievertrouwelijkheid, -integriteit of aanwezige verwachtingen;
+
+c) menselijke fouten;
+
+d) het niet naleven van het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels of
+
+toepasselijke normen;
+
+e) schending van fysieke beveiligingsmaatregelen;
+
+f) wijzigingen aan systemen die niet het proces voor wijzigingsbeheer hebben doorlopen;
+
+g) storingen of ander afwijkend systeemgedrag van software of hardware;
+
+h) overtredingen van de toegangsregeling;
+
+i) kwetsbaarheden;
+
+j) vermoedelijke besmetting door malware.
+
+Personeel en gebruikers behoort te worden geadviseerd niet te proberen om de vermeende aanwezigheid van kwetsbaarheden op het gebied van informatiebeveiliging aan te tonenet testen op kwetsbaarheden kan worden uitgelegd als potentieel misbruik van het systeem en kan ook schade veroorzaken aan het informatiesysteem en het kan digitaal bewijs corrumperen of aan het oog onttrekkeniteindelijk kan dit leiden tot wettelijke aansprakelijkheid voor de persoon die de tests uitvoert.
+
+**Overige informatie**
+
+Zie de ISO/IEC 27035-reeks voor aanvullende informatie.
+
+# 7 Fysieke beheersmaatregelen
+
+## 7.1 Fysieke beveiligingszones
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiëren en te gebruiken.
+
+
+
+
+**Doel**
+
+Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie voorkomen.
+
+**Richtlijn**
+
+Voor zover van toepassing behoren de volgende richtlijnen voor fysieke beveiligingszones te worden overwogen:
+
+a) beveiligingszones en de locatie en sterkte van elk van de buitengrenzen definiëren overeenkomstig
+
+de informatiebeveiligingseisen met betrekking tot bedrijfsmiddelen binnen de beveiligingszone;
+
+b) beschikken over fysiek solide buitengrenzen voor een gebouw of locatie met informatieverwerkende faciliteiten (dzat er geen zwakke plekken mogen zitten in de buitengrenzen of beveiligingszones waardoor men gemakkelijk kan inbreken)e constructie van de buitendaken, -muren, -plafonds en -vloeren van de locatie behoort gedegen te zijn en alle buitendeuren behoren op passende wijze met toegangsbeveiligingsmechanismen (bijvtangen, alarmen, sloten) te worden beschermd tegen toegang door onbevoegdeneuren en ramen behoren afgesloten te zijn als er geen toezicht is en er behoort externe bescherming te worden overwogen voor ramen, met name op de begane grond; ook aan ventilatiepunten behoort aandacht te worden besteed;
+
+c) alle branddeuren die deel uitmaken van een beveiligingszone, van alarmsystemen voorzien en ze in combinatie met de muren monitoren en testen om vast te stellen of ze het vereiste weerstandsniveau, overeenkomstig geschikte normen, biedene behoren faalveilig te werken.
+
+**Overige informatie**
+
+Fysieke bescherming kan worden verkregen door een of meer fysieke barrières rond het gebouw en/of terrein en de informatieverwerkende faciliteiten van de organisatie aan te brengen.
+
+Een beveiligd gebied kan een afsluitbaar kantoor zijn of diverse ruimten omgeven door een ononderbroken interne fysieke beveiligingsbarrièreussen zones met verschillende beveiligingseisen binnen de beveiligingszone kunnen extra barrières en buitengrenzen nodig zijn om fysieke toegang te beheersene organisatie behoort te overwegen fysieke beveiligingsmaatregelen in te voeren die tijdens situaties waar er sprake is van een verhoogd dreigingsniveau kunnen worden versterkt.
+
+## 7.2 Fysieke toegangsbeveiliging
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Beveiligde zones behoren te worden beschermd door passende toegangscontroles en toegangspunten.
+
+**Doel**
+
+Bewerkstelligen dat er alleen bevoegde fysieke toegang tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie plaatsvindt.
+
+
+
+
+**Richtlijn**
+
+Algemeen
+
+Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het gebouw en/of terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5);
+
+b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren
+
+en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen;
+
+c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones;
+
+d) een ontvangstgebied dat door personeel wordt gemonitord, opzetten of andere middelen om de
+
+fysieke toegang tot de locatie of het gebouw te beheersen;
+
+e) de persoonlijke bezittingen van personeel en belanghebbenden bij het binnenkomen en weggaan
+
+inspecteren en onderzoeken;
+
+OPMERKING Er kan lokale wet- en regelgeving bestaan inzake de mogelijkheid persoonlijke bezittingen te
+
+inspecteren.
+
+f) van al het personeel en alle belanghebbenden verlangen dat zij een bepaalde vorm van zichtbare identificatie dragen en dat zij onmiddellijk beveiligingspersoneel op de hoogte stellen als zij bezoekers zonder begeleiding en personen die geen zichtbare identificatie dragen, tegenkomenemakkelijk te herkennen badges behoren te worden overwogen om vaste werknemers, leveranciers en bezoekers beter te kunnen identificeren;
+
+g) personeel van leveranciers alleen wanneer toegang vereist is, beperkte toegang verlenen tot beveiligde zones of informatieverwerkende faciliteiteneze toegang behoort gebaseerd te zijn op autorisatie en te worden gemonitord;
+
+h) speciale aandacht geven aan de fysieke toegangsbeveiliging van gebouwen die bedrijfsmiddelen
+
+voor meerdere organisaties bevatten;
+
+i) fysieke beveiligingsmaatregelen dusdanig ontwerpen dat ze kunnen worden versterkt indien het
+
+meer aannemelijk wordt dat er zich fysieke incidenten gaan voordoen;
+
+j) andere toegangspunten zoals nooduitgangen tegen onbevoegde toegang beveiligen;
+
+k) een sleutelbeheerproces opzetten om ervoor te zorgen dat de fysieke sleutels of authenticatie-
+
+informatie (bijvlotcodes, combinatiesloten voor kantoren, ruimten en faciliteiten zoals
+
+sleutelkasten) worden beheerd en om een logboek of jaarlijkse sleutelaudit te bewerkstelligen en
+
+ervoor te zorgen dat de toegang tot fysieke sleutels of authenticatie-informatie wordt beveiligd (zie
+
+5 voor verdere richtlijnen over authenticatie-informatie).
+
+
+
+
+Bezoekers
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) met passende middelen de identiteit van bezoekers vaststellen;
+
+b) de datum en het tijdstip van binnenkomst en vertrek van bezoekers registreren;
+
+c) bezoekers alleen toegang verlenen voor specifieke, toegestane doeleinden en ze instructies geven
+
+over de veiligheidseisen voor de zone en over noodprocedures;
+
+d) toezicht houden op alle bezoekers, tenzij er een uitdrukkelijke uitzondering is verleend.
+
+Laad- en loslocaties en inkomend materiaal
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) uitsluitend geïdentificeerd en bevoegd personeel toegang verlenen tot laad- en loslocaties van
+
+buiten het gebouw;
+
+b) de laad- en loslocaties dusdanig ontwerpen dat leveringen kunnen worden geladen en gelost
+
+zonder dat de leverancier onbevoegde toegang heeft tot andere zones van het gebouw;
+
+c) de buitendeuren van laad- en loslocaties beveiligen als deuren naar beperkt toegankelijke zones
+
+open zijn;
+
+d) inkomende leveringen controleren en onderzoeken op explosieven, chemicaliën of andere
+
+gevaarlijke materialen voordat ze vanaf laad- en loslocaties worden overgebracht;
+
+e) inkomende leveringen bij binnenkomst op de zone in overeenstemming met de procedures voor
+
+bedrijfsmiddelenbeheer registreren (zie 5en 7);
+
+f) waar mogelijk, inkomende en uitgaande zendingen fysiek scheiden;
+
+g) inkomende leveringen inspecteren op bewijs van manipulatie onderwegndien vervalsing wordt
+
+ontdekt, behoort dit direct aan beveiligingspersoneel te worden gemeld.
+
+**Overige informatie** Geen overige informatie.
+
+## 7.3 Beveiligen van kantoren, ruimten en faciliteiten
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en geïmplementeerd.
+
+
+
+
+**Doel**
+
+Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie in kantoren, ruimten en faciliteiten voorkomen.
+
+**Richtlijn**
+
+Bij het beveiligen van kantoren, ruimten en faciliteiten behoren de volgende richtlijnen in aanmerking te worden genomen:
+
+a) essentiële faciliteiten dusdanig positioneren dat wordt vermeden dat het publiek er toegang toe
+
+heeft;
+
+b) indien van toepassing, bewerkstelligen dat gebouwen onopvallend zijn en zo min mogelijk aanwijzingen geven over het gebruiksdoel ervan, zonder duidelijke tekenen binnen of buiten het gebouw die op de aanwezigheid van informatieverwerkende activiteiten duiden;
+
+c) faciliteiten zo configureren dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijnoor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen;
+
+d) ervoor zorgen dat adreslijsten, interne telefoongidsen en online toegankelijke plattegronden met daarop de locaties van faciliteiten waar vertrouwelijke informatie wordt verwerkt, niet gemakkelijk beschikbaar zijn voor onbevoegden.
+
+**Overige informatie** Geen overige informatie.
+
+## 7.4 Monitoren van de fysieke beveiliging
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+| | | | | |
+| #Detectief | | #Detecteren | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Het gebouw en terrein behoort voortdurend te worden gemonitord op onbevoegde fysieke toegang.
+
+**Doel**
+
+Onbevoegde fysieke toegang detecteren en ontmoedigen.
+
+**Richtlijn**
+
+Fysieke terreinen en gebouwen behoren te worden bewaakt door bewakingssystemen die kunnen bestaan uit bewakers, inbraakalarmen, videobewakingssystemen zoals gesloten televisiecircuits en software voor het beheer van informatie over fysieke beveiliging die intern of door een aanbieder van bewakingsdiensten wordt beheerd.
+
+
+
+
+De toegang tot gebouwen waarin kritieke systemen zijn ondergebracht, behoort voortdurend te worden gemonitord om toegang door onbevoegden of verdacht gedrag te detecteren door:
+
+a) videomonitoringssystemen, zoals gesloten televisiecircuits, te installeren om de toegang tot gevoelige zones binnen en buiten het terrein en de gebouwen van een organisatie te bekijken en te registreren;
+
+b) contact-, geluids- of bewegingsmelders die een inbraakalarm in werking stellen, volgens de
+
+desbetreffende toepasselijke normen te installeren en periodiek te testen, bijvoorbeeld:
+
+1) op elke plaats waar contact kan worden gemaakt of verbroken (zoals ramen en deuren en onder voorwerpen), contactmelders die een alarm geven wanneer een contact wordt gemaakt of verbroken, voor gebruik als paniekalarm installeren;
+
+2) bewegingsmelders op basis van infraroodtechnologie installeren die een alarm veroorzaken
+
+wanneer een voorwerp hun gezichtsveld passeert;
+
+3) sensoren installeren die gevoelig zijn voor het geluid van brekend glas en die een alarm in
+
+werking kunnen stellen dat de beveiligingsmedewerkers alarmeert.
+
+c) met de alarmsystemen alle buitendeuren en toegankelijke ramen af te dekkeneegstaande
+
+ruimten behoren te allen tijde met een alarm beveiligd te zijn; er behoort ook te worden voorzien in dekking voor andere ruimten (bijvomputer- of communicatieruimten).
+
+Het ontwerp van monitoringsystemen behoort geheim te worden gehouden omdat openbaarmaking ervan onopgemerkte inbraken mogelijk kan maken.
+
+Om te voorkomen dat onbevoegden toegang hebben tot bewakingsinformatie, zoals videobeelden, of dat systemen op afstand worden uitgeschakeld, behoren monitoringsystemen te worden beschermd tegen toegang door onbevoegden.
+
+Het bedieningspaneel van het alarmsysteem behoort in een met een alarm beveiligde zone te worden geplaatst en, in het geval van veiligheidsalarmen, op een plek die het voor de persoon die het alarm instelt, gemakkelijk maakt om de zone te verlatenet bedieningspaneel en de detectoren behoren te zijn voorzien van manipulatiebestendige mechanismenet systeem behoort regelmatig te worden getest om te garanderen dat het naar behoren werkt, met name als de onderdelen ervan op batterijen werken.
+
+Elk monitoring- en opnamemechanisme behoort te worden gebruikt met inachtneming van de plaatselijke wet- en regelgeving, met inbegrip van de wetgeving inzake gegevensbescherming en de bescherming van persoonsgegevens, met name wat betreft het monitoren van werknemers en de bewaringstermijnen voor video-opnamen.
+
+**Overige informatie** Geen overige informatie.
+
+
+
+
+## 7.5 Beschermen tegen fysieke en omgevingsdreigingen
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen van de infrastructuur, te worden ontworpen en geïmplementeerd.
+
+**Doel**
+
+De gevolgen van gebeurtenissen die voortvloeien uit fysieke en omgevingsdreigingen, voorkomen of beperken.
+
+**Richtlijn**
+
+Risicobeoordelingen om de potentiële gevolgen van fysieke en omgevingsdreigingen te identificeren, behoren voorafgaand aan kritische activiteiten op een fysieke locatie en met regelmatige tussenpozen te worden uitgevoerde nodige voorzorgsmaatregelen behoren te worden getroffen en veranderingen in de dreigingen behoren te worden gemonitordpecialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit fysieke en omgevingsdreigingen, zoals brand, overstroming, aardbeving, explosie, oproer, toxisch afval, uitstoot van milieubelastende stoffen en andere vormen van natuurrampen of door personen veroorzaakte rampen.
+
+Bij het bepalen van de locatie en het aanleggen en bouwen van fysieke terreinen en gebouwen behoort rekening te worden gehouden met:
+
+a) de topografie ter plaatse, zoals de juiste hoogteligging, watermassa\'s en breuklijnen langs
+
+tektonische platen;
+
+b) dreigingen die inherent zijn aan stedelijke omgevingen, zoals locaties met een hoog risicoprofiel
+
+wat betreft het aantrekken van politieke onrust, criminele activiteiten of terrorisme.
+
+Op basis van de resultaten van de risicobeoordelingen behoren de relevante fysieke en omgevingsdreigingen te worden geïdentificeerd en behoort te worden nagedacht over passende beheersmaatregelen in de volgende contexten, bij wijze van voorbeeld:
+
+a) brand: systemen die vroegtijdig brand kunnen detecteren, installeren en configureren zodat deze brandmeldingen doen of blussystemen in werking stellen, om brandschade aan opslagmedia en gerelateerde informatieverwerkende systemen te voorkomenrand behoort te worden geblust met de meest passende stof voor wat betreft de omgeving (bijvas in besloten ruimten);
+
+b) overstroming: systemen die overstroming in een vroeg stadium kunnen detecteren, installeren onder de vloeren van ruimten met opslagmedia of informatieverwerkende systemenaterpompen of gelijkwaardige middelen behoren onmiddellijk beschikbaar te zijn voor het geval er zich een overstroming voordoet;
+
+
+
+
+c) stroompieken: systemen die zowel server- als clientinformatiesystemen tegen stroompieken of soortgelijke gebeurtenissen kunnen beschermen, implementeren om de gevolgen van dergelijke gebeurtenissen tot een minimum te beperken;
+
+d) explosieven en wapens: steekproefsgewijze inspecties verrichten naar de aanwezigheid van explosieven of wapens bij personeel, in voertuigen of in goederen die faciliteiten binnenkomen waar gevoelige informatie wordt verwerkt.
+
+**Overige informatie**
+
+Kluizen en andere vormen van beveiligde opslagvoorzieningen kunnen de daarin opgeslagen informatie beschermen tegen rampen zoals brand, aardbeving, overstroming of explosie.
+
+Organisaties kunnen de concepten van criminaliteitspreventie door het ontwerp van de omgeving in overweging nemen bij het ontwerpen van de beheersmaatregelen om hun omgeving te beveiligen en dreigingen die inherent zijn aan stedelijke omgevingen, te beperkenn plaats van verkeerspalen te gebruiken, kunnen bijvoorbeeld standbeelden of waterpartijen als decoratie en als fysieke barrière fungeren.
+
+## 7.6 Werken in beveiligde zones
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voor het werken in beveiligde zones behoren beveiligingsmaatregelen te worden ontwikkeld en geïmplementeerd.
+
+**Doel**
+
+Informatie en andere gerelateerde bedrijfsmiddelen in beveiligde zones beschermen tegen schade en onbevoegde verstoring door personeel dat in deze zones aan het werk is.
+
+**Richtlijn**
+
+De beveiligingsmaatregelen voor het werken in beveiligde gebieden behoren van toepassing te zijn op al het personeel en behoren alle activiteiten te bestrijken die in de beveiligde zone plaatsvinden.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) het personeel op grond van 'need-to-know' alleen bekend maken met het bestaan van de
+
+activiteiten in een beveiligde zone.
+
+b) zonder toezicht werken in beveiligde gebieden vermijden, zowel om veiligheidsredenen als om de
+
+kansen op kwaadaardige activiteiten te beperken;
+
+c) leegstaande beveiligde gebieden fysiek afsluiten en regelmatig inspecteren;
+
+d) foto-, video-, audio- of andere opnameapparatuur, zoals camera's in 'endpoint devices' van
+
+gebruikers, alleen toelaten als hiervoor autorisatie is verleend;
+
+
+
+
+e) het in beveiligde gebieden meenemen en gebruiken van 'endpoint devices' van gebruikers naar
+
+behoren beheersen;
+
+f) noodprocedures duidelijk zichtbaar en toegankelijk ophangen.
+
+**Overige informatie** Geen overige informatie.
+
+## 7.7 'Clear desk' en 'clear screen'
+
++------------------------+----------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren 'clear desk'-regels voor papieren documenten en verwijderbare opslagmedia en 'clear screen'-regels voor informatieverwerkende faciliteiten te worden gedefinieerd en op passende wijze ten uitvoer worden gebracht.
+
+**Doel**
+
+De risico\'s op onbevoegde toegang tot, verlies van en schade aan informatie op bureaus, schermen en op andere toegankelijke plaatsen tijdens en buiten de gebruikelijke werkuren beperken.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen' vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) gevoelige of essentiële bedrijfsinformatie (bijvp papier of op elektronische opslagmedia) in een afgesloten ruimte bewaren (idealiter in een kluis, een kast of een andere vorm van beveiligd meubilair) wanneer deze informatie niet vereist is, met name als er niemand in het kantoor is.
+
+b) 'endpoint devices' van gebruikers beschermen met sleutelsloten of andere beveiligingsmiddelen
+
+wanneer deze onbeheerd of niet in gebruik zijn;
+
+c) ervoor zorgen dat onbeheerde 'endpoint devices' van gebruikers uitgelogd zijn of beschermd zijn met een scherm- en toetsenbordvergrendeling met gebruikersauthenticatielle computers en systemen behoren te worden geconfigureerd met een time-out of automatische afmeldfunctie;
+
+d) ervoor zorgen dat de persoon die een printopdracht geeft, de uitdraaien onmiddellijk uit de printer of het multifunctionele apparaat verwijdertebruik printers met een authenticatiefunctie, waardoor alleen degene die de code invoert en naast de printer staat, de afdrukken ontvangt;
+
+e) documenten en verwijderbare opslagmedia met gevoelige informatie veilig opslaan en ze, wanneer
+
+ze niet meer nodig zijn, met behulp van beveiligde verwijderingsmechanismen verwijderen;
+
+
+
+
+f) regels en richtlijnen voor het configureren van pop-ups op schermen vaststellen en communiceren (bijve pop-ups voor nieuwe e-mail en berichten zo mogelijk uitschakelen tijdens presentaties, bij het delen van schermen of in een openbare ruimte);
+
+g) gevoelige of essentiële informatie van whiteboards en andere schermen of borden wissen als deze
+
+niet meer nodig is.
+
+De organisatie behoort te beschikken over procedures voor het ontruimen van faciliteiten, waaronder een laatste doorzoeking voorafgaand aan vertrek om te garanderen dat er geen bedrijfsmiddelen van de organisatie worden achtergelaten (bijvocumenten die achter laden of meubilair zijn gevallen).
+
+**Overige informatie** Geen overige informatie.
+
+## 7.8 Plaatsen en beschermen van apparatuur
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Apparatuur behoort veilig te worden geplaatst en beschermd.
+
+**Doel**
+
+De risico\'s op fysieke en omgevingsdreigingen en op toegang door onbevoegden en schade beperken.
+
+**Richtlijn**
+
+Om apparatuur te beschermen behoren de volgende richtlijnen in overweging te worden genomen:
+
+a) apparatuur op een dusdanige locatie plaatsen dat onnodige toegang tot werkgebieden tot het
+
+minimum wordt beperkt en toegang door onbevoegden wordt vermeden;
+
+b) de plaats van informatieverwerkende faciliteiten die gevoelige gegevens verwerken, zorgvuldig bepalen om het risico te beperken dat informatie tijdens het gebruik van die faciliteiten wordt bekeken door onbevoegden;
+
+c) beheersmaatregelen invoeren om het risico op potentiële fysieke en omgevingsdreigingen [bijviefstal, brand, explosie, rook, wateroverlast (of uitval van watervoorziening), stof, trilling, chemische reacties, storing in de elektriciteitsvoorziening of in communicatievoorzieningen, elektromagnetische straling en vandalisme] zo laag mogelijk te houden;
+
+d) richtlijnen voor eten, drinken en roken in de nabijheid van informatieverwerkende faciliteiten
+
+vaststellen;
+
+e) omgevingsomstandigheden zoals temperatuur en vochtigheid monitoren en controleren op omstandigheden die de werking van informatieverwerkende faciliteiten negatief kunnen beïnvloeden;
+
+
+
+
+f) bliksembeveiliging toepassen op alle gebouwen en bliksembeveiligingsfilters installeren op alle
+
+inkomende stroom- en communicatieleidingen;
+
+g) de toepassing van speciale beschermingsmiddelen zoals toetsenbordfolie overwegen voor
+
+apparatuur in industriële omgevingen;
+
+h) apparatuur die vertrouwelijke informatie verwerkt beschermen om het risico op weglekken van
+
+informatie door elektromagnetische emanatie zo laag mogelijk te houden;
+
+i) informatieverwerkende faciliteiten die worden beheerd door de organisatie fysiek scheiden van
+
+informatieverwerkende faciliteiten die niet door de organisatie worden beheerd.
+
+**Overige informatie** Geen overige informatie.
+
+## 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd.
+
+**Doel**
+
+Verlies, schade, diefstal of compromittering van bedrijfsmiddelen buiten het gebouw en/of terrein en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
+
+**Richtlijn**
+
+Het is nodig apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt (bijven mobiel apparaat), met inbegrip van apparaten die eigendom zijn van de organisatie en apparaten die particulier eigendom zijn en gebruikt worden namens de organisatie ['bring your own device (BYOD)'], te beschermenet gebruik van deze apparaten behoort door het management te worden goedgekeurd.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden voor het beschermen van apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt:
+
+a) apparatuur en opslagmedia die buiten het gebouw en/of terrein worden gebracht niet onbewaakt
+
+op openbare en niet-beveiligde plekken achterlaten;
+
+b) voorschriften van de fabrikant voor het beschermen van de apparatuur te allen tijde in acht nemen (bijvescherming tegen blootstelling aan sterke elektromagnetische velden, water, hitte, vocht, stof);
+
+c) als apparatuur buiten het gebouw en/of terrein tussen verschillende personen of belanghebbenden
+
+wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de apparatuur
+
+
+
+
+definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht;
+
+d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5);
+
+e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon
+
+of laptop in het openbaar vervoer, en de risico\'s die verbonden zijn aan meekijken);
+
+f) locatiebepaling voor apparaten en de mogelijkheid om apparaten op afstand schoon te vegen
+
+implementeren.
+
+Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie:
+
+a) fysiek monitoren van de beveiliging (zie 7;
+
+b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7;
+
+c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan;
+
+d) logische toegangsbeveiligingsmaatregelen.
+
+**Overige informatie**
+
+Meer informatie over andere aspecten van de bescherming van apparatuur waarop informatie wordt opgeslagen en verwerkt, en 'endpoint devices' van gebruikers is te vinden in 8en 6
+
+## 7.10 Opslagmedia
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.
+
+**Doel**
+
+Uitsluitend geoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van informatie op opslagmedia bewerkstelligen.
+
+
+
+
+**Richtlijn**
+
+Verwijderbare opslagmedia
+
+Voor het beheren van verwijderbare opslagmedia behoren de volgende richtlijnen te worden overwogen:
+
+a) onderwerpspecifiek beleid inzake het beheer van verwijderbare opslagmedia vaststellen en dit onderwerpspecifieke beleid communiceren aan iedereen die verwijderbare opslagmedia gebruikt of hanteert;
+
+b) indien nodig en haalbaar, goedkeuring vereisen om opslagmedia uit de organisatie te verwijderen
+
+en een registratie van dergelijke verwijderingen bijhouden om een audittraject te onderhouden;
+
+c) alle opslagmedia opslaan in een veilige, beveiligde omgeving overeenkomstig de desbetreffende informatieclassificatie en beschermen tegen dreigingen van buitenaf (zoals warmte, vocht, luchtvochtigheid, elektronische velden of veroudering), overeenkomstig de specificaties van de fabrikant;
+
+d) indien vertrouwelijkheid of integriteit van informatie belangrijke overwegingen zijn,
+
+cryptografische technieken gebruiken om informatie op verwijderbare media te beschermen;
+
+e) om het risico te verkleinen dat opslagmedia in kwaliteit achteruitgaan terwijl de opgeslagen informatie nog nodig is, de informatie op nieuwe opslagmedia overbrengen voordat deze onleesbaar wordt;
+
+f) van waardevolle informatie meerdere kopieën op afzonderlijke opslagmedia opslaan om het risico
+
+op toevallige beschadiging of verlies van informatie verder te beperken;
+
+g) verwijderbare opslagmedia registreren om de kans dat informatie verloren gaat, te beperken;
+
+h) poorten voor verwijderbare opslagmedia (bijvD-kaartsleuven en USB-poorten) alleen
+
+inschakelen indien er vanuit de organisatie een reden voor het gebruik ervan is;
+
+i) als er behoefte is om verwijderbare opslagmedia te gebruiken, de overdracht van informatie op
+
+dergelijke opslagmedia monitoren;
+
+j) informatie kan tijdens fysiek transport gevoelig zijn voor onbevoegde toegang, misbruik of
+
+beschadiging, bijvoorbeeld wanneer opslagmedia per post- of koeriersdienst worden verzonden.
+
+In deze beheersmaatregel worden onder media ook papieren documenten verstaanas bij het transport van fysieke opslagmedia de beveiligingsmaatregelen van 5 toe.
+
+Beveiligd hergebruiken of verwijderen
+
+Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden:
+
+a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8);
+
+b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig
+
+zijn (bijvoor ze te vernietigen, versnipperen of de inhoud ervan op beveiligde wijze te wissen);
+
+
+
+
+c) procedures instellen om media te identificeren waarvan het nodig kan zijn ze veilig te verwijderen;
+
+d) veel organisaties bieden inzamelings- en verwijderingsdiensten aan voor opslagmediaen geschikte externe leverancier met toereikende beheersmaatregelen en ervaring behoort met zorg te worden gekozen;
+
+e) de verwijdering van gevoelige zaken in een logbestand bijhouden om een audittraject te
+
+onderhouden;
+
+f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het aggregatie-effect,
+
+waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
+
+Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7).
+
+**Overige informatie**
+
+Als vertrouwelijke informatie op opslagmedia niet versleuteld is, behoort aanvullende fysieke bescherming van de opslagmedia te worden overwogen.
+
+## 7.11 Nutsvoorzieningen
+
++------------------------+---------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+========================+=====================+
+| #Preventief | #Integriteit | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+| | | | | |
+| #Detectief | #Beschikbaarheid | #Detecteren | | |
++------------------------+---------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatieverwerkende faciliteiten behoren te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.
+
+**Doel**
+
+Verlies, schade of compromittering van informatie en andere gerelateerde bedrijfsmiddelen of onderbreking van de bedrijfsvoering van de organisatie vanwege verstoring en ontregeling van ondersteunende nutsvoorzieningen voorkomen.
+
+**Richtlijn**
+
+Organisaties zijn afhankelijk van nutsvoorzieningen (bijvlektriciteit, telecommunicatie, water, gas, riolering, ventilatie en airconditioning) om hun informatieverwerkende faciliteiten te ondersteunenaarom behoort de organisatie:
+
+a) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, geconfigureerd, bediend
+
+en onderhouden wordt volgens de specificaties van de desbetreffende fabrikant;
+
+b) te bewerkstelligen dat nutsvoorzieningen regelmatig worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
+
+c) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, regelmatig wordt
+
+geïnspecteerd en getest om te garanderen dat deze naar behoren functioneert;
+
+
+
+
+d) zo nodig te voorzien in alarmmeldingen om disfunctioneren van nutsvoorzieningen te detecteren;
+
+e) voor zover nodig, te bewerkstelligen dat nutsvoorzieningen over meervoudige aanvoer of voeding
+
+via verschillende fysieke routes beschikken;
+
+f) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt en met een netwerk is
+
+verbonden, met een ander netwerk is verbonden dan de informatieverwerkende faciliteiten;
+
+g) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, uitsluitend op beveiligde
+
+wijze en slechts wanneer dat nodig is met het internet wordt verbonden.
+
+Noodverlichting en communicatiemiddelen behoren aanwezig te zijnabij nooduitgangen of ruimten waar apparatuur aanwezig is, behoren noodschakelaars en knoppen te zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeldontactgegevens voor noodgevallen behoren te worden geregistreerd en bij uitval ter beschikking van het personeel te staan.
+
+**Overige informatie**
+
+Redundantie voor netwerkverbinding kan worden verkregen via meerdere routes vanaf meer dan één aanbieder.
+
+## 7.12 Beveiligen van bekabeling
+
++------------------------+----------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+| | | | | |
+| | #Beschikbaarheid | | | |
++------------------------+----------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen onderschepping, interferentie of beschadiging.
+
+**Doel**
+
+Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie in verband met voedings- en communicatiekabels voorkomen.
+
+**Richtlijn**
+
+Met de volgende richtlijnen voor beveiligen van bekabeling behoort rekening te worden gehouden:
+
+a) voedings- en telecommunicatieleidingen naar informatieverwerkende faciliteiten: waar mogelijk onder de grond of op een andere passende wijze beschermd, zoals met een vloerkabelgoot en een nutspaal; ondergrondse kabels: beschermd tegen onopzettelijk doorsteken (bijvet een mantel of detectiesignalen);
+
+b) voedingskabels van communicatiekabels scheiden om interferentie te voorkomen;
+
+
+
+
+c) voor gevoelige of essentiële systemen kunnen de volgende aanvullende beheersmaatregelen
+
+worden overwogen:
+
+1) de installatie van gewapende kabelgoten en afgesloten kamers of dozen en alarmen bij inspectie-
+
+en afsluitpunten;
+
+2) het gebruik van elektromagnetische afscherming ter bescherming van de kabels;
+
+3) periodieke technische schoonmaakbeurten en fysieke controles om aansluiting van
+
+niet-goedgekeurde apparaten op de kabels op te sporen;
+
+4) beveiligde toegang tot schakelpanelen en kabelruimten (bijvet mechanische sleutels of
+
+pincodes);
+
+5) het gebruik van glasvezelkabels;
+
+d) kabels aan elk uiteinde voorzien van labels met voldoende informatie over de bron en de
+
+bestemming om fysieke identificatie en inspectie van de kabel mogelijk te maken.
+
+Specialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit incidenten met of disfunctioneren van kabels.
+
+**Overige informatie**
+
+Soms worden voedings- en telecommunicatiekabels door meer dan één organisatie op één locatie gedeeld.
+
+## 7.13 Onderhoud van apparatuur
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+| | | | | |
+| | | | | #Veerkracht |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Apparatuur behoort op de juiste wijze te worden onderhouden om de beschikbaarheid, integriteit en betrouwbaarheid van informatie te garanderen.
+
+**Doel**
+
+Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie door gebrekkig onderhoud voorkomen.
+
+**Richtlijn**
+
+De volgende richtlijnen voor onderhoud van apparatuur behoren in aanmerking te worden genomen:
+
+a) apparatuur in overeenstemming met de door de leverancier aanbevolen frequentie voor
+
+servicebeurten en voorschriften onderhouden;
+
+b) het door de organisatie implementeren en monitoren van een onderhoudsprogramma;
+
+
+
+
+c) alleen bevoegd onderhoudspersoneel reparaties en onderhoud aan apparatuur laten uitvoeren;
+
+d) registraties bijhouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en
+
+corrigerende onderhoud;
+
+e) passende beheersmaatregelen implementeren wanneer onderhoud van apparatuur is gepland, rekening houdend met of dit onderhoud wordt uitgevoerd door personeel ter plaatse of door extern personeel, waarbij het onderhoudspersoneel gehouden is aan een passende geheimhoudingsovereenkomst;
+
+f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud ter plaatse;
+
+g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen;
+
+h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
+
+i) voldoen aan alle door de verzekering opgelegde onderhoudseisen;
+
+j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie uitvoeren om te
+
+waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert;
+
+k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7)
+
+indien wordt vastgesteld dat het nodig is apparatuur te verwijderen.
+
+**Overige informatie**
+
+Apparatuur omvat technische componenten van informatieverwerkende faciliteiten, UPS, batterijen en accu's, stroomgeneratoren, wisselstroomgeneratoren en vermogensomzetters, fysieke inbraakdetectiesystemen en -alarmen, rookmelders, brandblussers, airconditioning en liften.
+
+## 7.14 Veilig verwijderen of hergebruiken van apparatuur
+
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt.
+
+**Doel**
+
+Het lekken van informatie via af te voeren of te hergebruiken apparatuur voorkomen.
+
+**Richtlijn**
+
+Voorafgaand aan verwijdering of hergebruik behoort te worden gecontroleerd of apparatuur opslagmedia bevat.
+
+
+
+
+Opslagmedia die vertrouwelijke of door auteursrecht beschermde informatie bevatten, behoren, in plaats van met de standaard 'delete'-functie te worden gewist, fysiek te worden vernietigd of de informatie behoort te worden vernietigd, verwijderd of overschreven met gebruikmaking van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halenie 7 voor gedetailleerde richtlijnen over het veilig verwijderen van opslagmedia en 8 voor richtlijnen over het wissen van informatie.
+
+Labels en markeringen waarmee de organisatie wordt geïdentificeerd of die de classificatie, de eigenaar, het systeem of het netwerk aangeven, behoren voorafgaand aan het verwijderen, waaronder begrepen doorverkopen of aan een goed doel schenken, van de opslagmedia te worden verwijderd.
+
+De organisatie behoort te overwegen beveiligingsbeheersmaatregelen zoals toegangsbeveiligingsmaatregelen of bewakingsapparatuur aan het einde van de huurovereenkomst of bij verhuizing uit het gebouw te verwijderenit is afhankelijk van factoren zoals:
+
+a) de huurovereenkomst om de faciliteit in de oorspronkelijke staat terug te brengen;
+
+b) het minimaliseren van het risico dat systemen met gevoelige informatie erop worden achtergelaten voor de volgende huurder (bijvijsten van welke gebruikers toegang hebben gehad, video- of beeldbestanden);
+
+c) de mogelijkheid om de beheersmaatregelen in de volgende faciliteit opnieuw te gebruiken.
+
+**Overige informatie**
+
+Voor beschadigde apparatuur die opslagmedia bevat, kan een risicobeoordeling nodig zijn om vast te stellen of het desbetreffende onderdeel van de apparatuur fysiek behoort te worden vernietigd in plaats van te worden gerepareerd of verwijderdnformatie kan worden gecompromitteerd door onzorgvuldige verwijdering of door hergebruik van apparatuur.
+
+Naast zorgvuldig wissen van de schijf vermindert codering van de volledige schijf het risico op openbaarmaking van vertrouwelijke informatie als de apparatuur van de hand wordt gedaan of opnieuw wordt ingezet, mits:
+
+a) de codering voldoende sterk is en de gehele schijf omvat (met inbegrip van 'slack space', swap-
+
+bestanden);
+
+b) de cryptografische sleutels lang genoeg zijn om met grove middelen uitgevoerde aanvallen te
+
+weerstaan;
+
+c) de cryptografische sleutels vertrouwelijk worden behandeld (bijvooit op dezelfde schijf worden
+
+bewaard).
+
+Zie voor verder advies over cryptografie 8.
+
+De technieken voor het op beveiligde wijze overschrijven van opslagmedia verschillen afhankelijk van de opslagmediatechnologie en het classificatieniveau van de informatie op de opslagmediaverschrijvingsinstrumenten behoren te worden beoordeeld om er zeker van te zijn dat ze geschikt zijn voor de technologie van het opslagmedium.
+
+Zie ISO/IEC 27040 voor nadere informatie over methoden om opslagmedia leeg te maken.
+
+
+
+
+# 8 Technologische beheersmaatregelen
+
+## 8.1 'User endpoint devices'
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescherming | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via 'user endpoint devices' behoort te worden beschermd.
+
+**Doel**
+
+Informatie beschermen tegen de risico\'s als gevolg van het gebruik van 'user endpoint devices'.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort onderwerpspecifiek beleid vast te stellen inzake beveiligde configuratie en beveiligd gebruik van 'user endpoint devices'. Het onderwerpspecifieke beleid behoort aan al het relevante personeel te worden gecommuniceerd en het volgende in aanmerking te nemen:
+
+a) het soort informatie en het classificatieniveau waarmee de 'user endpoint devices' kunnen omgaan
+
+of dat ze kunnen verwerken, opslaan of ondersteunen;
+
+b) registratie van 'user endpoint devices';
+
+c) eisen voor fysieke bescherming;
+
+d) beperking van de installatie van software (bijvp afstand beheerst door systeembeheerders);
+
+e) eisen voor software (met inbegrip van softwareversies) van de 'user endpoint devices' en voor het
+
+toepassen van updates (bijvctief automatisch updaten);
+
+f) regels voor de verbinding met informatiediensten, publieke netwerken of andere netwerken buiten
+
+het gebouw of terrein (bijvet gebruik van een persoonlijke firewall vereisen);
+
+g) toegangsbeveiliging;
+
+h) versleuteling van opslagapparaten;
+
+i) bescherming tegen malware;
+
+j) het op afstand onbruikbaar maken, wissen, uitsluiten;
+
+k) back-ups;
+
+l) het gebruik van internetdiensten en -toepassingen;
+
+
+
+
+m)analyse van het gedrag van de eindgebruiker (zie 8);
+
+n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en
+
+de mogelijkheid om fysieke poorten (bijvSB-poorten) uit te schakelen;
+
+o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'user endpoint devices', waarmee de informatie en andere gerelateerde bedrijfsmiddelen (bijvoftware) van de organisatie veilig kunnen worden gesegmenteerd van andere informatie en andere gerelateerde bedrijfsmiddelen op het apparaat.
+
+Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld.
+
+De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten.
+
+Gebruikersverantwoordelijkheid
+
+Alle gebruikers behoren op de hoogte te worden gebracht van de beveiligingseisen en de procedures voor het beschermen van 'user endpoint devices' en van hun verantwoordelijkheden voor het implementeren van dergelijke beschermingsmaatregelenebruikers behoren het advies te krijgen:
+
+a) uit te loggen uit actieve sessies en diensten afsluiten die niet langer nodig zijn;
+
+b) 'user endpoint devices' terwijl deze niet in gebruik zijn met een fysieke beheersmaatregel (bijven sleutelslot of speciale sloten) en logische beheersmaatregel (bijvoegang met wachtwoorden) te beschermen tegen gebruik door onbevoegden; geen apparaten met belangrijke, gevoelige of essentiële bedrijfsinformatie onbewaakt achter te laten;
+
+c) apparaten extra zorgvuldig te gebruiken in openbare ruimten, open kantoren, vergaderruimten en andere onbeschermde gebieden (bijvij voorkeur geen vertrouwelijke informatie lezen als mensen van achteren kunnen meelezen, schermfilters gebruiken met het oog op privacy);
+
+d) 'user endpoint devices' fysiek te beveiligen tegen diefstal (bijvn een auto of andere
+
+vervoermiddelen, in hotelkamers, conferentie- en ontmoetingscentra).
+
+Er behoort een speciale procedure te worden vastgesteld voor diefstal of verlies van 'user endpoint devices' waarin rekening is gehouden met wettelijke, statutaire, regelgevende, contractuele (met inbegrip van verzekerings-) en andere veiligheidseisen die in de organisatie gelden.
+
+Het gebruik van persoonlijke apparaten
+
+Indien de organisatie het gebruik van persoonlijke apparaten toestaat (dit wordt soms aangeduid als BYOD), behoort, in aanvulling op de richtlijnen die in deze beheersmaatregel worden gegeven, ook het volgende te worden overwogen:
+
+a) scheiding van persoonlijk en zakelijk gebruik van de apparatuur, met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat;
+
+b) verschaffen van toegang tot bedrijfsinformatie alleen nadat gebruikers hun verplichtingen hebben bevestigd (fysieke beveiliging, updaten van software enz afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of
+
+
+
+
+verlies van het apparaat of indien zij niet langer bevoegd zijnn dergelijke gevallen behoort rekening te worden gehouden met wetgeving inzake de bescherming van persoonsgegevens;
+
+c) onderwerpspecifieke beleidsregels en procedures ter voorkoming van geschillen over rechten van
+
+intellectuele eigendom die is ontwikkeld op privéapparatuur;
+
+d) toegang tot privéapparatuur (om de veiligheid van het apparaat vast te stellen of tijdens een
+
+onderzoek), wat wetgeving kan verhinderen;
+
+e) softwarelicentiecontracten waardoor de organisatie aansprakelijk kan worden gesteld voor de licenties van clientsoftware op 'user endpoint devices' die privébezit zijn van personeel of van externe gebruikers.
+
+Draadloze verbindingen
+
+De organisatie behoort procedures vast te stellen voor:
+
+a) het configureren van draadloze verbindingen op apparaten (bijvwetsbare protocollen
+
+uitschakelen);
+
+b) het gebruik van draadloze of bedrade verbindingen met passende bandbreedte overeenkomstig
+
+relevante onderwerpspecifieke beleidsregels (bijvmdat back-ups of software-updates nodig zijn).
+
+**Overige informatie**
+
+Beheersmaatregelen voor het beschermen van informatie op 'user endpoint devices' zijn afhankelijk van of het 'endpoint device' van de gebruiker alleen binnen het beveiligde gebouw en terrein en de beveiligde netwerkverbindingen van de organisatie wordt gebruikt of dat het wordt blootgesteld aan meer fysieke en netwerkgerelateerde dreigingen buiten de organisatie.
+
+De draadloze verbindingen van 'user endpoint devices' zijn gelijksoortig aan andere vormen van netwerkverbindingen, maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelenr kan met name soms iets fout gaan bij het maken van back-ups van informatie die op 'user endpoint devices' is opgeslagen indien de bandbreedte van het netwerk beperkt is of 'user endpoint devices' niet zijn aangesloten op de tijden waarop de back-ups zijn gepland.
+
+Voor bepaalde USB-poorten, zoals USB-C, is het niet mogelijk de USB-poort uit te schakelen, omdat deze voor andere doelen (bijvoeding of als uitgang voor een weergavescherm) in gebruik is.
+
+## 8.2 Speciale toegangsrechten
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.
+
+
+
+
+**Doel**
+
+Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten speciale toegangsrechten krijgen.
+
+**Richtlijn**
+
+Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen:
+
+a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of
+
+proces (bijvesturingssystemen, databasebeheersystemen en toepassingen);
+
+b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
+
+c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden;
+
+d) het definiëren en implementeren van eisen voor het vervallen van speciale toegangsrechten;
+
+e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewust zijn van hun speciale toegangsrechten en wanneer zij zich in de speciale toegangsmodus bevindenogelijke maatregelen zijn onder andere het gebruik van specifieke gebruikersidentiteiten, gebruikersinterface-instellingen of zelfs specifieke apparatuur;
+
+f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd;
+
+g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5);
+
+h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5);
+
+i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten;
+
+j) het registreren van alle speciale toegang tot systemen voor auditdoeleinden;
+
+
+
+
+k) identiteiten met speciale toegangsrechten niet met meerdere personen delen of aan meerdere personen koppelen, maar aan elke persoon een afzonderlijke identiteit toekennen waarmee specifieke speciale toegangsrechten kunnen worden toegekenddentiteiten kunnen worden gegroepeerd (bijvoor een beheerdersgroep te definiëren) om het beheer van speciale toegangsrechten te vereenvoudigen;
+
+l) het gebruik van identiteiten met speciale toegangsrechten beperken tot het uitvoeren van beheerfuncties en deze identiteiten niet gebruiken voor de dagelijkse algemene taken [dz-mail bekijken, toegang tot internet (gebruikers behoren voor deze activiteiten een afzonderlijke normale netwerkidentiteit te hebben)].
+
+**Overige informatie**
+
+Speciale toegangsrechten zijn toegangsrechten die aan een identiteit, rol of proces worden verleend om activiteiten te kunnen uitvoeren die gewone gebruikers of processen niet kunnen uitvoerenysteembeheerdersrollen vereisen meestal speciale toegangsrechten.
+
+Ongepast gebruik van speciale systeembeheerdersrechten (elke functie of faciliteit van een informatiesysteem die de gebruiker in staat stelt systeem- of toepassingsbeheersmaatregelen op te heffen) is een factor die in grote mate bijdraagt aan storingen van of inbreuken op het systeem.
+
+Meer informatie over toegangsbeheer en het beveiligde beheer van de toegang tot informatie en informatie- en communicatietechnologiemiddelen is te vinden in ISO/IEC 29146.
+
+## 8.3 Beperking toegang tot informatie
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging.
+
+**Doel**
+
+Uitsluitend bevoegde toegang bewerkstelligen en onbevoegde toegang tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen.
+
+**Richtlijn**
+
+De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig de vastgestelde onderwerpspecifieke beleidsregelse volgende aspecten behoren in aanmerking te worden genomen om de eisen voor toegangsbeperking te ondersteunen:
+
+a) toegang tot gevoelige informatie niet anoniem of aan onbekende gebruikersidentiteiten toestaanpenbare of anonieme toegang behoort uitsluitend te worden verleend tot opslaglocaties waar zich geen gevoelige informatie bevindt;
+
+b) voorzien in configuratiemechanismen voor toegangsbeveiliging van informatie in systemen,
+
+toepassingen en diensten;
+
+
+
+
+c) beheersen welke gegevens voor een bepaalde gebruiker toegankelijk zijn;
+
+d) beheersen welke identiteiten of groep identiteiten bepaalde toegangsrechten hebben, zoals lezen,
+
+schrijven, wissen en uitvoeren;
+
+e) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige
+
+toepassingen, toepassingsgegevens of systemen;
+
+Verder behoren dynamische technieken en processen voor het beschermen van gevoelige informatie die van hoge waarde is voor de organisatie, in overweging te worden genomen als de organisatie:
+
+a) granulaire beveiliging nodig heeft met betrekking tot wie, gedurende welke periode en volgens
+
+welke wijze toegang kan krijgen tot dergelijke informatie;
+
+b) zulke informatie wil delen met mensen buiten de organisatie en de controle wil behouden over wie
+
+er toegang toe heeft;
+
+c) het gebruik en de verspreiding van die informatie dynamisch en in real time wil beheren;
+
+d) dergelijke informatie wil beschermen tegen ongeautoriseerde wijzigingen, kopiëren en
+
+verspreiding (met inbegrip van afdrukken);
+
+e) het gebruik van de informatie wil monitoren;
+
+f) wijzigingen aan deze informatie wil registreren voor het geval onderzoek in de toekomst vereist is.
+
+Technieken voor het beheer van dynamische toegang behoren informatie gedurende de hele levenscyclus ervan te beschermen (dzet aanmaken, verwerken, opslaan, overdragen en verwijderen), met inbegrip van:
+
+a) het vaststellen van regels voor het beheer van dynamische toegang op basis van specifieke
+
+usecases, waarbij het volgende in overweging wordt genomen:
+
+1) toegangsrechten verlenen op basis van identiteit, apparaat, locatie of toepassing;
+
+2) het classificatieschema inzetten om vast te stellen welke informatie met technieken voor het
+
+beheer van dynamische toegang moet worden beschermd;
+
+b) operationele, monitoring- en meldingsprocessen opstellen en ondersteunende technische
+
+infrastructuur inrichten.
+
+Systemen voor het beheer van dynamische toegang behoren informatie te beschermen door:
+
+a) authenticatie, passende toegangsgegevens of een certificaat te vereisen voor toegang tot informatie;
+
+b) de toegang te beperken, bijvoorbeeld tot een bepaald tijdsbestek (bijvoorbeeld na een bepaalde
+
+datum of tot een bepaalde datum);
+
+c) versleuteling te gebruiken om informatie te beschermen;
+
+d) de afdrukrechten voor de informatie te definiëren;
+
+e) te registreren wie zich toegang verschaft tot de informatie en hoe de informatie wordt gebruikt;
+
+f) waarschuwingen te geven indien er pogingen om de informatie te misbruiken worden
+
+waargenomen.
+
+
+
+
+**Overige informatie**
+
+Indien traditionele toegangscontroles niet kunnen worden afgedwongen, kunnen technieken voor het beheer van dynamische toegang en andere technieken voor dynamische informatiebeveiliging de bescherming van informatie ondersteunen, zelfs wanneer gegevens buiten de organisatie van herkomst worden gedeeldit kan worden toegepast op documenten, e-mails of andere bestanden
+
+met informatie, om te beperken wie er toegang kan krijgen tot de inhoud en hoe men deze kan krijgenit kan op granulair niveau zijn en worden aangepast gedurende de levenscyclus van de informatie.
+
+Technieken voor het beheer van dynamische toegang zijn geen vervangers van klassiek toegangsbeheer [bijvet gebruik van lijsten voor toegangsbeheer (ACL's)], maar ze kunnen meer factoren toevoegen voor conditionaliteit, realtime-evaluatie, just-in-timedatabeperking en andere verbeteringen die nuttig kunnen zijn voor de meest gevoelige informatieit biedt een manier om toegang buiten de omgeving van de organisatie te beveiligenncidentrespons kan worden ondersteund door technieken voor het beheer van dynamische toegang aangezien rechten te allen tijde kunnen worden gewijzigd of ingetrokken.
+
+Aanvullende informatie over een kader voor toegangsbeheer wordt gegeven in ISO/IEC 29146.
+
+## 8.4 Toegangsbeveiliging op broncode
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer #Toepassingsbeveili- ging #Veilige_configuratie | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoort op passende wijze te worden beheerd.
+
+**Doel**
+
+Voorkomen dat er ongeoorloofde functionaliteit wordt geïntroduceerd, vermijden dat onbedoelde of kwaadwillige wijzigingen plaatsvinden en de vertrouwelijkheid behouden van waardevol intellectueel eigendom.
+
+**Richtlijn**
+
+Toegang tot broncode en gerelateerde zaken (zoals ontwerpen, specificaties, verificatieplannen en validatieplannen) en ontwikkelinstrumenten (bijvompilers, builders, integratie-instrumenten, testplatformen en -omgevingen) behoort streng te worden beheerst.
+
+Met betrekking tot broncode kan dit worden bereikt door de code gecontroleerd centraal op te slaan, bij voorkeur in een broncodebeheersysteem.
+
+Lees- en schrijftoegang tot broncode kan verschillen op basis van de rol van het personeelo kan leestoegang tot broncode binnen de organisatie breed worden aangeboden, maar schrijftoegang tot broncode worden voorbehouden aan speciaal personeel of aangewezen eigenarenndien codecomponenten door verschillende ontwikkelaars binnen een organisatie worden hergebruikt, behoort leestoegang tot een gecentraliseerde broncodebibliotheek te worden geïmplementeerd.
+
+
+
+
+Bovendien kan, indien binnen een organisatie open broncode of codecomponenten van derden worden gebruikt, de leestoegang tot dergelijke externe broncodebibliotheken ook breed worden aangebodene schrijftoegang behoort echter nog steeds te worden beperkt.
+
+De volgende richtlijnen behoren te worden overwogen om de toegang tot broncodebibliotheken te beheersen en zo de kans op corruptie van computerprogramma's te verkleinen:
+
+a) de toegang tot programmabroncode en de programmabronbibliotheken volgens vastgestelde
+
+procedures beheren;
+
+b) lees- en schrijftoegang tot broncode op basis van de bedrijfsbehoeften verlenen, dusdanig beheerd
+
+dat de risico\'s op wijziging of misbruik worden opgepakt en volgens vastgestelde procedures;
+
+c) de procedures voor wijzigingsbeheer (zie 8) toepassen op het bijwerken van broncode en gerelateerde zaken en het verlenen van toegang tot broncode en dit pas uitvoeren nadat de passende autorisatie is ontvangen;
+
+d) ontwikkelaars geen rechtstreekse toegang tot de broncodebibliotheek verlenen, maar via
+
+ontwikkelinstrumenten die activiteiten en autorisaties met betrekking tot de broncode beheersen;
+
+e) lijsten van programma\'s in een beveiligde omgeving bewaren waar lees- en schrijftoegang op
+
+passende wijze behoort te worden beheerd en toegewezen;
+
+f) een auditlogbestand bijhouden van alle toegangsinstanties en van alle wijzigingen aan de broncode.
+
+Indien het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die de integriteit ervan waarborgen (bijven digitale handtekening), te worden overwogen.
+
+**Overige informatie**
+
+Indien de toegang tot broncode niet naar behoren wordt beveiligd, kunnen onbevoegden broncode aanpassen of bepaalde gegevens in de ontwikkelomgeving (bijvopieën van productiegegevens, configuratiedetails) opvragen.
+
+## 8.5 Beveiligde authenticatie
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren beveiligde authenticatietechnologieën en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke of aanvullende beleid inzake toegangsbeveiliging.
+
+**Doel**
+
+Bewerkstelligen dat een gebruiker of een entiteit veilig wordt geauthenticeerd wanneer toegang tot systemen, toepassingen en diensten wordt verleend.
+
+
+
+
+**Richtlijn**
+
+Om de geclaimde identiteit van een gebruiker, software, berichten en andere entiteiten te bewijzen behoort een passende authenticatietechniek te worden gekozen.
+
+De sterkte van authenticatie behoort passend te zijn voor de classificatie van de informatie waartoe toegang wordt verleendngeval krachtige verificatie en authenticatie van de identiteit is vereist, behoren andere authenticatiemethoden dan wachtwoorden te worden gebruikt, zoals digitale certificaten, chipkaarten, tokens of biometrische middelen.
+
+Authenticatie-informatie behoort vergezeld te gaan van aanvullende authenticatiefactoren voor toegang tot essentiële informatiesystemen (ook bekend als multifactorauthenticatie)et gebruik van een combinatie van meerdere authenticatiefactoren, zoals wat je weet, wat je hebt en wat je bent, beperkt de mogelijkheid van onbevoegde toegangultifactorauthenticatie kan worden gecombineerd met andere technieken die aanvullende factoren onder specifieke omstandigheden vereisen, op basis van vooraf gedefinieerde regels en patronen, zoals toegang vanaf een ongebruikelijke locatie, een ongebruikelijk apparaat of op een ongebruikelijk tijdstip.
+
+Biometrische authenticatie-informatie behoort ongeldig te worden gemaakt als deze ooit wordt gecompromitteerdet is mogelijk dat biometrische authenticatie niet beschikbaar is, afhankelijk van de gebruiksomstandigheden (bijvocht of veroudering)m hierop voorbereid te zijn, behoort biometrische authenticatie van ten minste één alternatieve authenticatietechniek vergezeld te gaan.
+
+De procedure om in een systeem in te loggen, behoort zo te worden ontworpen dat het risico op onbevoegde toegang zo klein mogelijk wordt gemaaktr behoren inlogprocedures en -technologieën te worden geïmplementeerd waarbij het volgende in overweging wordt genomen:
+
+a) gevoelige systeem- of toepassingsinformatie pas tonen nadat het inlogproces op geslaagde wijze is
+
+afgerond om zo te vermijden dat een onbevoegde onnodig wordt geholpen;
+
+b) een algemene waarschuwing tonen dat het systeem of de toepassing of dienst alleen toegankelijk is
+
+voor bevoegde gebruikers;
+
+c) geen hulpmeldingen geven tijdens de aanmeldprocedure die een onbevoegde gebruiker zouden helpen (bijvls er zich een fout voordoet, behoort het systeem niet aan te geven welk gedeelte van de gegevens correct of niet correct is);
+
+d) de inloginformatie pas na invoer van alle gegevens valideren;
+
+e) bescherming bieden tegen bruut geweld bij aanmeldpogingen met gebruikersnamen en wachtwoorden (bijvoor gebruik te maken van CAPTCHA, te eisen dat een wachtwoord opnieuw wordt ingesteld na een vooraf bepaald aantal mislukte pogingen of de gebruiker na een maximumaantal fouten te blokkeren);
+
+f) niet-succesvolle en succesvolle pogingen registreren;
+
+g) een beveiligingsgebeurtenis genereren wanneer een potentiële poging tot of succesvolle inbreuk op aanmeldbeheersmaatregelen wordt gedetecteerd (bijven waarschuwing naar de gebruiker en de systeembeheerders van de organisatie sturen wanneer een bepaald aantal verkeerde wachtwoordpogingen is bereikt);
+
+
+
+
+h) de volgende informatie op een apart kanaal tonen of verzenden nadat het inloggen met succes is
+
+voltooid:
+
+1) datum en tijdstip waarop de vorige keer met succes is ingelogd;
+
+2) details van niet-succesvolle pogingen om in te loggen sinds de vorige succesvolle poging om in te
+
+loggen;
+
+i) een wachtwoord terwijl het wordt ingevoerd niet als leesbare tekst tonen; in bepaalde gevallen kan het nodig zijn deze functionaliteit uit te schakelen om de gebruiker te laten inloggen (bijvanwege toegankelijkheidsredenen of om te vermijden dat gebruikers worden geblokkeerd doordat ze meermaals fouten hebben gemaakt);
+
+j) wachtwoorden niet als onversleutelde tekst via een netwerk verzenden om zo te voorkomen dat zij
+
+door een snifferprogramma op het netwerk worden onderschept;
+
+k) inactieve sessies na een bepaalde tijd van inactiviteit beëindigen, vooral op locaties met een hoog risico, zoals openbare of externe locaties die buiten het beveiligingsbeheer van de organisatie vallen, of op 'endpoint devices' van gebruikers;
+
+l) de verbindingsduur beperken om extra beveiliging te bieden voor toepassingen met een hoog risico
+
+en de mogelijkheden voor onbevoegde toegang te verkleinen.
+
+**Overige informatie**
+
+Aanvullende informatie over de borging van de authenticatie van entiteiten is te vinden in ISO/IEC 29115.
+
+## 8.6 Capaciteitsbeheer
+
++------------------------+---------------------+------------------------------------------+--------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+==========================================+====================+============================================+
+| #Preventief | #Integriteit | #Identificeren #Beschermen #Detecteren | #Continuïteit | #Governance_en\_ Ecosysteem #Bescherming |
+| | | | | |
+| #Detectief | #Beschikbaarheid | | | |
++------------------------+---------------------+------------------------------------------+--------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+Het gebruik van middelen behoort te worden gemonitord en afgestemd overeenkomstig de huidige en verwachte capaciteitseisen.
+
+**Doel**
+
+De vereiste capaciteit van informatieverwerkende faciliteiten, personeel, kantoren en andere faciliteiten waarborgen.
+
+**Richtlijn**
+
+Capaciteitseisen voor informatieverwerkende faciliteiten, personeel, kantoren en andere faciliteiten behoren te worden gedefinieerd, rekening houdend met het belang van de betrokken systemen en processen voor de organisatie.
+
+Het systeem behoort te worden afgestemd en gemonitord om de beschikbaarheid en doelmatigheid van systemen te waarborgen en zo nodig te verbeteren.
+
+
+
+
+De organisatie behoort stresstests van systemen en diensten uit te voeren om te bevestigen dat er voldoende systeemcapaciteit beschikbaar is om aan eisen voor piekprestaties te voldoen.
+
+Om problemen vroegtijdig vast te stellen behoren detectiemaatregelen te worden genomen.
+
+Prognoses voor toekomstige capaciteitseisen behoren rekening te houden met nieuwe bedrijfs- en systeemeisen en de huidige en verwachte trends in de informatieverwerkende capaciteiten van de organisatie.
+
+Er behoort met name aandacht te worden besteed aan middelen met lange verwervingsdoorlooptijden of hoge kostenaarom behoren managers en de eigenaren van een dienst of product het gebruik van belangrijke systeemmiddelen te monitoren.
+
+Beheerders behoren deze capaciteitsinformatie te gebruiken voor het signaleren en vermijden van potentiële beperkingen aan middelen en afhankelijkheid van belangrijk personeel, wat een dreiging kan vormen voor de systeembeveiliging en diensten, en behoren passende actie te plannen.
+
+Voldoende capaciteit kan worden verkregen door de capaciteit te verhogen of door de vraag te verlagenm de capaciteit te verhogen behoort het volgende in overweging te worden genomen:
+
+a) nieuw personeel aantrekken;
+
+b) nieuwe faciliteiten of ruimte verkrijgen;
+
+c) krachtigere verwerkingssystemen, geheugen en opslag verkrijgen;
+
+d) gebruikmaken van cloudcomputing, hetgeen inherente kenmerken heeft die rechtstreeks capaciteitskwesties oppakkenloudcomputing heeft elasticiteit en schaalbaarheid waardoor snelle uitbreiding en inkrimping van middelen op vraag beschikbaar is voor specifieke toepassingen en diensten.
+
+Om het beslag op de middelen van de organisatie te verminderen, behoort het volgende te worden overwogen:
+
+a) verouderde gegevens verwijderen (schijfruimte);
+
+b) registraties op papier waarvan de bewaartermijn is verstreken, verwijderen (schapruimte
+
+vrijmaken);
+
+c) toepassingen, systemen, databases of omgevingen buiten gebruik stellen;
+
+d) batchprocessen en -schema's optimaliseren;
+
+e) toepassingscode of databasevragen optimaliseren;
+
+f) de bandbreedte voor diensten die veel energie verbruiken, weigeren of beperken als deze niet van
+
+overwegend belang zijn (bijvideostreaming).
+
+Voor systemen die belangrijk zijn voor de missie, behoort voor de capaciteit een gedocumenteerd beheersplan te worden overwogen.
+
+**Overige informatie**
+
+Meer informatie over de elasticiteit en schaalbaarheid van cloudcomputing is te vinden in ISO/IEC TS 23167.
+
+
+
+
+## 8.7 Bescherming tegen malware
+
++---------------------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++=======================================+====================================================+======================+================================================================+=====================+
+| #Preventief #Detectief #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatiebe- scherming | #Bescherming |
+| | | | | |
+| | | #Detecteren | | #Verdediging |
++---------------------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Bescherming tegen malware behoort te worden geïmplementeerd en ondersteund door een passend gebruikersbewustzijn
+
+**Doel**
+
+Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen beschermd zijn tegen malware.
+
+**Richtlijn**
+
+Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te
+
+worden overwogen:
+
+a) regels en beheersmaatregelen implementeren die het gebruik van niet-geautoriseerde software
+
+voorkomen of detecteren [bijven lijst maken van toegestane toepassingen ('allowlisting')] (zie
+
+8 en 8);
+
+b) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige
+
+websites voorkomen of detecteren (bijven blokkeerlijst opstellen ('blocklisting'));
+
+c) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware [bijvia beheer
+
+van technische kwetsbaarheden (zie 8en 8)];
+
+d) regelmatig geautomatiseerde validatie uitvoeren van de software en gegevensinhoud van systemen, met name voor systemen die kritische bedrijfsprocessen ondersteunen; de aanwezigheid van niet- goedgekeurde bestanden of ongeautoriseerde wijzigingen onderzoeken;
+
+e) beschermende maatregelen vaststellen tegen de risico\'s die verbonden zijn met het verkrijgen van
+
+bestanden en software van of via externe netwerken of op een ander medium;
+
+f) software voor het detecteren en herstellen van malware installeren en regelmatig bijwerken om computers en elektronische opslagmedia te scannen; reguliere scans uitvoeren die het volgende omvatten:
+
+1) alle gegevens die via netwerken of via welke vorm van elektronische opslagmedia dan ook
+
+worden ontvangen, vóór gebruik op malware scannen;
+
+2) bijlagen bij e-mail en instantmessagingsystemen en downloads voorafgaand aan gebruik op malware scanneneze scan op verschillende plekken (bijvp mailservers, pc\'s) en bij binnenkomst in het netwerk van de organisatie uitvoeren;
+
+3) webpagina\'s op malware scannen wanneer er toegang toe wordt gemaakt;
+
+
+
+
+g) de plaatsing en configuratie van hulpmiddelen voor het detecteren van malware en het herstel naar aanleiding daarvan vaststellen, op basis van de resultaten van de risicobeoordeling en rekening houdend met:
+
+1) principes voor 'defence in depth' waar deze het doeltreffendst zouden zijnit kan bijvoorbeeld leiden tot de detectie van malware in een netwerkgateway (in verschillende toepassingsprotocollen zoals e-mail, bestandsoverdracht en internet) en in 'endpoint devices' van gebruikers en servers;
+
+2) de ontwijkingstechnieken van aanvallers (bijvet gebruik van versleutelde bestanden) om
+
+malware af te leveren of het gebruik van versleutelingsprotocollen om malware te verzenden;
+
+h) ervoor zorgen dat er bescherming is tegen het introduceren van malware tijdens onderhouds- en
+
+noodprocedures, die de normale beheersmaatregelen tegen malware kan omzeilen;
+
+i) een proces implementeren om tijdelijk of permanent autorisatie te verlenen om bepaalde of alle maatregelen tegen malware uit te schakelen, waaronder bevoegdheden om in uitzonderingsgevallen goedkeuring te verlenen, gedocumenteerde onderbouwing en de beoordelingsdatumit kan nodig zijn wanneer de bescherming tegen malware een verstoring van de normale bedrijfsvoering veroorzaakt;
+
+j) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen van gegevens en software (waaronder zowel online als offline back-up) en het herstellen ervan (zie 8);
+
+k) omgevingen isoleren waar zich catastrofale gevolgen kunnen voordoen;
+
+l) procedures en verantwoordelijkheden vaststellen voor hoe om te gaan met bescherming tegen malware op systemen, met inbegrip van training in het gebruik ervan, het melden en herstellen van malwareaanvallen;
+
+m)alle gebruikers bewustmaken of trainen (zie 6 hoe zij de ontvangst, verzending of installatie van met malware geïnfecteerde e-mails, bestanden of programma\'s kunnen herkennen en mogelijk kunnen tegengaan [de onder n) en o) verzamelde informatie kan worden gebruikt om te bewerkstelligen dat bewustwording en training actueel blijven];
+
+n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamelen, zoals
+
+abonnementen nemen op mailinglijsten of relevante websites bekijken;
+
+o) verifiëren dat informatie met betrekking tot malware, zoals waarschuwingsbulletins, afkomstig is van gekwalificeerde en gerenommeerde bronnen (bijvetrouwbare internetsites of leveranciers van malwaredetectiesoftware), juist is en informatie biedt.
+
+**Overige informatie**
+
+Het is niet altijd mogelijk om op bepaalde systemen (bijvepaalde industriële besturingssystemen) software te installeren die tegen malware beschermtepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken.
+
+
+
+
+## 8.8 Beheer van technische kwetsbaarheden
+
++------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================+=============================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van\_ dreigingen_en\_ kwetsbaarheden | #Governance_en_Ecosysteem |
+| | | | | |
+| | | #Beschermen | | #Bescherming |
+| | | | | |
+| | | | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+
+
+**Beheersmaatregel**
+
+Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behorende passende maatregelen te worden getroffen.
+
+**Doel**
+
+Misbruik van technische kwetsbaarheden voorkomen.
+
+**Richtlijn**
+
+Technische kwetsbaarheden identificeren
+
+De organisatie behoort te beschikken over een nauwkeurige inventarislijst van bedrijfsmiddelen (zie
+
+5t/m 5) als voorwaarde voor een doeltreffend beheer van technische kwetsbaarheden; in de inventarislijst behoren de leverancier en naam van de software, versienummers, de huidige toepassingsstatus (bijvelke software is geïnstalleerd op welke systemen) en de binnen de organisatie voor de software verantwoordelijke persoon of personen te worden opgenomen.
+
+Om technische kwetsbaarheden te identificeren behoort de organisatie het volgende in aanmerking te nemen:
+
+a) het definiëren en vaststellen van de rollen en verantwoordelijkheden in samenhang met het beheer van technische kwetsbaarheden, met inbegrip van het monitoren van de kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden, updaten, het traceren van bedrijfsmiddelen en de vereiste coördinatieverantwoordelijkheden;
+
+b) voor software en andere technologieën (op basis van de inventarislijst van bedrijfsmiddelen, zie
+
+5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden;
+
+c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5);
+
+d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is;
+
+
+
+
+e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare penetratietests of kwetsbaarheidsbeoordelingen laten uitvoeren ter ondersteuning van het identificeren van kwetsbaarhedenorg betrachten aangezien zulke activiteiten de beveiliging van het systeem in het gedrang kunnen brengen;
+
+f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit
+
+behoort te worden opgenomen in beveiligde codering (zie 8).
+
+De organisatie behoort procedures en capaciteiten te ontwikkelen om:
+
+a) het bestaan te detecteren van kwetsbaarheden in haar producten en diensten, met inbegrip van alle
+
+externe componenten die in deze producten en diensten worden gebruikt;
+
+b) meldingen over kwetsbaarheden van interne of externe bronnen te ontvangen;
+
+De organisatie behoort te voorzien in een openbaar contactpunt als onderdeel van onderwerpspecifiek beleid inzake het bekendmaken van kwetsbaarheden, zodat onderzoekers en anderen in staat zijn problemen te meldene organisatie behoort procedures voor het melden van kwetsbaarheden op te stellen, online meldformulieren in te richten en gebruik te maken van passende fora voor het delen
+
+van informatie en analyses over dreigingen of andere informatiee organisatie behoort ook na te denken over bug bounty-programma's, waarbij beloningen worden aangeboden als stimulans om organisaties te helpen kwetsbaarheden te identificeren om deze naar behoren te verhelpene organisatie behoort ook informatie met bevoegde vertegenwoordigers van het bedrijfsleven of andere belanghebbenden te delen.
+
+Technische kwetsbaarheden evalueren
+
+Om geïdentificeerde technische kwetsbaarheden te evalueren behoren de volgende richtlijnen te worden overwogen:
+
+a) meldingen analyseren en verifiëren om te bepalen welke respons- en herstelmaatregelen nodig zijn;
+
+b) als er een mogelijke technische kwetsbaarheid is geïdentificeerd, de gerelateerde risico\'s en te treffen maatregelen identificerenet bijwerken van kwetsbare systemen of het toepassen van andere beheersmaatregelen kan onderdeel zijn van die maatregelen.
+
+Passende maatregelen treffen om technische kwetsbaarheden op te pakken
+
+Er behoort een beheerprocedure voor het updaten van software te worden geïmplementeerd om te bewerkstelligen dat de meest recente goedgekeurde patches en toepassingsupdates bij alle goedgekeurde software zijn geïnstalleerdndien de veranderingen noodzakelijk zijn, behoort de originele software te worden bewaard en behoren de veranderingen aan een speciaal daarvoor bestemde kopie te worden aangebrachtlle veranderingen behoren volledig te worden getest en gedocumenteerd zodat ze zo nodig opnieuw kunnen worden toegepast bij toekomstige software- upgradesndien vereist behoren de wijzigingen door een onafhankelijke beoordelingsinstantie te worden getest en gevalideerd.
+
+De volgende richtlijnen behoren in overweging te worden genomen om technische kwetsbaarheden aan te pakken:
+
+a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden;
+
+b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5);
+
+
+
+
+c) alleen updates gebruiken die afkomstig zijn van legitieme bronnen (dit kunnen interne bronnen
+
+binnen de organisatie of externe bronnen buiten de organisatie zijn);
+
+d) updates testen en evalueren alvorens ze te installeren om te garanderen dat ze doeltreffend zijn en geen neveneffecten met zich meebrengen die niet kunnen worden getolereerd [dzndien een update beschikbaar is, de risico\'s in verband met het installeren van de update beoordelen (de risico\'s als gevolg van de kwetsbaarheid behoren te worden vergeleken met het risico dat het installeren van de update met zich meebrengt)];
+
+e) systemen met een hoog risico als eerste aanpakken;
+
+f) herstelmaatregelen ontwikkelen (meestal software-updates of patches);
+
+g) testen om te bevestigen dat de herstel- of beperkende maatregel doeltreffend is;
+
+h) voorzien in mechanismen om de authenticiteit van herstelmaatregelen te verifiëren;
+
+i) indien er geen update beschikbaar is of de update niet kan worden geïnstalleerd, andere
+
+beheersmaatregelen overwegen, zoals:
+
+1) een door de softwareleverancier of andere relevante bronnen voorgesteld alternatief toepassen;
+
+2) diensten of capaciteiten in verband met de kwetsbaarheid uitschakelen;
+
+3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van
+
+netwerken (zie 8 t/m 8);
+
+4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende
+
+verkeersfilters toe te passen (soms aangeduid als virtueel patchen);
+
+5) intensiever monitoren om werkelijke aanvallen te detecteren;
+
+6) bewustwording omtrent de kwetsbaarheid kweken;
+
+Voor aangekochte software geldt dat indien de leveranciers regelmatig informatie over beveiligingsupdates voor hun software vrijgeven en een faciliteit bieden om dergelijke updates automatisch te installeren, de organisatie behoort te beslissen of zij al dan niet gebruikmaakt van de automatische update.
+
+Overige overwegingen
+
+Over alle stappen die in het kader van het beheer van technische kwetsbaarheden zijn ondernomen, behoort een auditlogbestand te worden bijgehouden.
+
+Het beheerproces met betrekking tot de technische kwetsbaarheid behoort regelmatig te worden gemonitord en geëvalueerd om de doeltreffendheid en doelmatigheid ervan te waarborgen.
+
+Om gegevens over kwetsbaarheden te communiceren aan de functie die de verantwoordelijkheid heeft te reageren op het incident en om te voorzien in uit te voeren technische procedures indien zich een incident voordoet, behoort een doeltreffend beheerproces met betrekking tot de technische kwetsbaarheid te worden afgestemd op incidentbeheeractiviteiten.
+
+Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddiensten beschikbaar gestelde clouddienst, behoort het beheer van de technische kwetsbaarheden van de middelen van de aanbieder van clouddiensten door deze aanbieder te worden gegarandeerde verantwoordelijk- heden van de aanbieder van de clouddiensten voor het beheer van technische kwetsbaarheden behoort deel uit te maken van de clouddienstverleningsovereenkomst en dit behoort processen te
+
+
+
+
+omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
+
+**Overige informatie**
+
+Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8).
+
+Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren.
+
+Indien het niet mogelijk is de updates in voldoende mate te testen (bijvanwege de kosten of door een gebrek aan middelen), kan worden overwogen het uitvoeren van een update uit te stellen om de samenhangende risico's te evalueren, op basis van de ervaringen die door andere gebruikers worden gemeldet kan nuttig zijn om ISO/IEC 27031 te raadplegen.
+
+Indien er softwarepatches of -updates worden geproduceerd, kan de organisatie overwegen in een geautomatiseerd updateproces te voorzien waarbij deze updates op de betrokken systemen of producten worden geïnstalleerd zonder dat de klant of de gebruiker iets hoeft te doenndien een geautomatiseerd updateproces wordt aangeboden, kan dit de klant of gebruiker een optie bieden om de automatische update uit te schakelen of controle te hebben over het tijdstip waarop de update wordt geïnstalleerd.
+
+Indien de verkoper een geautomatiseerd updateproces aanbiedt en de updates op getroffen systemen of producten kunnen worden geïnstalleerd zonder dat interventie nodig is, bepaalt de organisatie of zij het geautomatiseerde proces al dan niet toepasten reden om niet voor geautomatiseerde updates te kiezen is dat men zelf de controle wil behouden over wanneer de update wordt uitgevoerden update van software die voor een bedrijfsactiviteit wordt gebruikt, kan bijvoorbeeld pas worden uitgevoerd als de activiteit is afgerond.
+
+Een zwak punt van het scannen op kwetsbaarheden is dat het mogelijk is dat daarbij niet volledig rekening wordt gehouden met 'defence in depth': als tegenmaatregelen altijd na elkaar worden ingeroepen, kunnen kwetsbaarheden in de ene tegenmaatregel aan het oog worden onttrokken door sterke punten van de anderee samengestelde tegenmaatregel is niet kwetsbaar, terwijl een instrument dat wordt gebruikt om op kwetsbaarheden te scannen kan melden dat beide componenten kwetsbaar zijne organisatie behoort derhalve zorgvuldig te werk te gaan bij het beoordelen van en het nemen van maatregelen naar aanleiding van gemelde kwetsbaarheden.
+
+Veel organisaties leveren software, systemen, producten en diensten niet alleen binnen de organisatie, maar ook aan belanghebbenden zoals klanten, partners of andere gebruikerseze software, systemen, producten en diensten kunnen gepaard gaan met informatiebeveiligingskwetsbaarheden die van invloed zijn op de veiligheid van gebruikers.
+
+Organisaties kunnen herstelmaatregelen vrijgeven en informatie over kwetsbaarheden bekendmaken aan gebruikers (doorgaans via een openbaar informatiebericht) en passende informatie verstrekken voor databasediensten voor softwarekwetsbaarheden.
+
+Meer informatie over het beheer van technische kwetsbaarheden bij het gebruik van cloudcomputing is te vinden in de ISO/IEC 19086-reeks en ISO/IEC 27017.
+
+
+
+
+ISO/IEC 29147 geeft gedetailleerde informatie over het ontvangen van meldingen van kwetsbaarheden en het publiceren van adviezen met betrekking tot kwetsbaarhedenSO/IEC 30111 geeft gedetailleerde informatie over het omgaan met en oplossen van gemelde kwetsbaarheden.
+
+## 8.9 Configuratiebeheer
+
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
+
+**Doel**
+
+Garanderen dat hardware, software, diensten en netwerken correct met de vereiste beveiligingsinstellingen functioneren en de configuratie niet door ongeautoriseerde of onjuiste wijzigingen wordt gewijzigd.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort processen en instrumenten te definiëren en te implementeren om de voor zowel nieuw geïnstalleerde systemen als bestaande operationele systemen gedefinieerde configuraties (met inbegrip van beveiligingsconfiguraties) voor hardware, software, diensten (bijvlouddiensten) en netwerken gedurende de levensduur ervan af te dwingen.
+
+Rollen, verantwoordelijkheden en procedures behoren te worden vastgelegd om afdoende beheersing van alle veranderingen aan configuraties te waarborgen.
+
+Standaardsjablonen
+
+Er behoren standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken te worden gedefinieerd:
+
+a) met behulp van openbaar beschikbare richtlijnen (bijvooraf gedefinieerde sjablonen van
+
+verkopers en van onafhankelijke beveiligingsorganisaties);
+
+b) met inachtneming van het beveiligingsniveau dat nodig is om een afdoende beveiligingsniveau vast
+
+te stellen;
+
+c) die het informatiebeveiligingsbeleid van de organisatie, onderwerpspecifieke beleidsregels,
+
+normen en andere beveiligingseisen van de organisatie ondersteunen;
+
+d) waarbij de haalbaarheid en toepasselijkheid van beveiligingsconfiguraties in de context van de
+
+organisatie in overweging worden genomen.
+
+
+
+
+De sjablonen behoren regelmatig te worden beoordeeld en bijgewerkt wanneer nieuwe dreigingen of kwetsbaarheden moeten worden aangepakt, of wanneer er nieuwe software- of hardwareversies worden geïntroduceerd.
+
+Voor het vaststellen van standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken behoort het volgende in overweging te worden genomen:
+
+a) het aantal identiteiten met toegangsrechten op speciaal of beheerdersniveau minimaliseren;
+
+b) onnodige, ongebruikte of onbeveiligde identiteiten uitschakelen;
+
+c) onnodige functies en diensten uitschakelen of beperken;
+
+d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
+
+e) klokken synchroniseren;
+
+f) de standaard authenticatie-informatie van de leverancier, zoals standaardwachtwoorden onmiddellijk na de installatie wijzigen en andere belangrijke standaardparameters in verband met de beveiliging beoordelen;
+
+g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf vastgestelde
+
+inactiviteitsduur automatisch afmelden;
+
+h) verifiëren dat aan licentie-eisen is voldaan (zie 5).
+
+Configuraties beheren
+
+Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen.
+
+Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten:
+
+a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;
+
+b) de datum van de laatste wijziging van de configuratie;
+
+c) de versie van de configuratiesjabloon;
+
+d) de relatie tot configuraties van andere bedrijfsmiddelen.
+
+Configuraties monitoren
+
+Configuraties behoren te worden gemonitord met een uitgebreide verzameling instrumenten voor systeembeheer (bijvoorbeeld onderhoudssysteemhulpmiddelen, ondersteuning op afstand, instrumenten voor bedrijfsbeheer en back-up- en herstelsoftware) en behoren regelmatig te worden beoordeeld om de configuratie-instellingen te verifiëren, de sterkte van wachtwoorden te evalueren en de uitgevoerde activiteiten te beoordelene daadwerkelijke configuraties kunnen worden vergeleken met de gedefinieerde doelsjablonenventuele afwijkingen behoren te worden aangepakt,
+
+door middel van het automatisch afdwingen van de gedefinieerde doelconfiguratie of door handmatige analyse van de afwijking gevolgd door corrigerende maatregelen.
+
+
+
+
+**Overige informatie**
+
+In documentatie voor systemen worden vaak details vastgelegd over de configuratie van zowel hardware als software.
+
+Systeemhardening is een typisch onderdeel van configuratiebeheer.
+
+Configuratiebeheer kan worden geïntegreerd met processen voor het beheer van bedrijfsmiddelen en de bijbehorende instrumenten.
+
+Automatisering is meestal doeltreffender voor het beheren van de beveiligingsconfiguratie (bijvoor gebruik te maken van infrastructuur als code).
+
+Configuratiesjablonen en -doelen kunnen vertrouwelijke informatie zijn en behoren dienovereenkomstig te worden beschermd tegen toegang door onbevoegden.
+
+## 8.10 Wissen van informatie
+
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming #Juridisch_en_com- pliance | #Bescherming |
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer nodig is.
+
+**Doel**
+
+Onnodige openbaarmaking van gevoelige informatie voorkomen en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voor het wissen van informatie voldoen.
+
+**Richtlijn**
+
+Algemeen
+
+Om het risico op ongewenste openbaarmaking te beperken behoort gevoelige informatie niet langer te worden bewaard dan nodig is.
+
+Bij het wissen van informatie van systemen, toepassingen en diensten behoort het volgende in overweging te worden genomen:
+
+a) een wismethode (bijvlektronisch overschrijven of cryptografisch wissen) selecteren
+
+overeenkomstig de bedrijfseisen en met inachtneming van de relevante wet- en regelgeving;
+
+b) de resultaten van het wissen als bewijsmateriaal registreren;
+
+c) wanneer gebruik wordt gemaakt van dienstverleners voor het wissen van informatie, bewijs van
+
+het wissen van informatie van hen verkrijgen.
+
+
+
+
+Indien derden de informatie van de organisatie namens de organisatie opslaan, behoort de organisatie te overwegen in de overeenkomsten met derden eisen inzake het wissen van informatie op te nemen, die tijdens en bij beëindiging van dergelijke diensten worden afgedwongen.
+
+Wismethoden
+
+In overeenstemming met het onderwerpspecifieke beleid van de organisatie inzake het bewaren van gegevens en met inachtneming van de desbetreffende wet- en regelgeving, behoort gevoelige informatie te worden gewist wanneer zij niet langer nodig is, door:
+
+a) systemen dusdanig te configureren dat informatie op een beveiligde manier wordt vernietigd wanneer zij niet langer nodig is (bijva een gedefinieerde periode afhankelijk van het onderwerpspecifieke beleid inzake het bewaren van gegevens of op grond van een verzoek om toegang van een betrokkene);
+
+b) verouderde versies, kopieën en tijdelijke bestanden te wissen, ongeacht waar deze zich bevinden;
+
+c) gebruik te maken van goedgekeurde, veilige software voor het wissen waardoor informatie blijvend wordt gewist en wordt gegarandeerd dat de informatie niet met behulp van gespecialiseerde herstel- of forensische instrumenten kan worden hersteld;
+
+d) gebruik te maken van erkende, gecertificeerde aanbieders van beveiligde verwijderingsdiensten;
+
+e) gebruik te maken van verwijderingsmechanismen die geschikt zijn voor het type opslagmedia dat
+
+wordt verwijderd (bijvoor vaste schijven en andere magnetische opslagmedia te degaussen).
+
+Indien gebruik wordt gemaakt van clouddiensten, behoort de organisatie na te gaan of de door de aanbieder van de clouddienst geboden wismethode aanvaardbaar is en indien dit het geval is, behoort de organisatie deze te gebruiken, of de aanbieder van de clouddienst te verzoeken de informatie te wisseneze wisprocessen behoren te worden geautomatiseerd overeenkomstig onderwerpspecifieke beleidsregels, indien die beschikbaar en van toepassing zijnfhankelijk van de gevoeligheid van de gewiste informatie kan met logbestanden worden getraceerd of geverifieerd dat deze wisprocessen hebben plaatsgevonden.
+
+Om onbedoelde openbaarmaking van gevoelige informatie te voorkomen wanneer apparatuur naar leveranciers wordt teruggestuurd, behoort gevoelige informatie te worden beschermd door hulpopslagfaciliteiten (bijvaste schijven) en geheugen te verwijderen voordat de apparatuur het gebouw en/of terrein van de organisatie verlaat.
+
+Aangezien bepaalde apparaten (bijvmartphones) alleen veilig kunnen worden gewist door ze te vernietigen of door de in deze apparaten ingebouwde functies te gebruiken (bijvfabrieksinstellingen herstellen'), behoort de organisatie de geschikte methode te kiezen op basis van de classificatie van de informatie die door dergelijke apparaten wordt verwerkt.
+
+De in 7 beschreven beheersmaatregelen behoren te worden toegepast om het opslagapparaat fysiek te vernietigen en tegelijkertijd de informatie erop te wissen.
+
+Een officiële registratie van het wissen van informatie is nuttig om de oorzaak van een mogelijk lek van informatie te analyseren.
+
+**Overige informatie**
+
+Informatie over het wissen van gebruikersgegevens in clouddiensten is te vinden in ISO/IEC 27017nformatie over het wissen van persoonsgegevens is te vinden in ISO/IEC 27555.
+
+
+
+
+## 8.11 Maskeren van gegevens
+
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+==========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
+
+**Doel**
+
+De openbaarmaking van gevoelige informatie met inbegrip van persoonsgegevens beperken en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voldoen.
+
+**Richtlijn**
+
+Indien de bescherming van gevoelige gegevens (bijversoonsgegevens) een punt van zorg is, behoort de organisatie te overwegen dergelijke gegevens te verbergen door gebruik te maken van technieken als het maskeren, pseudonimiseren of anonimiseren van gegevens.
+
+Met pseudonimiserings- of anonimiseringstechnieken kunnen persoonsgegevens worden verborgen, de ware identiteit van de betrokkenen bij persoonsgegevens of andere gevoelige informatie worden verhuld, en het verband tussen persoonsgegevens en de identiteit van de betrokkene of het verband tussen andere gevoelige informatie worden verbroken.
+
+Bij gebruik van pseudonimiserings- of anonimiseringstechnieken behoort te worden nagegaan of de gegevens afdoende zijn gepseudonimiseerd of geanonimiseerdm doeltreffend te zijn behoren bij het anonimiseren van gegevens alle elementen van de gevoelige informatie in aanmerking te worden genomen, anders kan bijvoorbeeld een persoon worden geïdentificeerd, zelfs als de gegevens
+
+waarmee die persoon direct kan worden geïdentificeerd zijn geanonimiseerd, doordat er andere gegevens aanwezig zijn aan de hand waarvan de persoon indirect kan worden geïdentificeerd.
+
+Aanvullende technieken voor het maskeren van gegevens zijn onder andere:
+
+a) versleuteling (zodat bevoegde gebruikers alleen met een sleutel toegang hebben);
+
+b) tekens weghalen of wissen (waarmee wordt voorkomen dat onbevoegde gebruikers volledige
+
+berichten zien);
+
+c) wisselen van getallen en data;
+
+d) substitutie (een waarde door een andere vervangen om gevoelige gegevens te verbergen);
+
+e) waarden door de desbetreffende hash vervangen.
+
+
+
+
+Het volgende behoort te worden overwogen bij het implementeren van technieken voor het maskeren van gegevens:
+
+a) niet alle gebruikers toegang tot alle gegevens geven, en daarom query\'s en maskers zo ontwerpen
+
+dat alleen de minimaal vereiste gegevens zichtbaar zijn voor de gebruiker;
+
+b) er zijn gevallen waarin bepaalde gegevens voor de gebruiker niet zichtbaar behoren te zijn voor sommige gegevenselementen in een verzameling gegevens; in dat geval een mechanisme ontwerpen en implementeren voor de versluiering van gegevens (bijvndien een patiënt niet wil
+
+dat ziekenhuispersoneel, zelfs in geval van nood, alle gegevens over de patiënt kan zien; in dat geval krijgt het ziekenhuispersoneel gedeeltelijk versluierde gegevens te zien en hebben alleen personeelsleden met specifieke rollen toegang tot de gegevens als die nuttige informatie bevatten voor een passende behandeling);
+
+c) wanneer gegevens versluierd zijn, de betrokkene de mogelijkheid geven te eisen dat gebruikers niet kunnen zien of die gegevens versluierd zijn (versluiering van de versluiering; dit wordt gebruikt in gezondheidsinstellingen, bijvoorbeeld als de patiënt niet wil dat het personeel ziet dat gevoelige informatie zoals zwangerschappen of resultaten van bloedonderzoeken is versluierd);
+
+d) eventuele eisen van wet- en regelgeving (bijvereisen dat informatie van betaalkaarten tijdens de
+
+verwerking of opslag wordt gemaskeerd).
+
+Het volgende behoort te worden overwogen bij het maskeren, pseudonimiseren of anonimiseren van gegevens:
+
+a) de mate van sterkte van gegevensmaskering, pseudonimisering of anonimisering gezien het
+
+gebruik van de verwerkte gegevens;
+
+b) beveiliging van de toegang tot de verwerkte gegevens;
+
+c) afspraken of beperkingen met betrekking tot het gebruik van de verwerkte gegevens;
+
+d) verbieden dat de verwerkte gegevens worden samengevoegd met andere informatie om de
+
+betrokkene te identificeren;
+
+e) de verstrekking en ontvangst van de verwerkte gegevens bijhouden.
+
+**Overige informatie**
+
+Door anonimisering worden persoonsgegevens dusdanig onomkeerbaar gewijzigd dat de betrokkene niet langer rechtstreeks of indirect kan worden geïdentificeerd.
+
+Bij pseudonimisering wordt de identificerende informatie door een alias vervangenennis van het algoritme (soms 'aanvullende informatie' genoemd) dat wordt gebruikt om de pseudonimisering uit te voeren, maakt in ieder geval een bepaalde vorm van identificatie van de betrokkene mogelijkergelijke 'aanvullende informatie' behoort daarom apart te worden gehouden en te worden beschermd.
+
+Hoewel pseudonimisering dus zwakker is dan anonimisering, kunnen gepseudonimiseerde gegevensverzamelingen nuttiger zijn voor statistisch onderzoek.
+
+Het maskeren van gegevens is een verzameling technieken waarmee gevoelige gegevens worden verborgen, vervangen of versluierdet maskeren van gegevens kan statisch zijn (als gegevens in de oorspronkelijke database worden gemaskeerd), dynamisch (waarbij automatisering en regels worden
+
+
+
+
+gebruikt om gegevens in real time te beveiligen) of 'on-the-fly' (waarbij gegevens in het geheugen van een toepassing worden gemaskeerd).
+
+Hashfuncties kunnen worden gebruikt om persoonsgegevens te anonimiserenm enumeratie- aanvallen te voorkomen, behoren ze altijd te worden gecombineerd met een 'salt'-functie, waarbij willekeurige gegevens worden toegevoegd.
+
+Persoonsgegevens in identificatiecodes van middelen en de bijbehorende attributen [bijvestandsnamen, uniform resource locators (URL's)] behoren te worden vermeden of op passende wijze te worden geanonimiseerd.
+
+Aanvullende beheersmaatregelen met betrekking tot de bescherming van persoonsgegevens in publieke clouds worden gegeven in ISO/IEC 27018.
+
+Aanvullende informatie over de-identificatietechnieken is te vinden in ISO/IEC 20889.
+
+## 8.12 Voorkomen van gegevenslekken (Data leakage prevention)
+
++------------------------+----------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming | #Bescherming |
+| | | | | |
+| #Detectief | | #Detecteren | | #Verdediging |
++------------------------+----------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
+
+**Doel**
+
+Om de ongeoorloofde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen.
+
+**Richtlijn**
+
+De organisatie behoort het volgende te overwegen om het risico op gegevenslekken te beperken:
+
+a) informatie identificeren en classificeren als bescherming tegen lekken (bijversoonsinformatie,
+
+prijsbepalingsmodellen en productontwerpen);
+
+b) kanalen waarlangs gegevens kunnen lekken, monitoren (bijv-mail, bestandsoverdracht, mobiele
+
+apparaten en draagbare opslagapparatuur);
+
+c) actie ondernemen om te voorkomen dat informatie weglekt (bijv-mails met gevoelige informatie
+
+in quarantaine plaatsen).
+
+
+
+
+Er behoren hulpmiddelen voor het voorkomen van gegevenslekken te worden gebruikt om:
+
+a) te identificeren welke gevoelige informatie blootstaat aan het risico op ongeoorloofde openbaarmaking (bijvn niet-gestructureerde gegevens op het systeem van een gebruiker) en dit te monitoren;
+
+b) de openbaarmaking van gevoelige informatie te detecteren (bijvanneer informatie wordt
+
+geüpload naar niet-vertrouwde clouddiensten van derden of via e-mail wordt verzonden);
+
+c) handelingen van gebruikers of netwerktransmissies waardoor gevoelige informatie bekend wordt,
+
+te blokkeren (bijvoorkomen dat databasegegevens naar een spreadsheet worden gekopieerd).
+
+De organisatie behoort vast te stellen of het nodig is de mogelijkheid te beperken dat gebruikers gegevens kopiëren en plakken en deze naar diensten, apparaten en opslagmedia buiten de organisatie uploadenn dat geval behoort de organisatie technologie te implementeren zoals instrumenten ter voorkoming van gegevenslekken of bestaande instrumenten dusdanig te configureren dat gebruikers gegevens op afstand kunnen bekijken en manipuleren, waarbij kopiëren en plakken waarop de organisatie geen controle heeft, wordt voorkomen.
+
+Als het exporteren van gegevens vereist is, behoort de eigenaar van de gegevens in staat te zijn dit goed te keuren en gebruikers verantwoordelijk te stellen voor hun daden.
+
+Voor het maken van schermafbeeldingen of foto\'s van het scherm behoren gebruiksvoorwaarden te worden opgesteld en hieraan behoort in trainingen en audits aandacht te worden besteed.
+
+Indien er een back-up van gegevens wordt gemaakt, behoort ervoor te worden gezorgd dat gevoelige informatie wordt beschermd door maatregelen zoals encryptie, toegangsbeveiliging en fysieke bescherming van de opslagmedia waarop de back-up staat.
+
+Het voorkomen van gegevenslekken behoort ook te worden beschouwd als een vorm van bescherming tegen de acties van tegenstanders om vertrouwelijke of geheime informatie (geopolitieke, menselijke, financiële, commerciële, wetenschappelijke of andere informatie) te verkrijgen die van belang kan zijn voor spionage of essentieel kan zijn voor de gemeenschape maatregelen ter voorkoming van het lekken van gegevens behoren erop gericht te zijn verwarring te zaaien wat betreft de beslissingen van de tegenstander, bijvoorbeeld door authentieke informatie te vervangen door valse informatie, hetzij als een eigen maatregel, hetzij als reactie op de acties van de tegenstander om informatie te verzamelenoorbeelden van dergelijke maatregelen zijn omgekeerde 'social engineering' of het gebruik van 'honeypots' om aanvallers te lokken.
+
+**Overige informatie**
+
+Hulpmiddelen om gegevenslekken te voorkomen, zijn ervoor ontworpen om gegevens te identificeren, het gebruik en de verplaatsing van gegevens te monitoren, en maatregelen te nemen om gegevenslekken te voorkomen (bijvebruikers waarschuwen voor hun risicogedrag en de overdracht van gegevens naar draagbare opslagapparatuur blokkeren).
+
+Een inherent element van het voorkomen van gegevenslekken is toezicht op de communicatie en de online activiteiten van het personeel en, in het verlengde daarvan, op de berichten van externe partijen, hetgeen aanleiding kan geven tot juridische aspecten die behoren te worden overwogen voordat instrumenten om gegevenslekken te voorkomen worden ingezetllerlei wetgeving op het gebied van privacy, gegevensbescherming, werkgelegenheid, het onderscheppen van gegevens en telecommunicatie is van toepassing op monitoren en gegevensverwerking in het kader van het voorkomen van gegevenslekken.
+
+
+
+
+Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5).
+
+## 8.13 Back-up van informatie
+
++------------------------+---------------------+----------------------+--------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+====================+=====================+
+| #Corrigerend | #Integriteit | #Herstellen | #Continuïteit | #Bescherming |
+| | | | | |
+| | #Beschikbaarheid | | | |
++------------------------+---------------------+----------------------+--------------------+---------------------+
+
+**Beheersmaatregel**
+
+Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.
+
+**Doel**
+
+Herstel mogelijk maken na verlies van gegevens of systemen.
+
+**Richtlijn**
+
+Er behoort een onderwerpspecifiek beleid inzake back-ups te worden opgesteld met het oog op de eisen van de organisatie wat betreft het bewaren van gegevens en informatiebeveiliging.
+
+Er behoort te worden voorzien in afdoende back-upfaciliteiten om te waarborgen dat alle essentiële informatie en software na een incident of na falen of verlies van opslagmedia kan worden hersteld.
+
+Er behoren plannen te worden ontwikkeld en geïmplementeerd voor hoe de organisatie back-ups gaat maken van informatie, software en systemen, met het oog op het onderwerpspecifieke beleid inzake back-ups.
+
+Bij het opstellen van een back-upplan, behoren de volgende punten in overweging te worden genomen:
+
+a) nauwkeurige en volledige registers van de back-upkopieën en gedocumenteerde herstelprocedures
+
+produceren;
+
+b) de bedrijfseisen van de organisatie (bijve RPO's, zie 5), de beveiligingseisen van de betrokken informatie en het belang van de informatie voor de voortzetting van de bedrijfsuitvoering van de organisatie behoren te worden weerspiegeld in de omvang (bijvolledige of gedifferentieerde back-up) en de frequentie van back-ups;
+
+c) de back-ups in een veilige en beveiligde afgelegen locatie bewaren, op een voldoende afstand om
+
+niet te worden beschadigd door een calamiteit op de hoofdlocatie;
+
+d) aan back-upinformatie een passend niveau van fysieke en omgevingsbescherming geven (zie
+
+hoofdstuk 7 en 8, consistent met de normen die op de hoofdlocatie worden toegepast;
+
+e) back-upmedia regelmatig testen om te garanderen dat men er wanneer nodig voor gebruik in noodgevallen op kan vertrouwenp een testsysteem testen of de back-upgegevens kunnen worden hersteld en dit niet testen door de originele opslagmedia te overschrijven, aangezien het back-up- of herstelproces kan mislukken en onherstelbare schade aan of verlies van gegevens kan veroorzaken;
+
+
+
+
+f) back-ups door middel van encryptie beschermen, naargelang de geïdentificeerde risico\'s (bijvn
+
+situaties waar vertrouwelijkheid van belang is);
+
+g) ervoor zorgen dat wordt gegarandeerd dat onopzettelijk gegevensverlies wordt opgespoord
+
+voordat een back-up wordt gemaakt.
+
+Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen.
+
+Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
+
+Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie.
+
+Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
+
+**Overige informatie**
+
+Zie voor verdere informatie over beveiligde opslag, met inbegrip van bewaarspecifieke overwegingen, ISO/IEC 27040.
+
+## 8.14 Redundantie van informatieverwerkende faciliteiten
+
++------------------------+---------------------+----------------------+------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+================================================+=====================+
+| #Preventief | #Beschikbaarheid | #Beschermen | #Continuïteit #Beheer_van_be- drijfsmiddelen | #Bescherming |
+| | | | | |
+| | | | | #Veerkracht |
++------------------------+---------------------+----------------------+------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
+
+**Doel**
+
+De ononderbroken werking van informatieverwerkende faciliteiten waarborgen.
+
+
+
+
+**Richtlijn**
+
+De organisatie behoort eisen te identificeren voor de beschikbaarheid van zakelijke diensten en informatiesystemene organisatie behoort een systeemarchitectuur te ontwerpen en implementeren met passende redundantie om aan deze eisen te voldoen.
+
+Redundantie kan worden geïntroduceerd door informatieverwerkende faciliteiten deels of geheel te dupliceren (dzeservecomponenten of twee van alles hebben)e organisatie behoort procedures te plannen en te implementeren voor het activeren van de redundante componenten en verwerkende faciliteitenn de procedures behoort te worden vastgesteld of de redundante componenten en verwerkende activiteiten altijd zijn geactiveerd of, in een noodgeval, automatisch of handmatig worden geactiveerde redundante componenten en informatieverwerkende faciliteiten behoren hetzelfde beveiligingsniveau te garanderen als hun primaire tegenhangers.
+
+Er behoren mechanismen te zijn om de organisatie te waarschuwen voor een storing in de informatieverwerkende faciliteiten, zodat de geplande procedure kan worden uitgevoerd en de beschikbaarheid in stand blijft terwijl de informatieverwerkende faciliteiten worden gerepareerd of vervangen.
+
+De organisatie behoort het volgende te overwegen bij het implementeren van redundante systemen:
+
+a) overeenkomsten met twee of meer leveranciers van netwerkdiensten en diensten voor het
+
+verwerken van essentiële informatie, zoals aanbieders van internetdiensten, aangaan;
+
+b) gebruikmaken van redundante netwerken;
+
+c) gebruikmaken van twee geografisch gescheiden datacentra met gespiegelde systemen;
+
+d) gebruikmaken van fysiek redundante voedingen of stroombronnen;
+
+e) gebruikmaken van meerdere parallelle instanties van softwarecomponenten, met automatische onderlinge 'loadbalancing' (tussen instanties in hetzelfde datacentrum of in verschillende datacentra);
+
+f) beschikken over gedupliceerde componenten in systemen (bijvPU, vaste schijven, geheugens) of
+
+in netwerken (bijvirewalls, routers, switches).
+
+Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante informatiesystemen te worden getest om te waarborgen dat de automatische omschakeling van de ene op de andere component bij storing werkt zoals voorzien.
+
+**Overige informatie**
+
+Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
+
+Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen.
+
+Redundantie in informatieverwerkende faciliteiten gaat meestal niet in op het niet-beschikbaar zijn van een toepassing als gevolg van fouten in de toepassing.
+
+
+
+
+Met het gebruik van 'public cloud computing' is het mogelijk om meerdere liveversies van informatieverwerkende faciliteiten te hebben, die zich op meerdere afzonderlijke fysieke locaties bevinden met automatische omschakeling bij storingen en onderlinge loadbalancing.
+
+Een aantal technologieën en technieken voor het voorzien in redundantie en automatische omschakeling bij storingen in de context van clouddiensten wordt besproken in ISO/IEC TS 23167.
+
+## 8.15 Logging
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming |
+| | | | | |
+| | | | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.
+
+**Doel**
+
+Gebeurtenissen registreren, bewijs genereren, de integriteit van informatie in logbestanden waarborgen, onbevoegde toegang voorkomen, informatiebeveiligingsgebeurtenissen identificeren die tot een informatiebeveiligingsincident kunnen leiden en onderzoeken ondersteunen.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort het doel vast te stellen waarvoor logbestanden worden aangemaakt, welke gegevens worden verzameld en in het logbestand worden geregistreerd en welke logbestandspecifieke eisen er zijn voor het beschermen en behandelen van de gegevens in het logbestandit behoort te worden gedocumenteerd in onderwerpspecifiek registratiebeleid.
+
+Logbestanden van gebeurtenissen behoren het volgende voor elke gebeurtenis te bevatten, al naargelang van toepassing is:
+
+a) gebruikersidentificaties;
+
+b) systeemactiviteiten;
+
+c) data, tijdstippen en details van relevante gebeurtenissen (bijvn- en uitloggen);
+
+d) de identiteit van apparaten, identificatie van systemen en hun locatie;
+
+e) netwerkadressen en -protocollen.
+
+
+
+
+Het behoort te worden overwogen de volgende gebeurtenissen in logbestanden vast te leggen:
+
+a) geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem;
+
+b) goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot bronnen
+
+van informatie;
+
+c) systeemconfiguratieveranderingen;
+
+d) het gebruik van speciale bevoegdheden;
+
+e) het gebruik van systeemhulpmiddelen en -toepassingen;
+
+f) de bestanden waartoe toegang is gemaakt en de soort toeganget inbegrip van het wissen van
+
+belangrijke gegevensbestanden;
+
+g) alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
+
+h) activering en deactivering van beveiligingssystemen, zoals antivirussystemen en
+
+inbraakdetectiesystemen;
+
+i) het aanmaken, wijzigen of wissen van identiteiten;
+
+j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige gevallen zijn de
+
+toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product.
+
+Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
+
+Logbestanden beschermen
+
+Gebruikers, ook die met speciale toegangsrechten, behoren geen toestemming te hebben om logbestanden van hun eigen activiteiten te verwijderen of te deactiverenij kunnen mogelijk de logbestanden over informatieverwerkende faciliteiten waarover zij het directe bestuur hebben, manipulerenaarom is het nodig de logbestanden te beschermen en te beoordelen om de verantwoordelijkheid voor de gebruikers met speciale rechten in stand te houden.
+
+Beheersmaatregelen behoren gericht te zijn op het beschermen van informatie in logbestanden tegen onbevoegde veranderingen en tegen operationele problemen met de logvoorziening, met inbegrip van:
+
+a) veranderingen aan de soorten berichten die worden vastgelegd;
+
+b) bewerken of verwijderen van logbestanden;
+
+c) het niet-registreren van gebeurtenissen of het overschrijven van eerder geregistreerde
+
+gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt overschreden.
+
+Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand.
+
+Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5).
+
+
+
+
+Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
+
+Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5).
+
+Analyse van logbestanden
+
+De analyse van logbestanden behoort te bestaan uit het analyseren en interpreteren van informatiebeveiligingsgebeurtenissen om ongebruikelijke activiteiten of afwijkend gedrag, hetgeen mogelijke indicatoren van compromittering zijn, te helpen identificeren.
+
+Bij het analyseren van gebeurtenissen behoort rekening te worden gehouden met:
+
+a) de noodzakelijke vaardigheden van de deskundigen die de analyse uitvoeren;
+
+b) het vaststellen van de procedure voor het analyseren van logbestanden;
+
+c) de vereiste attributen van elke beveiligingsgerelateerde gebeurtenis;
+
+d) uitzonderingen die zijn geïdentificeerd door het gebruik van vooraf vastgestelde regels (bijvIEM-
+
+of firewallregels, en IDS- of malwarehandtekeningen);
+
+e) bekende gedragspatronen en standaardnetwerkverkeer in vergelijking met afwijkend(e)
+
+activiteiten en gedrag (analyse van het gedrag van gebruikers en entiteiten - UEBA);
+
+f) resultaten van de analyse van trends of patronen (bijvls gevolg van het gebruik van
+
+gegevensanalyse, bigdatatechnieken en gespecialiseerde analyse-instrumenten);
+
+g) beschikbare informatie en analyses over dreigingen.
+
+De analyse van logbestanden behoort te worden ondersteund door specifieke monitoringactiviteiten om afwijkend gedrag te helpen identificeren en analyseren, waaronder:
+
+a) het beoordelen van geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen
+
+(bijvNS-servers, webportals en bestandsshares);
+
+b) het controleren van DNS-logbestanden om uitgaande netwerkverbindingen met kwaadaardige servers te identificeren, zoals verbindingen die in verband worden gebracht met 'command-and- controlservers van botnets;
+
+c) het onderzoeken van gebruiksverslagen van dienstverleners (bijvacturen of verslagen van de geleverde diensten) op ongebruikelijke activiteit binnen systemen en netwerken (bijvoorbeeld door activiteitenpatronen te beoordelen);
+
+d) het opnemen van gebeurtenislogbestanden van fysieke monitoring, zoals in- en uitgang, met het
+
+oog op een nauwkeurigere detectie en analyse van incidenten;
+
+e) het correleren van logbestanden om doelmatige en zeer nauwkeurige analyse mogelijk te maken.
+
+Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden geïdentificeerd (bijvesmetting met malware of het uitpeilen van firewalls) en nader te worden onderzocht (bijvn het kader van een proces voor het beheer van informatiebeveiligingsincidenten, zie 5).
+
+
+
+
+**Overige informatie**
+
+Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen.
+
+Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
+
+Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases.
+
+Er worden openbaar transparante bestanden gebruikt voor het registreren van logbestanden, bijvoorbeeld in systemen voor de transparantie van certificatenergelijke bestanden kunnen een extra detectiemechanisme bieden dat nuttig is ter bescherming tegen manipulatie van logbestanden.
+
+In cloudomgevingen kunnen de afnemer en de leverancier van de clouddienst de verantwoordelijkheden voor het beheer van logbestanden met elkaar delene verantwoordelijkheden variëren afhankelijk van de soort clouddienst die wordt gebruikterdere richtlijnen zijn te vinden in ISO/IEC 27017.
+
+## 8.16 Monitoren van activiteiten
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| #Corrigerend | | #Reageren | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden genomen om potentiële informatiebeveiligingsincidenten te evalueren.
+
+**Doel**
+
+Afwijkend gedrag en potentiële informatiebeveiligingsincidenten detecteren.
+
+**Richtlijn**
+
+De reikwijdte en het niveau van de monitoring behoren te worden bepaald overeenkomstig de bedrijfs- en informatiebeveiligingseisen en met inachtneming van de relevante wet- en regelgevingr behoren registraties van de monitoring te worden bijgehouden gedurende gedefinieerde bewaartermijnen.
+
+
+
+Het behoort te worden overwogen het volgende in het monitoringsysteem op te nemen:
+
+a) uitgaand en inkomend netwerk-, systeem- en toepassingsverkeer;
+
+b) toegang tot systemen, servers, netwerkapparatuur, monitoringsysteem, essentiële toepassingen
+
+enz.;
+
+c) systeem- en netwerkconfiguratiebestanden op essentieel of beheerdersniveau;
+
+d) logbestanden van beveiligingsinstrumenten [bijvntivirus, IDS, inbraakpreventiesysteem (IPS),
+
+webfilters, firewalls, voorkoming van gegevenslekken];
+
+e) logbestanden van gebeurtenissen met betrekking tot systeem- en netwerkactiviteit;
+
+f) controle of de code die wordt uitgevoerd, in het systeem mag worden uitgevoerd en of deze niet is
+
+gemanipuleerd (bijvoor hercompileren om extra ongewenste code toe te voegen);
+
+g) gebruik van de middelen (bijvoorbeeld CPU, vaste schijven, geheugen, bandbreedte) en de
+
+prestaties daarvan.
+
+De organisatie behoort een nullijn voor normaal gedrag vast te stellen en aan de hand van deze nullijn op afwijkingen te monitorenij het vaststellen van de nullijn behoort het volgende te worden overwogen:
+
+a) het gebruik van de systemen in normale en piekperiodes beoordelen;
+
+b) het gebruikelijke tijdstip van toegang, de gebruikelijke plaats van toegang en de gebruikelijke
+
+frequentie van toegang voor elke gebruiker of gebruikersgroep.
+
+Het monitoringsysteem behoort te worden geconfigureerd aan de hand van de vastgestelde nullijn om afwijkend gedrag te identificeren, zoals:
+
+a) ongeplande beëindiging van processen of toepassingen;
+
+b) activiteiten die meestal verband houden met malware of verkeer dat afkomstig is van bekende kwaadaardige IP-adressen of netwerkdomeinen (bijvie verband houden met command-and- controlservers van botnets);
+
+c) bekende aanvalskenmerken (bijvdenial of service' en bufferoverflows);
+
+d) ongebruikelijk systeemgedrag (bijvet registreren van toetsaanslagen, procesinjectie en
+
+afwijkingen in het gebruik van standaardprotocollen);
+
+e) knelpunten en overbelasting (bijvetwerkwachtrijen, latentieniveaus en netwerkjitter);
+
+f) (daadwerkelijke of pogingen tot) toegang door onbevoegden tot systemen of informatie;
+
+g) het ongeoorloofd scannen van bedrijfstoepassingen, -systemen en -netwerken;
+
+h) geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen (bijvNS-servers,
+
+webportals en bestandssystemen);
+
+i) ongebruikelijk gebruikers- en systeemgedrag in vergelijking met het verwachte gedrag.
+
+
+
+
+Er behoort gebruik te worden gemaakt van continue monitoring via een monitoringinstrumentonitoring behoort realtime of met regelmatige tussenpozen te gebeuren, afhankelijk van de behoefte en mogelijkheden van de organisatieonitoringinstrumenten behoren geschikt te zijn voor grote hoeveelheden gegevens, zich aan te passen aan een voortdurend veranderend landschap van dreigingen en realtimemeldingen mogelijk te makene instrumenten behoren ook specifieke handtekeningen en gegevens of netwerk- of toepassingsgedragspatronen te kunnen herkennen.
+
+Geautomatiseerde monitoringsoftware behoort dusdanig te worden geconfigureerd dat deze meldingen geeft (bijvia beheerconsoles, e-mails of instantmessagingsystemen) op basis van vooraf gedefinieerde drempelset waarschuwingssysteem behoort op basis van de nullijn van de organisatie te worden afgestemd en getraind om valspositieven tot een minimum te beperken.
+
+Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar behoren getraind te
+
+zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.
+
+Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
+
+**Overige informatie**
+
+Beveiligingsmonitoring kan worden verbeterd door:
+
+a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5;
+
+b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie;
+
+c) blokkeringslijsten of toestemmingslijsten te gebruiken;
+
+d) allerlei technische beveiligingsbeoordelingen (bijveoordelen op kwetsbaarheden, penetratietests, simulaties van cyberaanvallen en cyberresponsoefeningen) uit te voeren, en de resultaten van deze beoordelingen te gebruiken om de nullijnen of aanvaardbaar gedrag te helpen vaststellen;
+
+e) gebruik te maken van systemen voor het monitoren van prestaties om afwijkend gedrag te helpen
+
+vaststellen en detecteren;
+
+f) gebruik te maken van logbestanden in combinatie met monitoringsystemen.
+
+Monitoringactiviteiten worden vaak uitgevoerd met behulp van gespecialiseerde software, zoals inbraakdetectiesystemeneze kunnen worden geconfigureerd aan de hand van een nullijn van normale, aanvaardbare en verwachte systeem- en netwerkactiviteiten.
+
+Op afwijkende communicatie monitoren helpt bij het identificeren van botnets (dzen verzameling apparaten onder de kwaadwillige controle van de botneteigenaar, die meestal wordt gebruikt voor het uitvoeren van gedistribueerde denial-of-serviceaanvallen op andere computers van andere organisaties)ndien de computer door een extern apparaat wordt bestuurd, is er communicatie
+
+tussen het besmette en het besturende apparaate organisatie behoort daarom technologieën in te zetten om afwijkende communicatie te monitoren en zo nodig maatregelen te nemen.
+
+
+
+
+## 8.17 Kloksynchronisatie
+
++------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+========================================================+=====================+
+| #Detectief | #Integriteit | #Beschermen | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming |
+| | | | | |
+| | | #Detecteren | | #Verdediging |
++------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen.
+
+**Doel**
+
+De correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk maken en onderzoeken bij informatiebeveiligingsincidenten ondersteunen.
+
+**Richtlijn**
+
+Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd behoren te worden gedocumenteerd en geïmplementeerdulke eisen kunnen voortvloeien uit wet-
+
+en regelgeving, statuten, overeenkomsten, normen en uit interne monitoringbehoeftenr behoort een standaardreferentietijd voor gebruik binnen de organisatie te worden gedefinieerd en in aanmerking te worden genomen voor alle systemen, met inbegrip van gebouwbeheersystemen, in- en uitgangssystemen en andere systemen die ter ondersteuning van onderzoeken kunnen worden gebruikt.
+
+Een aan een nationale atoomklok die radiogolven uitzendt of aan gps (wereldwijd positioneringssysteem) gekoppelde klok behoort te worden gebruikt als referentieklok voor logsystemen; een consistente, vertrouwde bron voor de datum en tijd om nauwkeurige tijdstempels te garanderenrotocollen zoals netwerktijdprotocol (NTP) of 'precision time protocol' (PTP) behoren te worden gebruikt om klokken in een computernetwerk gesynchroniseerd te houden met een referentieklok.
+
+De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaarheid van externe klokken te verbeteren en naar behoren om te gaan met eventuele afwijkingen.
+
+Klokken kunnen lastig te synchroniseren zijn wanneer meerdere clouddiensten worden gebruikt of wanneer zowel cloud- als op locatie gehoste diensten worden gebruiktn dat geval behoort de klok van elke dienst te worden gecontroleerd en het verschil te worden geregistreerd om risico\'s als gevolg van verschillen te verkleinen.
+
+**Overige informatie**
+
+De correcte instelling van computerklokken is belangrijk om de nauwkeurigheid van logbestanden van gebeurtenissen te waarborgenit kan nodig zijn voor onderzoeken of als bewijs in juridische en disciplinaire zakennnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van het bewijs schaden.
+
+
+
+
+## 8.18 Gebruik van speciale systeemhulpmiddelen
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.
+
+**Doel**
+
+Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aan systeem- en toepassingsbeheersmaatregelen voor informatiebeveiliging.
+
+**Richtlijn**
+
+Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen:
+
+a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde
+
+gebruikers dat praktisch haalbaar is (zie 8;
+
+b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen,
+
+met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
+
+c) het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;
+
+d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen;
+
+e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot
+
+toepassingen op systemen waarbij segmentatie van functies vereist is;
+
+f) het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;
+
+g) ten minste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftwarendien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden;
+
+h) beperking van de beschikbaarheid van systeemhulpmiddelen (bijvoor de duur van een
+
+geautoriseerde wijziging);
+
+i) registreren van alle gebruik van systeemhulpmiddelen.
+
+**Overige informatie**
+
+De meeste informatiesystemen hebben een of meer systeemhulpmiddelen die systeem- en toepassingsbeheersmaatregelen kunnen omzeilen, bijvoorbeeld diagnose-, patching-, antivirus-, schijfdefragmentatie-, probleemdetectie- en probleemoplossings-, back-up- en netwerkhulpmiddelen.
+
+
+
+## 8.19 Installeren van software op operationele systemen
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren.
+
+**Doel**
+
+De integriteit van operationele systemen garanderen en voorkomen dat misbruik wordt gemaakt van technische kwetsbaarheden.
+
+**Richtlijn**
+
+De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen en de installatie van software op operationele systemen op beveiligde wijze te beheren:
+
+a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met
+
+passende beheerdersrechten (zie 8;
+
+b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op
+
+operationele systemen wordt geïnstalleerd;
+
+c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8);
+
+d) alle bijbehorende programmabronbibliotheken updaten;
+
+e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie
+
+te beheersen;
+
+f) een roll-backstrategie definiëren alvorens wijzigingen te implementeren;
+
+g) een auditlogbestand bijhouden van alle updates van operationele software;
+
+h) oude versies van software, samen met alle vereiste informatie en parameters, procedures, configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang de software nodig is om gearchiveerde gegevens te lezen of te verwerken.
+
+Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen)oftwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8en 8).
+
+Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijvoftwareprogramma\'s met modules die op externe locaties worden gehost)eze behoren te worden
+
+
+
+
+gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
+
+Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden.
+
+Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5).
+
+De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren.
+
+Het beginsel van het 'least privilege' (minste voorrechten) behoort te worden toegepast op de installatie van software op operationele systemene organisatie behoort vast te leggen welke soorten software mogen worden geïnstalleerd (bijvpdates en beveiligingspatches voor bestaande software) en welke verboden zijn (bijvoftware uitsluitend voor persoonlijk gebruik en software waarvan de herkomst met betrekking tot de potentiële kwaadaardigheid onbekend of verdacht is)eze voorrechten behoren te worden verleend op basis van de rollen van de betrokken gebruikers.
+
+**Overige informatie** Geen overige informatie.
+
+## 8.20 Beveiliging netwerkcomponenten
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging | #Bescherming |
+| | | | | |
+| #Detectief | | #Detecteren | | |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Netwerken en netwerkapparaten behoren te worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
+
+**Doel**
+
+Informatie in netwerken en de ondersteunende informatieverwerkingsfaciliteiten beschermen tegen compromittering via het netwerk.
+
+
+
+
+**Richtlijn**
+
+Er behoren beheersmaatregelen te worden geïmplementeerd om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermenn het bijzonder behoort met de volgende aspecten rekening te worden gehouden:
+
+a) het soort informatie dat het netwerk kan ondersteunen en het classificatieniveau ervan;
+
+b) verantwoordelijkheden en procedures voor het beheer van netwerkapparatuur en apparaten
+
+vaststellen;
+
+c) actuele documentatie onderhouden, waaronder netwerkschema\'s en configuratiebestanden van
+
+apparatuur (bijvouters, switches);
+
+d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten
+
+met de ICT-systemen, al naargelang de situatie (zie 5;
+
+e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
+
+f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8);
+
+g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
+
+h) systemen op het netwerk authenticeren;
+
+i) de verbinding van systemen met het netwerk beperken en filteren (bijvoor gebruik te maken van
+
+firewalls);
+
+j) de verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en
+
+authenticeren;
+
+k) hardening van netwerkapparatuur;
+
+l) netwerkbeheerkanalen van ander netwerkverkeer scheiden;
+
+m)kritieke subnetwerken tijdelijk isoleren (bijvet 'drawbridges' (ophaalbruggen)) als het netwerk
+
+wordt aangevallen;
+
+n) kwetsbare netwerkprotocollen uitschakelen.
+
+De organisatie behoort te garanderen dat passende beveiligingsbeheersmaatregelen worden toegepast op het gebruik van gevirtualiseerde netwerkennder gevirtualiseerde netwerken vallen ook softwaregedefinieerde netwerken (SDN, SD-WAN)anuit beveiligingsoogpunt kunnen
+
+gevirtualiseerde netwerken wenselijk zijn, omdat ze een logische segmentatie mogelijk maken van de communicatie die over fysieke netwerken plaatsvindt, met name voor systemen en toepassingen die met behulp van 'distributed computing' (gedistribueerd rekenen) worden geïmplementeerd.
+
+
+
+
+**Overige informatie**
+
+Aanvullende informatie over netwerkbeveiliging is te vinden in de ISO/IEC 27033-reekseer informatie over gevirtualiseerde netwerken is te vinden in ISO/IEC TS 23167.
+
+## 8.21 Beveiliging van netwerkdiensten
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord.
+
+**Doel**
+
+De beveiliging bij het gebruik van netwerkdiensten waarborgen.
+
+**Richtlijn**
+
+De beveiligingsmaatregelen die nodig zijn voor bepaalde diensten, zoals beveiligingskenmerken, dienstverleningsniveaus en -eisen, behoren te worden vastgesteld en geïmplementeerd (door interne of externe aanbieders van netwerkdiensten)e organisatie behoort ervoor te zorgen dat aanbieders van netwerkdiensten deze maatregelen implementeren.
+
+De kundigheid van de aanbieder van de netwerkdienst om de overeengekomen diensten veilig te beheren, behoort te worden vastgesteld en regelmatig te worden gemonitordet recht om een audit uit te voeren behoort te worden overeengekomen tussen de organisatie en de aanbiedere organisatie behoort ook door dienstverleners verstrekte attesten van derden in aanmerking te nemen om aan te tonen dat zij passende beveiligingsmaatregelen handhaven.
+
+Er behoren regels over het gebruik van netwerken en netwerkdiensten te worden opgesteld en geïmplementeerdeze behoren het volgende af te dekken:
+
+a) de netwerken en netwerkdiensten waartoe toegang wordt verleend;
+
+b) eisen voor authenticatie voor de toegang tot de verschillende netwerkdiensten;
+
+c) autorisatieprocedures om vast te stellen wie toegang krijgt tot welk netwerk en welke
+
+netwerkdiensten;
+
+d) netwerkbeheer- en technologische beheersmaatregelen en -procedures om de toegang tot
+
+netwerkverbindingen en -diensten te beschermen;
+
+e) de middelen die worden gebruikt om toegang te krijgen tot netwerken en netwerkdiensten [bijv.
+
+het gebruik van een virtueel privénetwerk (VPN) of draadloos netwerk];
+
+f) tijdstip, locatie en andere attributen van de gebruiker op het tijdstip van de toegang;
+
+g) monitoren van het gebruik van netwerkdiensten.
+
+
+
+
+De volgende beveiligingskenmerken van netwerkdiensten behoren in overweging te worden genomen:
+
+a) technologie die wordt toegepast voor de beveiliging van netwerkdiensten, zoals authenticatie,
+
+codering en beheersmaatregelen voor netwerkverbinding;
+
+b) technische parameters die nodig zijn voor een veilige verbinding met de netwerkdiensten, in
+
+overeenstemming met de regels voor beveiliging en netwerkverbinding;
+
+c) 'caching' (bijvn een 'content delivery network') en de parameters daarvan die gebruikers in staat stellen het gebruik van 'caching' te kiezen overeenkomstig de prestatie-, beschikbaarheids- en vertrouwelijkheidseisen;
+
+d) procedures voor het gebruik van netwerkdiensten ter beperking van toegang tot netwerkdiensten
+
+of, voor zover noodzakelijk, -toepassingen.
+
+**Overige informatie**
+
+Tot netwerkdiensten behoren het leveren van aansluitingen, particuliere netwerkdiensten en beheerde netwerkbeveiligingsoplossingen zoals firewalls en inbraakdetectiesystemeneze diensten kunnen variëren van eenvoudige onbeheerde bandbreedte tot en met complexe aanbiedingen met toegevoegde waarde.
+
+Verdere richtlijnen over een kader voor toegangsbeheer worden gegeven in ISO/IEC 29146.
+
+## 8.22 Netwerksegmentatie
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Groepen informatiediensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd.
+
+**Doel**
+
+Het netwerk opsplitsen met beveiligingsgrenzen en het verkeer ertussen op basis van de bedrijfsbehoeften beheersen.
+
+**Richtlijn**
+
+De organisatie behoort te overwegen de beveiliging van grote netwerken te beheren door ze te verdelen in gesegmenteerde netwerkdomeinen en ze van het openbare netwerk (dznternet) te segmenterene domeinen kunnen worden gekozen op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijvpenbaar toegankelijk domein, bureaubladdomein, serverdomein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijversoneelszaken, financiën, marketing) of een combinatie ervan (bijververdomein verbonden met meerdere afdelingen van de organisatie)e segmentering kan tot stand worden gebracht door hetzij fysiek verschillende netwerken, hetzij verschillende logische netwerken te gebruiken.
+
+
+
+
+De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
+
+Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
+
+**Overige informatie**
+
+Netwerken strekken zich vaak uit tot buiten de muren van de organisatie omdat bedrijfsmatige partnerschappen worden gevormd waarvoor onderlinge verbinding of het delen van informatieverwerkende en netwerkfaciliteiten vereist isoor dergelijke uitbreidingen kan het risico op onbevoegde toegang tot de informatiesystemen van de organisatie die gebruikmaken van het netwerk toenemen, waarbij sommige gevoelige en essentiële informatiesystemen bescherming tegen andere netwerkgebruikers nodig hebben.
+
+## 8.23 Toepassen van webfilters**
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
+
+**Doel**
+
+Systemen beschermen om te voorkomen dat ze door malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen te voorkomen.
+
+**Richtlijn**
+
+De organisatie behoort de risico\'s te beperken dat haar personeel toegang krijgt tot websites die illegale informatie bevatten of waarvan bekend is dat ze virussen of phishingmateriaal bevattenen techniek om dit te bereiken is het IP-adres of het domein van de desbetreffende website(s) te
+
+
+
+
+blokkerenepaalde browsers en antimalwaretechnologieën doen dit automatisch of kunnen hiervoor worden geconfigureerd.
+
+De organisatie behoort te identificeren tot welke soorten websites haar personeel wel of niet toegang behoort te hebbene organisatie behoort te overwegen de toegang tot de volgende soorten websites te blokkeren:
+
+a) websites met een functie voor het uploaden van informatie, tenzij dit om geldige zakelijke redenen
+
+is toegestaan;
+
+b) websites waarvan bekend is of die ervan verdacht worden kwaadaardig te zijn (bijvoorbeeld
+
+websites die malware of phishinginhoud verspreiden);
+
+c) command-and-controlservers;
+
+d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5;
+
+e) websites die illegale inhoud delen.
+
+Alvorens deze beheersmaatregel in te zetten, behoort de organisatie regels op te stellen voor veilig en gepast gebruik van online bronnen, met inbegrip van een eventuele beperking van ongewenste of ongepaste websites en internetgebaseerde toepassingene regels behoren actueel te worden gehouden.
+
+Het personeel behoort training te krijgen over het beveiligde en passende gebruik van online middelen, met inbegrip van toegang tot internete training behoort onder andere in te gaan op de regels van de organisatie, het contactpunt voor het melden van veiligheidskwesties en de uitzonderingsprocedure wanneer toegang tot online middelen waarvoor beperkingen gelden om legitieme zakelijke redenen nodig isr behoort ook training aan het personeel te worden gegeven om te garanderen dat ze browsermeldingen die aangeven dat een website niet veilig is, maar waarbij de gebruiker wel kan doorgaan, niet in de wind slaan.
+
+**Overige informatie**
+
+Allerlei technieken kunnen worden gebruikt om webfilters toe te passen, zoals onder andere handtekeningen, heuristiek, een lijst van aanvaardbare websites of domeinen, een lijst van verboden websites of domeinen en configuratie op maat om te helpen voorkomen dat kwaadaardige software en andere kwaadaardige activiteiten het netwerk en de systemen van de organisatie aanvallen.
+
+## 8.24 Gebruik van cryptografie
+
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.
+
+
+
+
+**Doel**
+
+Correct en doeltreffend gebruik bewerkstelligen van cryptografie om de vertrouwelijkheid, authenticiteit of integriteit van informatie overeenkomstig de bedrijfs- en informatiebeveiligingseisen te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie.
+
+**Richtlijn**
+
+Algemeen
+
+Het volgende behoort te worden overwogen bij het gebruik van cryptografie:
+
+a) het door de organisatie gedefinieerde onderwerpspecifieke beleid inzake cryptografie, met inbegrip van de algemene principes voor de bescherming van informatieen onderwerpspecifiek beleid voor het gebruik van cryptografie is nodig om de voordelen van het gebruik van cryptografische technieken zo groot mogelijk en de risico's zo klein mogelijk te maken en om ongepast en onjuist gebruik te voorkomen;
+
+b) het vereiste beschermingsniveau en de classificatie van de informatie identificeren en vervolgens
+
+het vereiste type cryptografische algoritmen en de vereiste sterkte en kwaliteit ervan vaststellen;
+
+c) het gebruik van cryptografie voor het beschermen van informatie op mobiele 'endpoint devices' van gebruikers of opslagmedia en van informatie die via netwerken naar dergelijke apparaten of opslagmedia wordt verzonden;
+
+d) de aanpak van sleutelbeheer, waaronder methoden voor het genereren en beschermen van cryptografische sleutels en het herstel van versleutelde informatie in geval sleutels verloren gaan of gecompromitteerd of beschadigd raken;
+
+e) rollen en verantwoordelijkheden voor:
+
+1) het implementeren van de regels voor doeltreffend gebruik van cryptografie;
+
+2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8);
+
+f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische
+
+oplossingen en gebruikspraktijken die zijn goedgekeurd of vereist voor gebruik in de organisatie;
+
+g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen die zijn gebaseerd
+
+op controle van de inhoud (bijvetectie van malware of het filteren van inhoud).
+
+Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5).
+
+De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5).
+
+Sleutelbeheer
+
+Passend sleutelbeheer vereist nauwkeurige procedures voor het aanmaken, bewaren, archiveren, terugvinden, distribueren, terugtrekken en vernietigen van cryptografische sleutels.
+
+
+
+
+Een sleutelbeheersysteem behoort te zijn gebaseerd op een overeengekomen pakket van normen, procedures en beveiligingsmethoden voor:
+
+a) het aanmaken van sleutels voor verschillende cryptografische systemen en verschillende
+
+toepassingen;
+
+b) het verstrekken en verkrijgen van openbare sleutelcertificaten;
+
+c) het verspreiden van sleutels onder de beoogde entiteiten en een instructie hoe de sleutels na
+
+ontvangst kunnen worden geactiveerd;
+
+d) het opslaan van sleutels en de wijze waarop bevoegde gebruikers toegang tot sleutels krijgen;
+
+e) het wijzigen of updaten van sleutels, met inbegrip van regels over wanneer en hoe sleutels behoren
+
+te worden gewijzigd;
+
+f) het omgaan met gecompromitteerde sleutels;
+
+g) het intrekken van sleutels, met inbegrip van hoe men sleutels kan terugtrekken of deactiveren [bijvls sleutels zijn gecompromitteerd of als een gebruiker de organisatie verlaat (in welk geval sleutels ook behoren te worden gearchiveerd)];
+
+h) het herstellen van sleutels die verloren of gecorrumpeerd zijn;
+
+i) het back-uppen of archiveren van sleutels;
+
+j) het vernietigen van sleutels;
+
+k) het registreren en auditen van aan sleutelbeheer gerelateerde activiteiten;
+
+l) het instellen van activerings- en deactiveringstijdstippen voor sleutels zodat de sleutels alleen kunnen worden gebruikt voor de tijdsduur overeenkomstig de regels voor sleutelbeheer van de organisatie;
+
+m)het omgaan met rechtsverzoeken om toegang tot cryptografische sleutels (er kan bijvoorbeeld worden geëist dat versleutelde informatie in onversleutelde vorm beschikbaar wordt gesteld als bewijs in een rechtszaak).
+
+Alle cryptografische sleutels behoren te worden beschermd tegen aanpassing en verliesovendien hebben geheime en particuliere sleutels bescherming nodig tegen onbevoegd gebruik en tegen openbaarmakingpparatuur die wordt gebruikt om sleutels aan te maken, op te slaan en te archiveren, behoort fysiek te worden beschermd.
+
+Naast integriteit behoort voor veel usecases aandacht te worden besteed aan de authenticiteit van openbare sleutels.
+
+**Overige informatie**
+
+Voor de authenticiteit van openbare sleutels worden er meestal processen voor het beheer van openbare sleutels toegepast die gebruikmaken van certificaatinstanties en openbare- sleutelcertificaten, maar het is ook mogelijk om hiervoor gebruik te maken van technologieën zoals het toepassen van handmatige processen voor een klein aantal sleutels.
+
+
+
+
+Cryptografie kan worden gebruikt voor verschillende informatiebeveiligingsdoelstellingen, bijvoorbeeld:
+
+a) vertrouwelijkheid: codering van informatie gebruiken om gevoelige of essentiële informatie, tijdens
+
+opslag of verzending, te beschermen;
+
+b) integriteit of authenticiteit: digitale handtekeningen of authenticatiecodes voor berichten gebruiken om de authenticiteit of integriteit van gevoelige of essentiële informatie tijdens opslag of verzending te verifiërenebruikmaken van algoritmen om de integriteit van bestanden te controleren;
+
+c) onweerlegbaarheid: cryptografische technieken gebruiken om bewijs te verkrijgen van het al dan
+
+niet plaatsvinden van een gebeurtenis of actie;
+
+d) authenticatie: cryptografische technieken gebruiken ter authenticatie van gebruikers en andere
+
+systeementiteiten die toegang vragen tot of die verrichtingen doen met systeemgebruikers, -entiteiten en -bronnen.
+
+De ISO/IEC 11770-reeks geeft verdere informatie over sleutelbeheer.
+
+## 8.25 Beveiligen tijdens de ontwikkelcyclus
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.
+
+**Doel**
+
+Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van software en systemen wordt ontworpen en geïmplementeerd.
+
+**Richtlijn**
+
+Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden:
+
+a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8);
+
+b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling:
+
+1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8);
+
+2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8);
+
+c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5;
+
+
+
+
+d) beveiligingscontrolepunten in projecten (zie 5;
+
+e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests
+
+(zie 8);
+
+f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8;
+
+g) beveiliging in het versiebeheer (zie 8);
+
+h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8);
+
+i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren
+
+(zie 8);
+
+j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd
+
+toekomstige licentieproblemen te voorkomen (zie 5).
+
+Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8).
+
+**Overige informatie**
+
+Ook binnen toepassingen kan ontwikkeling plaatsvinden, zoals binnen kantoortoepassingen, scripting, browsers en databases.
+
+## 8.26 Toepassingsbeveiligingseisen
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+| | | | | |
+| | | | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren eisen aan de informatiebeveiliging te worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen.
+
+**Doel**
+
+Garanderen dat alle informatiebeveiligingseisen zijn geïdentificeerd en meegenomen bij het ontwikkelen of aanschaffen van toepassingen.
+
+**Richtlijn**
+
+Algemeen
+
+Beveiligingseisen voor toepassingen behoren te worden geïdentificeerd en gespecificeerdeze eisen worden gewoonlijk aan de hand van een risicobeoordeling vastgestelde eisen behoren met ondersteuning van informatiebeveiligingsspecialisten te worden ontwikkeld.
+
+Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk van het doel van de toepassing.
+
+
+
+
+Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie:
+
+a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en
+
+8];
+
+b) het identificeren van het door de toepassing te verwerken soort informatie en het
+
+classificatieniveau ervan;
+
+c) de noodzaak van segmentatie van toegang en het niveau van toegang tot gegevens en functies in de
+
+toepassing;
+
+d) weerstand tegen kwaadaardige aanvallen of onbedoelde verstoringen [bijvescherming tegen
+
+bufferoverflow of SQL-injecties];
+
+e) wettelijke, statutaire en regelgevende eisen in het rechtsgebied waar de transactie wordt
+
+gegenereerd, verwerkt, voltooid of opgeslagen;
+
+f) de noodzaak van privacy met betrekking tot alle betrokken partijen;
+
+g) de eisen ten aanzien van bescherming van vertrouwelijke informatie;
+
+h) bescherming van gegevens tijdens de verwerking, tijdens het transport en in ruste;
+
+i) de noodzaak om communicatie tussen alle betrokken partijen op beveiligde wijze te versleutelen;
+
+j) inputbeheersmaatregelen, waaronder integriteitscontroles en validatie van de invoer;
+
+k) geautomatiseerde beheersmaatregelen (bijvoedkeuringslimieten of dubbele goedkeuring);
+
+l) outputbeheersmaatregelen, waarbij ook wordt nagedacht over wie er toegang kan hebben tot
+
+output en de autorisatie ervoor;
+
+m)beperkingen met betrekking tot de inhoud van 'vrije tekstvelden', aangezien deze kunnen leiden tot
+
+ongecontroleerde opslag van vertrouwelijke gegevens (bijversoonsgegevens);
+
+n) eisen die zijn afgeleid van het bedrijfsproces, zoals registreren en monitoren van transacties, eisen
+
+voor onweerlegbaarheid;
+
+o) eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot beveiliging (bijvnterfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);
+
+p) het afhandelen van foutmeldingen.
+
+Transactionele diensten
+
+In aanvulling hierop behoort voor toepassingen die transactionele diensten tussen de organisatie en een partner aanbieden, het volgende in aanmerking te worden genomen bij het identificeren van informatiebeveiligingseisen:
+
+a) de mate van vertrouwen die beide partijen eisen van elkaars beweerde identiteit;
+
+b) de vereiste mate van vertrouwen in de integriteit van informatie die wordt uitgewisseld of verwerkt en de mechanismen voor het identificeren van integriteitsgebreken (bijvyclische redundantiecontrole, hashing, digitale handtekeningen);
+
+
+
+
+c) autorisatieprocedures voor wie de inhoud van belangrijke transactiedocumenten kan goedkeuren,
+
+belangrijke transactiedocumenten in circulatie kan brengen of kan ondertekenen;
+
+d) vertrouwelijkheid, integriteit, bewijs van verzending en ontvangst van belangrijke documenten en
+
+de onweerlegbaarheid (bijvontracten in samenhang met inschrijvings- en contractprocedures);
+
+e) de vertrouwelijkheid en integriteit van transacties (bijvrders, gegevens betreffende
+
+afleveringsadressen en ontvangstbevestigingen);
+
+f) eisen ten aanzien van hoelang een transactie vertrouwelijk moet blijven;
+
+g) verzekerings- en andere contractuele eisen.
+
+Toepassingen voor elektronisch bestellen en betalen
+
+In aanvulling hierop behoort het volgende in aanmerking te worden genomen voor toepassingen waarbij er sprake is van elektronisch bestellen en betalen:
+
+a) eisen om de vertrouwelijkheid en integriteit van orderinformatie in stand te houden;
+
+b) de mate van verificatie die passend is voor controle van betalingsinformatie die door een klant is
+
+verstrekt;
+
+c) verlies of vermenigvuldiging van transactie-informatie vermijden;
+
+d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp een opslagplatform op het intranet van de organisatie, in plaats van deze te bewaren en te tonen op direct vanuit internet toegankelijke elektronische opslagmedia);
+
+e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen.
+
+Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie).
+
+**Overige informatie**
+
+Toepassingen die toegankelijk zijn via netwerken, staan bloot aan een reeks netwerkgerelateerde dreigingen zoals frauduleuze activiteiten, geschillen over contracten of openbaarmaking van informatie; onvolledige verzending, foutieve routering, ongeautoriseerd(e) wijziging, vermenigvuldiging of afspelen van berichtenaarom zijn gedetailleerde risicobeoordelingen en zorgvuldige vaststelling van beheersmaatregelen onmisbaarereiste beheersmaatregelen behelzen vaak cryptografische methoden voor het authenticeren en beveiligen van gegevensoverdracht.
+
+Verdere informatie over de beveiliging van toepassingen is te vinden in de ISO/IEC 27034-reeks.
+
+
+
+
+## 8.27 Veilige systeemarchitectuur en technische uitgangspunten
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.
+
+**Doel**
+
+Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.
+
+**Richtlijn**
+
+Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen.
+
+Uitgangspunten voor veilig ontwerpen bieden richtlijnen voor manipulatietechnieken, beheer van beveiligde sessies en gegevensvalidatie en opschoning.
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen behoren een analyse te omvatten van:
+
+a) het volledige spectrum van beheersmaatregelen voor beveiliging dat vereist is om informatie en systemen tegen geïdentificeerde dreigingen te beschermen;
+
+b) de capaciteit van beveiligingsbeheersmaatregelen om beveiligingsgebeurtenissen te voorkomen, te detecteren of erop te reageren;
+
+c) specifieke beveiligingsbeheersmaatregelen die worden vereist door bepaalde bedrijfsprocessen (bijv. het versleutelen van gevoelige informatie, integriteitscontrole en digitale ondertekening van informatie);
+
+d) waar en hoe beveiligingsbeheersmaatregelen behoren te worden toegepast (bijv.door ze te integreren met een beveiligingsarchitectuur en de technische infrastructuur);
+
+e) hoe individuele beveiligingsbeheersmaatregelen (handmatige en geautomatiseerde) samenwerken om een geïntegreerde verzameling beheersmaatregelen tot stand te brengen.
+
+In de uitgangspunten voor het ontwerpen van beveiligde systemen behoort rekening te worden gehouden met:
+
+a) de noodzaak van integratie met een beveiligingsarchitectuur;
+
+b) technische beveiligingsinfrastructuur [bijvoorbeeld openbaresleutelinfrastructuur (PKI), identiteits- en toegangsbeheer (IAM), voorkoming van het lekken van gegevens en dynamisch toegangsbeheer];
+
+c) de capaciteit van de organisatie om de gekozen technologie te ontwikkelen en te ondersteunen;
+
+d) de kosten, tijd en complexiteit van het voldoen aan de beveiligingseisen;
+
+e) 'best practices'.
+
+Het ontwerp van beveiligde systemen behoort gepaard te gaan met:
+
+a) het gebruik van uitgangspunten voor beveiligingsarchitectuur zoals 'security by design' (beveiliging door ontwerp), 'defence in depth', 'security by default', 'default deny' (standaard weigeren), 'fail securely', 'distrust input from external applications' (input van externe toepassingen wantrouwen), 'security in deployment' (beveiliging tijdens implementatie), 'assume breach' (uitgaan van inbreuk), 'least privilege' (mininimaal benodigde rechten), 'usability and manageability' (bruikbaarheid en beheerbaarheid) en 'least functionality' (minimale benodigde functionaliteit);
+
+b) een beveiligingsgerichte beoordeling van het ontwerp om kwetsbaarheden op het gebied van informatiebeveiliging te helpen detecteren, ervoor te zorgen dat beveiligingsbeheersmaatregelen zijn gespecificeerd en aan de beveiligingseisen te voldoen;
+
+c) documentatie en formele erkenning van beveiligingsbeheersmaatregelen die niet volledig aan de eisen voldoen (bijvanwege dwingende veiligheidseisen);
+
+d) hardening van systemen.
+
+De organisatie behoort 'zero trust'-beginselen te overwegen zoals:
+
+a) ervan uitgaan dat er al sprake is van een inbreuk op de informatiesystemen van de organisatie en er daarom niet alleen kan worden vertrouwd op beveiliging van de buitengrenzen van netwerken;
+
+b) een benadering van 'nooit vertrouwen, altijd verifiëren' hanteren voor toegang tot informatiesystemen;
+
+c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versleuteld zijn;
+
+d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
+
+e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
+
+f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
+
+De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
+
+De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen.
+
+**Overige informatie**
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals:
+
+--- storingstolerantie en andere technieken met het oog op veerkracht;
+
+--- segmentatie (bijvoor virtualisatie of containerisatie); --- bestendigheid tegen manipulatie.
+
+Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens.
+
+Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist).
+
+## 8.28 Veilig coderen
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.
+
+**Doel**
+
+Waarborgen dat veilige software wordt geschreven waardoor het aantal potentiële informatiebeveiligingskwetsbaarheden in de software wordt beperkt.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort organisatiebrede processen op te stellen om te voorzien in goede governance voor veilig coderenr behoort een minimale nullijn wat betreft beveiliging te worden vastgesteld en toegepastn aanvulling hierop behoren dergelijke processen en governance te worden uitgebreid tot softwarecomponenten van derden en opensourcesoftware.
+
+De organisatie behoort te monitoren op dreigingen in de echte wereld en actueel advies en actuele informatie over kwetsbaarheden in software als richtlijn om de principes voor veilig coderen van de organisatie door middel van continue verbetering en voortdurend leren te sturenit kan bijdragen aan het garanderen dat er doeltreffende praktijken voor veilig coderen worden geïmplementeerd als tegenhanger tegen het snel veranderende dreigingslandschap.
+
+Planning en voorafgaand aan het coderen
+
+Principes voor veilig coderen behoren zowel voor nieuwe ontwikkelingen als bij hergebruikscenario\'s te worden gebruikteze principes behoren te worden toegepast op ontwikkelingsactiviteiten binnen de organisatie en voor producten en diensten die de organisatie aan anderen leverte planning en de voorwaarden voorafgaand aan het coderen behoren het volgende te omvatten:
+
+a) organisatiespecifieke verwachtingen en goedgekeurde principes voor veilig coderen die zowel voor interne als voor uitbestede codeontwikkelingen behoren te worden gebruikt;
+
+b) gebruikelijke en historische codeerpraktijken en -gebreken die tot kwetsbaarheden in de informatiebeveiliging leiden;
+
+c) ontwikkelinstrumenten, zoals geïntegreerde ontwikkelomgevingen (IDE\'s), configureren om te helpen het maken van veilige code af te dwingen;
+
+d) richtlijnen volgen die door de aanbieders van ontwikkelinstrumenten en uitvoeringsomgevingen worden gegeven, al naargelang de situatie;
+
+e) onderhoud en gebruik van actuele ontwikkelinstrumenten (bijvompilers);
+
+f) de kwalificatie van ontwikkelaars voor het schrijven van veilige code;
+
+g) veilig ontwerp en veilige architectuur, met inbegrip van het opstellen van dreigingsmodellen;
+
+h) normen voor veilig coderen en waar relevant het gebruik ervan verplicht stellen;
+
+i) het gebruik van beheerste omgevingen voor ontwikkeling.
+
+Tijdens het coderen
+
+Overwegingen tijdens het coderen behoren te zijn:
+
+a) veilige coderingspraktijken die specifiek zijn voor de programmeertalen en -technieken die worden gebruikt;
+
+b) veilige programmeertechnieken gebruiken zoals 'pair programming' (programmeren in duo\'s), 'refactoring' (code herstructureren), 'peer review' (beoordeling door collega\'s), beveiligingsiteraties en testgestuurde ontwikkeling;
+
+c) gestructureerde programmeertechnieken gebruiken;
+
+d) code documenteren en programmeerfouten verwijderen die anders misbruik van kwetsbaarheden in de informatiebeveiliging mogelijk kunnen maken;
+
+e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden.
+
+Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
+
+Alvorens software operationeel te maken, behoort:
+
+a) het aanvalsoppervlak en het beginsel van het 'least privilege' (minste voorrechten) te worden geëvalueerd;
+
+b) een analyse te worden uitgevoerd op de meest voorkomende programmeerfouten en te worden gedocumenteerd dat deze zijn hersteld.
+
+Beoordeling en onderhoud
+
+Nadat de code operationeel is gemaakt:
+
+a) behoren updates op beveiligde wijze te worden verpakt en ingezet;
+
+b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8;
+
+c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen;
+
+d) behoort de broncode te worden beschermd tegen toegang en manipulatie door onbevoegden (bijvoor gebruik te maken van configuratiebeheerinstrumenten, die meestal functies als toegangsbeveiliging en versiebeheer bieden).
+
+Als er gebruikgemaakt wordt van externe instrumenten en bibliotheken, behoort de organisatie na te denken over:
+
+a) het bewerkstelligen dat externe bibliotheken worden beheerd (bijvoor een inventarislijst bij te houden van bibliotheken die worden gebruikt en de desbetreffende versies) en regelmatig worden bijgewerkt met releasecycli;
+
+b) het selecteren, autoriseren en hergebruiken van goed gecontroleerde componenten, met name authenticatie- en cryptografische componenten;
+
+c) de licentie, beveiliging en historie van externe componenten;
+
+d) het bewerkstelligen dat software kan worden onderhouden, wordt getraceerd en afkomstig is van beproefde, gerenommeerde bronnen;
+
+e) het op voldoende lange termijn beschikbaar zijn van ontwikkelmiddelen en artefacten.
+
+Als het nodig is een softwarepakket te wijzigen, behoren de volgende punten in overweging te worden genomen:
+
+a) het risico dat ingebouwde beheersmaatregelen en integriteitsprocessen gecompromitteerd raken;
+
+b) of het al dan niet nodig is toestemming van de leverancier te verkrijgen;
+
+c) de mogelijkheid om de vereiste wijzigingen van de aanbieder als standaard programma-updates te verkrijgen;
+
+d) de impact als de organisatie verantwoordelijk wordt gehouden voor het toekomstig onderhoud van de software als gevolg van de veranderingen;
+
+e) compatibiliteit met andere software die in gebruik is.
+
+**Overige informatie**
+
+Een leidend principe is bewerkstelligen dat beveiligingsrelevante code wordt aangeroepen wanneer dat nodig is en deze bestand is tegen manipulatierogramma\'s die worden geïnstalleerd op basis van gecompileerde binaire code hebben deze eigenschappen ook, maar alleen voor gegevens die binnen de toepassing worden bewaardoor geïnterpreteerde talen werkt het concept alleen wanneer de code wordt uitgevoerd op een server waartoe de gebruikers en de processen die er gebruik van maken verder geen toegang hebben en de gegevens ervan in een op vergelijkbare wijze beschermde database worden bewaarde geïnterpreteerde code kan bijvoorbeeld worden uitgevoerd op een clouddienst waar beheerdersrechten vereist zijn voor toegang tot de code op zichergelijke toegang door een beheerder behoort te worden beschermd door beveiligingsmechanismen zoals just-in- timebeheerprincipes en krachtige authenticatiendien de eigenaar van een toepassing op afstand via de server toegang kan maken tot scripts, kan een aanvaller dat in principe ookebservers behoren dusdanig te worden geconfigureerd dat het doorzoeken van directory\'s in dergelijke gevallen niet mogelijk is.
+
+Het is het beste om er bij het ontwerpen van een toepassingscode vanuit te gaan dat deze code altijd het doelwit is van aanvallen, als gevolg van fouten of door kwaadwillige opzetovendien kunnen kritische toepassingen zo worden ontworpen dat ze bestand zijn tegen interne fouten of storingeno kan bijvoorbeeld de output van een complex algoritme worden gecontroleerd om te garanderen dat deze binnen veilige grenzen ligt voordat de gegevens worden gebruikt in een toepassing zoals een veiligheids- of financieel kritische toepassinge code die de grenscontroles uitvoert, is eenvoudig en daarom veel gemakkelijker om de juistheid ermee aan te tonen.
+
+Bepaalde internettoepassingen zijn gevoelig voor allerlei kwetsbaarheden die worden veroorzaakt door slecht ontwerp en slecht coderen, zoals injectieaanvallen op databases en 'cross-site scripting'- aanvallenij deze aanvallen kunnen verzoeken worden gemanipuleerd om misbruik te maken van de webserverfunctionaliteit.
+
+Meer informatie over het evalueren van ICT-beveiliging is te vinden in de ISO/IEC 15408-reeks.
+
+
+## 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie
+
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Toepassingsbeveili- ging #Borging_van_infor- matiebeveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.
+
+**Doel**
+
+Valideren of aan de informatiebeveiligingseisen wordt voldaan wanneer toepassingen of code in de productieomgeving worden uitgerold.
+
+**Richtlijn**
+
+Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikkelingsprocessen grondig te worden getest en geverifieerdet testen van de beveiliging behoort een integraal onderdeel te zijn van het testen voor systemen of componenten.
+
+Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van:
+
+a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)];
+
+b) veilig coderen (zie 8);
+
+c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
+
+Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten:
+
+a) een gedetailleerd schema van de activiteiten en tests;
+
+b) input en verwachte output onder allerlei omstandigheden;
+
+c) criteria om de resultaten te evalueren;
+
+d) een besluit over verdere acties naarmate nodig is.
+
+De organisatie kan geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoort het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren.
+
+Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5et volgende behoort te worden overwogen:
+
+a) het uitvoeren van activiteiten om code te beoordelen als relevant element voor het testen op zwakke plekken in de beveiliging, met inbegrip van onvoorziene inputs en omstandigheden;
+
+b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in systemen te identificeren;
+
+c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren.
+
+Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
+
+Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8).
+
+**Overige informatie**
+
+Er kunnen meer testomgevingen worden opgezet die gebruikt kunnen worden voor verschillende soorten tests (bijvunctionele en prestatietests)eze verschillende omgevingen kunnen virtueel zijn, met individuele configuraties om allerlei verschillende bedrijfsomgevingen te simuleren.
+
+Het testen en monitoren van testomgevingen, -instrumenten en -technologieën behoort ook te worden overwogen om doeltreffend testen te bewerkstelligenezelfde overwegingen gelden voor het monitoren van de monitoringsystemen die worden ingezet in ontwikkel-, test- en productieomgevingenan de hand van de gevoeligheid van de systemen en gegevens behoort te worden beoordeeld hoeveel lagen metatests zinvol zijn.
+
+## 8.30 Uitbestede systeemontwikkeling
+
++------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+==========================================+=====================================================================================================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen #Detecteren | #Systeem-\_en_netwerk- beveiliging #Toepassingsbeveiliging #Beveiliging_in_leveran- ciersrelaties | #Governance_en\_ Ecosysteem #Bescherming |
+| | | | | |
+| #Detectief | | | | |
++------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.
+
+**Doel**
+
+Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen bij uitbestede systeemontwikkeling worden geïmplementeerd.
+
+
+
+
+**Richtlijn**
+
+Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
+
+a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5);
+
+b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8);
+
+c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren;
+
+d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8);
+
+e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen);
+
+f) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de (zowel opzettelijke als onbedoelde) aanwezigheid van kwaadaardige inhoud op het tijdstip van levering;
+
+g) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de aanwezigheid van bekende kwetsbaarheden;
+
+h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leverancier failliet gaat);
+
+i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
+
+j) beveiligingseisen voor de ontwikkelomgeving (zie 8);
+
+k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens).
+
+**Overige informatie**
+
+Verdere informatie over leveranciersrelaties is te vinden in de ISO/IEC 27036-reeks.
+
+## 8.31 Scheiding van ontwikkel-, test- en productieomgevingen
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.
+
+**Doel**
+
+De productieomgeving en de gegevens beschermen tegen compromittering door ontwikkel- en testactiviteiten.
+
+
+
+
+**Richtlijn**
+
+Het scheidingsniveau tussen productie-, test- en ontwikkelomgevingen dat nodig is om operationele problemen te voorkomen, behoort te worden geïdentificeerd en geïmplementeerd.
+
+Met de volgende aspecten behoort rekening te worden gehouden:
+
+a) ontwikkel- en productiesystemen in afdoende mate van elkaar scheiden en ze in verschillende
+
+domeinen uitvoeren (bijvn gescheiden virtuele of fysieke omgevingen);
+
+b) regels en autorisaties definiëren, documenteren en implementeren voor het inzetten van software
+
+vanuit de ontwikkel- naar de productiestatus;
+
+c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen
+
+voordat ze in productiesystemen worden toegepast (zie 8);
+
+d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden;
+
+e) compilers, editors en andere ontwikkelinstrumenten of systeemhulpmiddelen behoren, indien ze
+
+niet nodig zijn, niet toegankelijk te zijn vanuit productiesystemen;
+
+f) passende milieu-identificatielabels in menu\'s tonen om het risico op fouten te beperken;
+
+g) geen gevoelige informatie naar de ontwikkel- en testsysteemomgevingen kopiëren tenzij er wordt
+
+voorzien in gelijkwaardige beheersmaatregelen voor de ontwikkel- en testsystemen.
+
+In alle gevallen behoren de ontwikkel- en testomgevingen te worden beschermd, waarbij het volgende in aanmerking behoort te worden genomen:
+
+a) het patchen en bijwerken van alle ontwikkelings-, integratie- en testinstrumenten (met inbegrip
+
+van builders, integratie-instrumenten, compilers, configuratiesystemen en bibliotheken);
+
+b) beveiligde configuratie van systemen en software;
+
+c) toegangsbeveiliging voor de omgevingen;
+
+d) monitoren van veranderingen aan de omgeving en de daarin opgeslagen codes;
+
+e) beveiligde monitoring van de omgevingen;
+
+f) back-ups maken van de omgevingen.
+
+Het behoort niet mogelijk te zijn dat één persoon zonder voorafgaande beoordeling en goedkeuring veranderingen aan zowel de ontwikkeling als de productie kan doorvoerenit kan bijvoorbeeld worden bereikt door toegangsrechten te scheiden of door middel van regels die worden gemonitordn uitzonderingssituaties behoren aanvullende maatregelen zoals het bijhouden van gedetailleerde logbestanden en realtimemonitoring te worden geïmplementeerd om veranderingen door onbevoegden te detecteren en er actie op te ondernemen.
+
+**Overige informatie**
+
+Zonder afdoende maatregelen en procedures kunnen ontwikkelaars en testers die toegang hebben tot productiesystemen, aanmerkelijke risico\'s introduceren (bijvngewenste wijziging van bestanden of de systeemomgeving, systeemstoringen, niet-goedgekeurde en niet-geteste code in productiesystemen uitvoeren, openbaarmaking van vertrouwelijke gegevens, en problemen met de integriteit en beschikbaarheid van gegevens)et is nodig een bekende en stabiele omgeving te onderhouden voor
+
+
+
+
+het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot de productieomgeving te voorkomen.
+
+Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen.
+
+Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie).
+
+In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is.
+
+Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8).
+
+Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen.
+
+## 8.32 Wijzigingsbeheer
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Wijzigingen in informatieverwerkingsfaciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.
+
+**Doel**
+
+De informatiebeveiliging behouden tijdens het uitvoeren van wijzigingen.
+
+**Richtlijn**
+
+Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen behoren volgens overeengekomen regels en een formeel proces van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie te worden geïntroduceerderantwoordelijkheden en procedures voor beheer behoren te worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen.
+
+
+
+
+Procedures voor wijzigingsbeheer behoren te worden gedocumenteerd en gehandhaafd om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in informatieverwerkende faciliteiten en informatiesystemen te garanderen gedurende de gehele ontwikkelcyclus van systemen, vanaf het begin van de ontwerpfase tot en met alle daaropvolgende onderhoudsinspanningen.
+
+Waar mogelijk behoren de procedures voor wijzigingsbeheer voor ICT-infrastructuur en -software te worden geïntegreerd.
+
+De procedures voor wijzigingsbeheer behoren het volgende te omvatten:
+
+a) het plannen en beoordelen van de potentiële impact van wijzigingen, waarbij alle afhankelijkheden
+
+in aanmerking worden genomen;
+
+b) autorisatie van veranderingen;
+
+c) veranderingen aan relevante belanghebbenden communiceren;
+
+d) tests en de aanvaarding van tests voor de veranderingen (zie 8);
+
+e) implementatie van veranderingen met inbegrip van inzetplannen;
+
+f) nood- en voorzorgsoverwegingen, met inbegrip van vangnetprocedures;
+
+g) registraties onderhouden van veranderingen waarin alle bovenstaande punten worden
+
+opgenomen;
+
+h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden
+
+gewijzigd om ze toepasbaar te houden;
+
+i) bewerkstelligen dat de plannen voor ICT-continuïteit en de respons- en herstelprocedures (zie
+
+5) worden gewijzigd naarmate nodig is om passend te blijven.
+
+**Overige informatie**
+
+Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten en informatiesystemen is een algemene oorzaak van systeem- of beveiligingsfouteneranderingen aan de productieomgeving, in het bijzonder als software wordt gemuteerd van de ontwikkelings- naar de uitvoeringsomgeving, kunnen van invloed zijn op de integriteit en beschikbaarheid van toepassingen.
+
+Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
+
+Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
+
+De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren.
+
+
+
+
+## 8.33 Testgegevens
+
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+==========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
+| | | | | |
+| | #Integriteit | | | |
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.
+
+**Doel**
+
+De relevantie van het testen en de bescherming van operationele gegevens die voor het testen worden gebruikt, waarborgen.
+
+**Richtlijn**
+
+Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8).
+
+De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt:
+
+a) de toegangsbeveiligingsprocedures die worden toegepast op operationele omgevingen, ook op testomgevingen toepassen;
+
+b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd, een afzonderlijke autorisatie verkrijgen;
+
+c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien;
+
+d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen;
+
+e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
+
+Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt.
+
+**Overige informatie**
+
+Systeem- en acceptatietests kunnen substantiële hoeveelheden testgegevens vereisen die een zo getrouw mogelijke weergave zijn van operationele gegevens.
+
+
+## 8.34 Bescherming van informatiesystemen tijdens audits
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=============================================================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_netwerk- beveiliging #Informatiebescherming | #Governance_en\_ Ecosysteem #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+Audits en andere borgingsactiviteiten waarbij operationele systemen worden beoordeeld behoren te worden gepland en overeengekomen tussen de tester en het verantwoordelijke management.
+
+**Doel**
+
+De impact van audit- en andere borgingsactiviteiten op operationele systemen en bedrijfsprocessen tot een minimum beperken.
+
+**Richtlijn**
+
+De volgende richtlijnen behoren te worden overwogen:
+
+a) verzoeken voor toegang tot systemen en gegevens in het kader van audits met de juiste managers overeenkomen;
+
+b) de reikwijdte van de technische audits overeenkomen en beheersen;
+
+c) audits beperken tot alleen-lezentoegang tot software en gegevensndien er geen alleen- lezentoegang beschikbaar is om de nodige informatie te verkrijgen, de test laten uitvoeren door een ervaren beheerder die namens de auditor over de nodige toegangsrechten beschikt;
+
+d) indien toegang wordt verleend, de beveiligingseisen (bijv. antivirus en patching) voor de apparatuur die wordt gebruikt voor toegang tot de systemen (bijvaptops of tablets), vaststellen en verifiëren voordat toegang wordt verleend;
+
+e) toegang anders dan 'alleen lezen' alleen toelaten voor geïsoleerde kopieën van systeembestanden, deze wissen als de audit is uitgevoerd of ze voldoende beschermen indien het verplicht is deze bestanden bij de vereiste auditdocumenten te bewaren;
+
+f) verzoeken om speciale of extra verwerking, zoals het gebruik van auditinstrumenten, identificeren en hierover overeenstemming bereiken;
+
+g) audits die de beschikbaarheid van systemen kunnen beïnvloeden, buiten werkuren laten plaatsvinden;
+
+h) alle toegang voor audit- en testdoeleinden monitoren en in logbestanden registreren.
+
+**Overige informatie**
+
+Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en testsystemen, waarbij deze tests bijvoorbeeld gevolgen kunnen hebben voor de integriteit van code of ertoe kunnen leiden dat in die omgevingen bewaarde gevoelige informatie openbaar wordt gemaakt.
+
+
+# Bijlage A (informatief)
+
+**Attributen gebruiken**
+
+**AAlgemeen**
+
+Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4:
+
+a) Typen beheersmaatregel (#Preventief, #Detectief, #Corrigerend)
+
+b) Informatiebeveiligingseigenschappen (#Vertrouwelijkheid, #Integriteit, #Beschikbaarheid)
+
+c) Cybersecurityconcepten (#Identificeren, #Beschermen, #Detecteren, #Reageren, #Herstellen)
+
+d) Operationele capaciteiten (#Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-\_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-\_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen, #Borging_van_informatiebeveiliging)
+
+e) Beveiligingsdomeinen (#Governance_en_Ecosysteem, #Bescherming, #Verdediging, #Veerkracht)
+
+Tabel Abevat een matrix van alle beheersmaatregelen in dit document met de bijbehorende attribuutwaarden.
+
+De matrix kan worden gefilterd of gesorteerd met behulp van een hulpmiddel zoals een eenvoudige spreadsheet of een database, die nog meer informatie kan bevatten zoals teksten voor beheersmaatregelen, richtlijnen, organisatiespecifieke richtlijnen of attributen (zie A.
+
+**Tabel A--- Matrix van beheersmaatregelen en attribuutwaarden**
+
++----------------------+-----------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+--------------------+--------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=================================================================+=====================+========================================================+======================+====================+========================================================+
+| 5 | Beleidsregels voor informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en \_Ecosysteem #Veerkracht |
++----------------------+-----------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+--------------------+--------------------------------------------------------+
+| 5 | Rollen en verantwoorde- lijkheden bij informatiebe- veiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en \_Ecosysteem #Bescherming #Veerkracht |
++----------------------+-----------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+--------------------+--------------------------------------------------------+
+
+
+
+
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=================================================================================+=======================================+========================================================+====================================================+==========================================================+============================================+
+| 5 | Functie- scheiding | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Governance #Identiteits- \_en_toegangs- beheer | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Management- verantwoorde- lijkheden | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Contact met overheids- instanties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | #Veerkracht |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Contact met speciale belangen- groepen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Informatie en analyses over dreigingen | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Detecteren #Reageren | #Beheer_van\_ dreigingen_en\_ kwetsbaar- heden | #Verdediging |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Informatie- beveiliging in project- management | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Inventarisatie van informatie en andere gerelateerde bedrijfsmid- delen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beheer_van\_ bedrijfsmid- delen | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmid- delen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van_be drijfsmiddelen #Informatie- bescherming | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Retourneren van bedrijfsmid- delen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmid- delen | #Bescherming |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Classificeren | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | van informatie | | | | | #Verdediging |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===================================================================================+=====================+========================================================+======================+===================================================================================+=========================================================+
+| 5 | Labelen van informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Informatie- bescherming | #Verdediging |
+| | | | | | | |
+| | | | | | | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Overdragen van informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmid- delen #Informatie- bescherming | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Toegangs- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Identiteits- beheer | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Beheren van authenticatie- informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Toegangs- rechten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Informatiebe- veiliging in leveranciers- relaties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Adresseren van informatiebe- veiliging in leve- ranciersover- eenkomsten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Beheren van informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | in de ICT-keten | | | | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciers- diensten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties #Borging_van\_ informatie- beveiliging | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Informatiebe- veiliging voor het gebruik van clouddiensten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===================================================================================+=====================+========================================================+======================+========================================================================================+============================================+
+| 5 | Plannen en voorbereiden van het beheer van informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Governance #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Beoordelen van en besluiten over informatie- beveiligings- gebeurtenissen | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Reageren | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Reageren op informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Leren van informatie- beveiligings- incidenten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Verzamelen van bewijsmateriaal | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Reageren | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Informatie- beveiliging tijdens een verstoring | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Continuïteit | #Bescherming |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | ICT-gereedheid voor bedrijfs- continuïteit | #Corrigerend | #Beschikbaar- heid | #Reageren | #Continuïteit | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Wettelijke, statutaire, regel- gevende en con- tractuele eisen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | | | | compliance | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Intellectuele- eigendoms- rechten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ | #Governance_en |
+| | | | | | | |
+| | | | | | compliance | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Beschermen van registraties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ compliance #Beheer_van\_ bedrijfsmidde- len #Informatie- bescherming | #Verdediging |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Privacy en bescherming van persoons- gegevens | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Informatie- bescherming #Juridisch_en\_ compliance | #Bescherming |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=======================================================================+=====================+========================================================+======================+=============================================================================================================================================================================================================================================================================================================+=========================================================+
+| 5 | Onafhankelijke beoordeling van informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Borging_van\_ informatie- beveiliging | #Governance_en |
+| | | | | | | |
+| | | #Corrigerend | | #Beschermen | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Naleving van beleid, regels en normen voor informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ compliance #Borging_van\_ informatie- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | #Beschermen | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Gedocumen- teerde bedienings- procedures | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Fysieke\_ beveiliging #Systeem-\_en\_ netwerkbeveili- ging #Toepas- singsbeveiliging #Veilige_confi- guratie #Identi- teits-\_en_toe- gangsbeheer #Beheer_van\_ dreigingen_en\_ kwetsbaarhe- den #Continuï- teit #Beheer\_ van_informatie- beveiligings- gebeurtenissen | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Screening | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Arbeids- overeenkomst | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Bewustwording van, opleiding en training in informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Disciplinaire | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | procedure | #Corrigerend | | #Reageren | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+
+
+
+
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===============================================================================+=====================+========================================================+======================+=========================================================================================================================+=====================+
+| 6 | Verantwoorde- lijkheden na beëindiging of wijziging van het dienst- verband | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeelsbe- veiliging #Beheer_van\_ bedrijfsmidde- len | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 6 | Vertrouwelijk- heids- of geheimhou- dingsovereen- komsten | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Personeels- beveiliging #Informatie- bescherming #Leveranciers- relaties | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 6 | Werken op afstand | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Informatie- bescherming #Fysieke_bevei- liging #Sys- teem-\_en_net- werkbeveiliging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 6 | Melden van informatie- beveiligings- gebeurtenissen | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Fysieke beveiligings- zones | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Fysieke toegangs- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Identi- teits-\_en_toe- gangsbeheer | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Beveiligen van kantoren, ruimten en faciliteiten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Monitoren van de fysieke beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | #Verdediging |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Beschermen tegen fysieke en omgevings- dreigingen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Werken in beveiligde zones | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+========================================================+=====================+========================================================+======================+=========================================================================================+=====================+
+| 7 | 'Clear desk' en 'clear screen' | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Plaatsen en beschermen van apparatuur | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Beveiligen van bedrijfsmidde- len buiten het terrein | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_beveili ging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Opslagmedia | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Nuts- voorzieningen | #Preventief | #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Beveiligen van bekabeling | #Preventief | #Vertrouwelijk- heid #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Onderhoud van apparatuur | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Veilig verwijderen of hergebruiken van apparatuur | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | 'User endpoint devices' | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Informatie- bescherming | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | Speciale | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
+| | | | | | | |
+| | toegangsrechten | | | | | |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beperking toegang tot informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | Toegangs- beveiliging op broncode | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer #Toepassings- beveiliging #Veilige_confi- guratie | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+==========================================================+=======================================+========================================================+==========================================+================================================================+=========================================================+
+| 8 | Beveiligde | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
+| | | | | | | |
+| | authenticatie | | | | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Capaciteits- beheer | #Preventief | #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Detecteren | #Continuïteit | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | #Detectief | | | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Bescherming | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | tegen malware | | | #Detecteren | | #Verdediging |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Beheer van technische kwetsbaar- heden | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beheer_van\_ dreigingen_en\_ kwetsbaarhe- den | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Configuratie- beheer | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Veilige_confi- guratie | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Wissen van informatie | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Informatie- bescherming #Juridisch_en\_ compliance | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Maskeren van gegevens | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Informatie- bescherming | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Voorkomen van gegevenslekken (Data leakage prevention) | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | #Verdediging |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Back-up van informatie | #Corrigerend | #Integriteit #Beschikbaar- heid | #Herstellen | #Continuïteit | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Redundantie van informatie- verwerkende faciliteiten | #Preventief | #Beschikbaar- heid | #Beschermen | #Continuïteit #Beheer_van\_ bedrijfsmidde- len | #Bescherming |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Logging | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Bescherming |
+| | | | | | | |
+| | | | | | | #Verdediging |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Monitoren van activiteiten | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=====================================================+=====================+========================================================+======================+========================================================================================+=====================+
+| 8 | Kloksynchroni- satie | #Detectief | #Integriteit | #Beschermen | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Bescherming |
+| | | | | | | |
+| | | | | #Detecteren | | #Verdediging |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Gebruik van speciale systeemhulp- middelen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Veilige_configu ratie #Toepas- singsbeveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Installeren van software op operationele systemen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Veilige_confi- guratie #Toepassings- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beveiliging netwerk- componenten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beveiliging van netwerk- diensten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Netwerk- segmentatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Toepassen van webfilters | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Gebruik van cryptografie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Veilige_confi- guratie | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beveiligen tijdens de ontwikkelcyclus | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Toepassings- beveiligings- eisen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
+| | | | | | | |
+| | | | | | | #Verdediging |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+================================================================+=====================+========================================================+==========================================+==========================================================================================================+============================================+
+| 8 | Veilige systeem- architectuur en technische uitgangspunten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Veilig coderen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Toepassings- beveiliging #Borging_van\_ informatiebe- veiliging #Sys- teem-\_en_net- werkbeveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Uitbestede systeem- ontwikkeling | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Detecteren | #Systeem- \_en_netwerk- beveiliging #Toepassings- beveiliging #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | #Detectief | | | | |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Scheiding van ontwikkel-, test- en productie- omgevingen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Wijzigings- beheer | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Testgegevens | #Preventief | #Vertrouwelijk- heid #Integriteit | #Beschermen | #Informatie- bescherming | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Bescherming van informatie- systemen tijdens audits | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatie- bescherming | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+
+In tabel Ais een voorbeeld te zien van hoe een overzicht kan worden aangemaakt door te filteren op een bepaalde attribuutwaarde, in dit geval #Corrigerend.
+
+
+
+
+**Tabel A--- Overzicht van #Corrigerende beheersmaatregelen**
+
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===================================================================================+=======================================+========================================================+====================================================+======================================================================+=====================+
+| 5 | Contact met overheids- instanties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Contact met speciale belangen- groepen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Informatie en analyses over dreigingen | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Detecteren #Reageren | #Beheer_van\_ dreigingen_en\_ kwetsbaar- heden | #Verdediging |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Plannen en voorbereiden van het beheer van informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Governance #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Reageren op informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Verzamelen van bewijsmateriaal | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Reageren | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Informatie- beveiliging tijdens een verstoring | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Continuïteit | #Bescherming |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | ICT-gereedheid voor bedrijfs- continuïteit | #Corrigerend | #Beschikbaar- heid | #Reageren | #Continuïteit | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Onafhankelijke beoordeling van informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Borging_van\_ informatie- beveiliging | #Governance_en |
+| | | | | | | |
+| | | #Corrigerend | | #Beschermen | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+============================================+=======================================+========================================================+======================+=============================================================================================================================================================================================================================================================================================================+=========================================================+
+| 5 | Gedocumen- teerde bedienings- procedures | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Fysieke\_ beveiliging #Systeem-\_en\_ netwerkbeveili- ging #Toepas- singsbeveiliging #Veilige_confi- guratie #Identi- teits-\_en_toe- gangsbeheer #Beheer_van\_ dreigingen_en\_ kwetsbaarhe- den #Continuï- teit #Beheer\_ van_informatie- beveiligings- gebeurtenissen | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Herstellen | | |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Disciplinaire | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | procedure | #Corrigerend | | #Reageren | | \_Ecosysteem |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Bescherming | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | tegen malware | | | #Detecteren | | #Verdediging |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Back-up van informatie | #Corrigerend | #Integriteit #Beschikbaar- heid | #Herstellen | #Continuïteit | #Bescherming |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Monitoren van activiteiten | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+
+**AOrganisatieoverzichten**
+
+Aangezien attributen worden gebruikt om verschillende overzichten van beheersmaatregelen te creëren, kunnen organisaties de voorbeelden van attributen die in dit document worden voorgesteld, verwijderen en hun eigen attributen met verschillende waarden creëren om in te gaan op specifieke behoeften in de organisatieaarnaast kunnen de waarden die aan elk attribuut worden toegekend, verschillen tussen organisaties, aangezien organisaties verschillende opvattingen kunnen hebben over het gebruik of de toepasbaarheid van de beheersmaatregel of van de waarden die aan het attribuut
+
+zijn gekoppeld (wanneer de waarden specifiek zijn voor de context van de organisatie)e eerste stap is inzicht verwerven in waarom een organisatiespecifiek attribuut wenselijk isls een organisatie bijvoorbeeld haar plannen voor risicobehandeling [zie ISO/IEC 27001:2013, 63 e)] op basis van gebeurtenissen heeft opgebouwd, wil zij mogelijk aan elke beheersmaatregel in dit document een risicoscenarioattribuut koppelen.
+
+
+
+
+Het voordeel van zo\'n attribuut is dat hiermee sneller aan de eis van ISO/IEC 27001 met betrekking tot risicobehandeling kan worden voldaanit betreft het vergelijken van de via het proces van risicobehandeling vastgestelde beheersmaatregelen (die worden aangeduid als 'noodzakelijke' beheersmaatregelen) met de beheersmaatregelen in ISO/IEC 27001:2013, bijlage A (die de basis vormen voor de beheersmaatregelen in dit document) om te garanderen dat er geen noodzakelijke beheersmaatregel over het hoofd is gezien.
+
+Zodra het doel en de voordelen bekend zijn, is het vaststellen van de attribuutwaarden de volgende stape organisatie zou bijvoorbeeld 9 gebeurtenissen kunnen identificeren:
+
+1) verlies of diefstal van een mobiel apparaat;
+
+2) verlies of diefstal in het gebouw en/of op het terrein van de organisatie;
+
+3) overmacht, vandalisme en terrorisme;
+
+4) storingen in software, hardware, voeding, internet en communicatie;
+
+5) fraude;
+
+6) hacken;
+
+7) openbaarmaking;
+
+8) overtreding van de wet;
+
+9) 'social engineering'.
+
+De tweede stap kan dan worden verwezenlijkt door aan elke gebeurtenis een identificatiecode toe te kennen (bijv1, E2, \, E9).
+
+De derde stap is het naar een spreadsheet of database kopiëren van de identificatiecodes en de namen van de beheersmaatregelen uit dit document en de attribuutwaarden met elke beheersmaatregel koppelen, in het besef dat elke beheersmaatregel meer dan één attribuutwaarde kan hebben.
+
+De laatste stap is het sorteren van de spreadsheet of het doorzoeken van de database om de vereiste informatie te extraheren.
+
+Andere voorbeelden van organisatiespecifieke attributen (en mogelijke waarden) zijn onder andere:
+
+a) volwassenheid (waarden uit de ISO/IEC 33000-reeks of andere modellen voor volwassenheid);
+
+b) staat van implementatie (nog te doen, in uitvoering, deels geïmplementeerd, volledig
+
+geïmplementeerd);
+
+c) prioriteit (1, 2, 3 enz
+
+d) betrokken gebieden van de organisatie (beveiliging, ICT, personeelszaken, directie enz
+
+e) gebeurtenissen;
+
+f) betrokken bedrijfsmiddelen;
+
+e)[\*)] bouwen en uitvoeren, om onderscheid te maken tussen de beheersmaatregelen die in de
+
+verschillende stappen van de levenscyclus van de dienst worden gebruikt;
+
+g) overige kaders waarmee de organisatie werkt of vanwaaruit zij kan overstappen.
+
+\*) Nederlandse voetnoot: Nummering als in de brontekst.
+
+
+
+
+# Bijlage B (informatief)
+
+**Overeenstemming van ISO/IEC 27002:2022 (dit document) met**
+
+**ISO/IEC 27002:2013**
+
+Het doel van deze bijlage is om achterwaartse compatibiliteit met ISO/IEC 27002:2013 te bieden aan organisaties die momenteel die norm gebruiken en nu naar deze editie willen overstappen.
+
+Tabel Blaat zien hoe de in hoofdstuk 5 t/m 8 gespecificeerde beheersmaatregelen corresponderen met de beheersmaatregelen in ISO/IEC 27002:2013.
+
+**Tabel B--- Overeenstemming tussen beheersmaatregelen in dit document en**
+
+**beheersmaatregelen in ISO/IEC 27002:2013**
+
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+===============================================================================+
+| 5 | 051, 052 | Beleidsregels voor informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 061 | Rollen en verantwoordelijkheden bij informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 062 | Functiescheiding |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 071 | Managementverantwoordelijkheden |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 063 | Contact met overheidsinstanties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 064 | Contact met speciale belangengroepen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | Nieuw | Informatie en analyses over dreigingen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 065, 141 | Informatiebeveiliging in projectmanagement |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 081, 082 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 083, 083 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 084 | Retourneren van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 081 | Classificeren van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 082 | Labelen van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 131, 132, 133 | Overdragen van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 091, 092 | Toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 091 | Identiteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 094, 091, 093 | Beheren van authenticatie-informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 092, 095, 096 | Toegangsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 151 | Informatiebeveiliging in leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+=================================================================================+
+| 5 | 152 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 153 | Beheren van informatiebeveiliging in de ICT-keten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 151, 152 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | Nieuw | Informatiebeveiliging voor het gebruik van clouddiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 161 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 164 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 165 | Reageren op informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 166 | Leren van informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 167 | Verzamelen van bewijsmateriaal |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 171, 172, 173 | Informatiebeveiliging tijdens een verstoring |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | Nieuw | ICT-gereedheid voor bedrijfscontinuïteit |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 181, 185 | Wettelijke, statutaire, regelgevende en contractuele eisen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 182 | Intellectuele-eigendomsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 183 | Beschermen van registraties |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 184 | Privacy en bescherming van persoonsgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 181 | Onafhankelijke beoordeling van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 182, 183 | Naleving van beleid, regels en normen voor informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 121 | Gedocumenteerde bedieningsprocedures |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 071 | Screening |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 072 | Arbeidsovereenkomst |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 072 | Bewustwording van, opleiding en training in informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 073 | Disciplinaire procedure |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 071 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 134 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 062 | Werken op afstand |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 162, 163 | Melden van informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 7 | 111 | Fysieke beveiligingszones |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 7 | 112, 116 | Fysieke toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 7 | 113 | Beveiligen van kantoren, ruimten en faciliteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+==========================================================+
+| 7 | Nieuw | Monitoren van de fysieke beveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 114 | Beschermen tegen fysieke en omgevingsdreigingen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 115 | Werken in beveiligde gebieden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 119 | 'Clear desk' en 'clear screen' |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 111 | Plaatsen en beschermen van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 116 | Beveiligen van bedrijfsmiddelen buiten het terrein |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 081, 082, | Opslagmedia |
+| | | |
+| | 083, 115 | |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 112 | Nutsvoorzieningen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 113 | Beveiligen van bekabeling |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 114 | Onderhoud van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 117 | Veilig verwijderen of hergebruiken van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 061, 118 | 'User endpoint devices' |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 093 | Speciale toegangsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 091 | Beperking toegang tot informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 095 | Toegangsbeveiliging op broncode |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 092 | Beveiligde authenticatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 123 | Capaciteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121 | Bescherming tegen malware |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121, 183 | Beheer van technische kwetsbaarheden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Configuratiebeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Wissen van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Maskeren van gegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Voorkomen van gegevenslekken (Data leakage prevention) |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121 | Back-up van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 171 | Redundantie van informatieverwerkende faciliteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121, 122, 123 | Logging |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Monitoren van activiteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 124 | Kloksynchronisatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 094 | Gebruik van speciale systeemhulpmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121, 122 | Installeren van software op operationele systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+================================================================+
+| 8 | 131 | Beveiliging netwerkcomponenten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 132 | Beveiliging van netwerkdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 133 | Netwerksegmentatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | Nieuw | Toepassen van webfilters |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 101, 102 | Gebruik van cryptografie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 141 | Beveiligen tijdens de ontwikkelcyclus |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 142, 143 | Toegangsbeveiligingseisen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 145 | Veilige systeemarchitectuur en technische uitgangspunten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | Nieuw | Veilig coderen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 148, 149 | Testen van de beveiliging tijdens ontwikkeling en acceptatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 147 | Uitbestede systeemontwikkeling |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 124, 146 | Scheiding van ontwikkel-, test- en productieomgevingen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 122, 142, | Wijzigingsbeheer |
+| | | |
+| | 143, 144 | |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 141 | Testgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 121 | Bescherming van informatiesystemen tijdens audits |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+
+Tabel Btoont de overeenstemming tussen de in ISO/IEC 27002:2013 en in dit document gespecificeerde beheersmaatregelen.
+
+**Tabel B--- Overeenstemming tussen beheersmaatregelen in ISO/IEC 27002:2013 en**
+
+**beheersmaatregelen in dit document**
+
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+=============================================================+
+| 5 | | Informatiebeveiligingsbeleid |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 5 | | Aansturing door de directie van de informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 51 | 5 | Beleidsregels voor informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 52 | 5 | Beoordeling van het informatiebeveiligingsbeleid |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 6 | | Organiseren van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 6 | | Interne organisatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 61 | 5 | Rollen en verantwoordelijkheden bij informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+============================================================================+
+| 62 | 5 | Scheiding van taken |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 63 | 5 | Contact met overheidsinstanties |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 64 | 5 | Contact met speciale belangengroepen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 65 | 5 | Informatiebeveiliging in projectbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 6 | | Mobiele apparatuur en telewerken |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 61 | 8 | Beleid voor mobiele apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 62 | 6 | Telewerken |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Veilig personeel |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Voorafgaand aan het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 71 | 6 | Screening |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 72 | 6 | Arbeidsvoorwaarden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Tijdens het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 71 | 5 | Directieverantwoordelijkheden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 72 | 6 | Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 73 | 6 | Disciplinaire procedure |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Beëindiging en wijziging van dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 71 | 6 | Beëindiging of wijziging van verantwoordelijkheden van het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Beheer van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Verantwoordelijkheid voor bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 81 | 5 | Inventariseren van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 82 | 5 | Eigendom van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 83 | 5 | Aanvaardbaar gebruik van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 84 | 5 | Teruggeven van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Informatieclassificatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 81 | 5 | Classificatie van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 82 | 5 | Informatie labelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 83 | 5 | Behandelen van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Behandelen van media |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 81 | 7 | Beheer van verwijderbare media |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 82 | 7 | Verwijderen van media |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+====================================================================+
+| 83 | 7 | Media fysiek overdragen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Bedrijfseisen voor toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 5 | Beleid voor toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 92 | 5 | Toegang tot netwerken en netwerkdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Beheer van toegangsrechten van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 5 | Registratie en afmelden van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 92 | 5 | Gebruikers toegang verlenen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 93 | 8 | Beheren van speciale toegangsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 94 | 5 | Beheer van geheime authenticatie-informatie van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 95 | 5 | Beoordeling van toegangsrechten van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 96 | 5 | Toegangsrechten intrekken of aanpassen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Verantwoordelijkheden van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 5 | Geheime authenticatie-informatie gebruiken |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Toegangsbeveiliging van systeem en toepassing |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 8 | Beperking toegang tot informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 92 | 8 | Beveiligde inlogprocedures |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 93 | 5 | Systeem voor wachtwoordbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 94 | 8 | Speciale systeemhulpmiddelen gebruiken |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 95 | 8 | Toegangsbeveiliging op programmabroncode |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 10 | | Cryptografie |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 10 | | Cryptografische beheersmaatregelen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 101 | 8 | Beleid inzake het gebruik van cryptografische beheersmaatregelen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 102 | 8 | Sleutelbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 11 | | Fysieke beveiliging en beveiliging van de omgeving |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 11 | | Beveiligde gebieden |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 111 | 7 | Fysieke beveiligingszone |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 112 | 7 | Fysieke toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 113 | 7 | Kantoren, ruimten en faciliteiten beveiligen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 114 | 7 | Beschermen tegen bedreigingen van buitenaf |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 115 | 7 | Werken in beveiligde gebieden |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+=====================================================================+
+| 116 | 7 | Laad- en loslocatie |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 11 | | Apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 111 | 7 | Plaatsing en bescherming van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 112 | 7 | Nutsvoorzieningen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 113 | 7 | Beveiliging van bekabeling |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 114 | 7 | Onderhoud van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 115 | 7 | Verwijdering van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 116 | 7 | Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 117 | 7 | Veilig verwijderen of hergebruiken van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 118 | 8 | Onbeheerde gebruikersapparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 119 | 7 | 'Clear desk'- en 'clear screen'-beleid |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Beveiliging bedrijfsvoering |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Bedieningsprocedures en verantwoordelijkheden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 5 | Gedocumenteerde bedieningsprocedures |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 122 | 8 | Wijzigingsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 123 | 8 | Capaciteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 124 | 8 | Scheiding van ontwikkel-, test- en productieomgevingen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Bescherming tegen malware |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Beheersmaatregelen tegen malware |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Back-up |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Back-up van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Verslaglegging en monitoren |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Gebeurtenissen registreren |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 122 | 8 | Beschermen van informatie in logbestanden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 123 | 8 | Logbestanden van beheerders en operators |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 124 | 8 | Kloksynchronisatie |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Beheersing van operationele software |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Software installeren op operationele systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Beheer van technische kwetsbaarheden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Beheer van technische kwetsbaarheden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 122 | 8 | Beperkingen voor het installeren van software |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+=============================================================================+
+| 12 | | Overwegingen betreffende audits van informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 121 | 8 | Beheersmaatregelen betreffende audits van informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 13 | | Communicatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 13 | | Beheer van netwerkbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 131 | 8 | Beheersmaatregelen voor netwerken |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 132 | 8 | Beveiliging van netwerkdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 133 | 8 | Scheiding in netwerken |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 13 | | Informatietransport |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 131 | 5 | Beleid en procedures voor informatietransport |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 132 | 5 | Overeenkomsten over informatietransport |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 133 | 5 | Elektronische berichten |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 134 | 6 | Vertrouwelijkheids- of geheimhoudingsovereenkomst |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Acquisitie, ontwikkeling en onderhoud van informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Beveiligingseisen voor informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 141 | 5 | Analyse en specificatie van informatiebeveiligingseisen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 142 | 8 | Toepassingen op openbare netwerken beveiligen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 143 | 8 | Transacties van toepassingen beschermen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Beveiliging in ontwikkelings- en ondersteunende processen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 141 | 8 | Beleid voor beveiligd ontwikkelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 142 | 8 | Procedures voor wijzigingsbeheer met betrekking tot systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 143 | 8 | Technische beoordeling van toepassingen na wijzigingen besturingsplatform |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 144 | 8 | Beperkingen op wijzigingen aan softwarepakketten |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 145 | 8 | Principes voor engineering van beveiligde systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 146 | 8 | Beveiligde ontwikkelomgeving |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 147 | 8 | Uitbestede systeemontwikkeling |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 148 | 8 | Testen van systeembeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 149 | 8 | Systeemacceptatietests |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Testgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 141 | 8 | Bescherming van testgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 15 | | Leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+===============================================================================+
+| 15 | | Informatiebeveiliging in leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 151 | 5 | Informatiebeveiligingsbeleid voor leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 152 | 5 | Opnemen van beveiligingsaspecten in leveranciersovereenkomsten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 153 | 5 | Toeleveringsketen van informatie- en communicatietechnologie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 15 | | Beheer van dienstverlening van leveranciers |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 151 | 5 | Monitoring en beoordeling van dienstverlening van leveranciers |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 152 | 5 | Beheer van veranderingen in dienstverlening van leveranciers |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 16 | | Beheer van informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 16 | | Beheer van informatiebeveiligingsincidenten en -verbeteringen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 161 | 5 | Verantwoordelijkheden en procedures |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 162 | 6 | Rapportage van informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 163 | 6 | Rapportage van zwakke plekken in de informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 164 | 5 | Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 165 | 5 | Respons op informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 166 | 5 | Lering uit informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 167 | 5 | Verzamelen van bewijsmateriaal |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 17 | | Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 17 | | Informatiebeveiligingscontinuïteit |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 171 | 5 | Informatiebeveiligingscontinuïteit plannen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 172 | 5 | Informatiebeveiligingscontinuïteit implementeren |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 173 | 5 | Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 17 | | Redundante componenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 171 | 8 | Beschikbaarheid van informatieverwerkende faciliteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 18 | | Naleving |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 18 | | Naleving van wettelijke en contractuele eisen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 181 | 5 | Vaststellen van toepasselijke wetgeving en contractuele eisen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 182 | 5 | Intellectuele-eigendomsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 183 | 5 | Beschermen van registraties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 184 | 5 | Privacy en bescherming van persoonsgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 185 | 5 | Voorschriften voor het gebruik van cryptografische beheersmaatregelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+========================================================+
+| 18 | | Informatiebeveiligingsbeoordelingen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| 181 | 5 | Onafhankelijke beoordeling van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| 182 | 5 | Naleving van beveiligingsbeleid en -normen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| 183 | 5, 8 | Beoordeling van technische naleving |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+
+
+
+
+**Bibliografie**
+
+[1] ISO 9000, *Quality management systems* -- *Fundamentals and vocabulary*
+
+[2] ISO 55001, *Asset management -- Management systems -- Requirements*
+
+[3] ISO/IEC 11770 (all parts), *Information security -- Key management*
+
+[4] ISO/IEC 15408 (all parts), *Information technology -- Security techniques -- Evaluation criteria for*
+
+*IT security*
+
+[5] ISO 15489 (all parts), *Information and documentation -- Records management*
+
+[6] ISO/IEC 17788, *Information technology -- Cloud computing -- Overview and vocabulary*
+
+[7] ISO/IEC 17789, *Information technology -- Cloud computing -- Reference architecture*
+
+[8] ISO/IEC 19086 (all parts), *Cloud computing -- Service level agreement (SLA) framework*
+
+[9] ISO/IEC 19770 (all parts), *Information technology -- IT asset management*
+
+[10] ISO/IEC 19941, *Information technology -- Cloud computing -- Interoperability and portability*
+
+[11] ISO/IEC 20889, *Privacy enhancing data de-identification terminology and classification of*
+
+*techniques*
+
+[12] ISO 21500, *Project, programme and portfolio management -- Context and concepts*
+
+[13] ISO 21502, *Project, programme and portfolio management -- Guidance on project management*
+
+[14] ISO 22301, *Security and resilience -- Business continuity management systems -- Requirements*
+
+[15] ISO 22313, *Security and resilience -- Business continuity management systems -- Guidance on the*
+
+*use of ISO 22301*
+
+[16] ISO/TS 22317, *Societal security -- Business continuity management systems -- Guidelines for*
+
+*business impact analysis (BIA)*
+
+[17] ISO 22396, *Security and resilience -- Community resilience -- Guidelines for information exchange*
+
+*between organizations*
+
+[18] ISO/IEC TS 23167, *Information technology -- Cloud computing -- Common technologies and*
+
+*techniques*
+
+[19] ISO/IEC 23751, *Information technology -- Cloud computing and distributed platforms -- Data*
+
+*sharing agreement (DSA) framework*
+
+[20] ISO/IEC 24760 (all parts), *IT Security and Privacy -- A framework for identity management*
+
+[21] ISO/IEC 27001:2013, *Information technology -- Security techniques -- Information security*
+
+*management systems -- Requirements*
+
+[22] ISO/IEC 27005, *Information technology -- Security techniques -- Information security risk*
+
+*management*
+
+
+
+
+[23] ISO/IEC 27007, *Information security, cybersecurity and privacy protection -- Guidelines for*
+
+*information security management systems auditing*
+
+[24] ISO/IEC TS 27008, *Information technology -- Security techniques -- Guidelines for the assessment*
+
+*of information security controls*
+
+[25] ISO/IEC 27011, *Information technology -- Security techniques -- Code of practice for Information*
+
+*security controls based on ISO/IEC 27002 for telecommunications organizations*
+
+[26] ISO/IEC TR 27016, *Information technology -- Security techniques -- Information security*
+
+*management -- Organizational economics*
+
+[27] ISO/IEC 27017, *Information technology -- Security techniques -- Code of practice for information*
+
+*security controls based on ISO/IEC 27002 for cloud services*
+
+[28] ISO/IEC 27018, *Information technology -- Security techniques -- Code of practice for protection of*
+
+*personally identifiable information (PII) in public clouds acting as PII processors*
+
+[29] ISO/IEC 27019, *Information technology -- Security techniques -- Information security controls for*
+
+*the energy utility industry*
+
+[30] ISO/IEC 27031, *Information technology -- Security techniques -- Guidelines for information and*
+
+*communication technology readiness for business continuity*
+
+[31] ISO/IEC 27033 (all parts), *Information technology -- Security techniques -- Network security*
+
+[32] ISO/IEC 27034 (all parts), *Information technology -- Application security*
+
+[33] ISO/IEC 27035 (all parts), *Information technology -- Security techniques -- Information security*
+
+*incident management*
+
+[34] ISO/IEC 27036 (all parts), *Information technology -- Security techniques -- Information security*
+
+*for supplier relationships*
+
+[35] ISO/IEC 27037, *Information technology -- Security techniques -- Guidelines for identification,*
+
+*collection, acquisition and preservation of digital evidence*
+
+[36] ISO/IEC 27040, *Information technology -- Security techniques -- Storage security*
+
+[37] ISO/IEC 27050 (all parts), *Information technology -- Electronic discovery*
+
+[38] ISO/IEC/TS 27110, *Information technology, cybersecurity and privacy protection -- Cybersecurity*
+
+*framework development guidelines*
+
+[39] ISO/IEC 27701, *Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy*
+
+*information management -- Requirements and guidelines*
+
+[40] ISO 27799, *Health informatics -- Information security management in health using ISO/IEC 27002*
+
+[41] ISO/IEC 29100, *Information technology -- Security techniques -- Privacy framework*
+
+[42] ISO/IEC 29115, *Information technology -- Security techniques -- Entity authentication assurance*
+
+*framework*
+
+
+
+
+[43] ISO/IEC 29134, *Information technology -- Security techniques -- Guidelines for privacy impact*
+
+*assessment*
+
+[44] ISO/IEC 29146, *Information technology -- Security techniques -- A framework for access*
+
+*management*
+
+[45] ISO/IEC 29147, *Information technology -- Security techniques -- Vulnerability disclosure*
+
+[46] ISO 30000, *Ships and marine technology -- Ship recycling management systems -- Specifications*
+
+*for management systems for safe and environmentally sound ship recycling facilities*
+
+[47] ISO/IEC 30111, *Information technology -- Security techniques -- Vulnerability handling processes*
+
+[48] ISO 31000:2018, *Risk management -- Guidelines*
+
+[49] IEC 31010, *Risk management -- Risk assessment techniques*
+
+[50] ISO/IEC 22123 (all parts), *Information technology -- Cloud computing*
+
+[51] ISO/IEC 27555, *Information security, cybersecurity and privacy protection -- Guidelines on*
+
+*personally identifiable information deletion*
+
+[52] INFORMATION SECURITY FORUM (ISF)he ISF Standard of Good Practice for Information Security
+
+2020, augustus 2018eschikbaar op https://wwwcurityforumg/tool/standard-of-good- practice-for-information-security-2020/
+
+[53] ITIL® Foundation, ITIL 4 editie, AXELOS, februari 2019, ISBN: 9780113316076
+
+[54] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST)P 800-37, Risk Management
+
+Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, Revision 2ecember 2018 [geraadpleegd op 2020-07-31]eschikbaar op Algemeen
-De organisatie behoort een onderwerpspecifiek beleid inzake de overdracht van informatie vast te stellen en aan alle relevante belanghebbenden mee te delenegels, procedures en overeenkomsten om informatie die wordt overgedragen te beschermen, behoren de classificatie van de desbetreffende informatie te weerspiegelenanneer informatie wordt overgedragen tussen de organisatie en derden, behoren transportovereenkomsten (met inbegrip van authenticatie van de ontvanger) te worden vastgesteld en gehandhaafd om informatie in alle vormen tijdens overdracht te beschermen (zie 5.10).
+De organisatie behoort een onderwerpspecifiek beleid inzake de overdracht van informatie vast te stellen en aan alle relevante belanghebbenden mee te delenegels, procedures en overeenkomsten om informatie die wordt overgedragen te beschermen, behoren de classificatie van de desbetreffende informatie te weerspiegelenanneer informatie wordt overgedragen tussen de organisatie en derden, behoren transportovereenkomsten (met inbegrip van authenticatie van de ontvanger) te worden vastgesteld en gehandhaafd om informatie in alle vormen tijdens overdracht te beschermen (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md)).
Informatie kan worden overgedragen via elektronische overdracht, door fysieke opslagmedia over te dragen en via mondelinge overdracht.
Voor alle soorten van overdracht van informatie behoren de regels, procedures en overeenkomsten het volgende te omvatten:
-a) beheersmaatregelen die ervoor zijn ontworpen om overgedragen informatie te beschermen tegen interceptie, toegang door onbevoegden, kopiëren, wijziging, foutieve routering, vernietiging en 'denial of service', met inbegrip van toegangsbeveiligingsniveaus die passend zijn bij de classificatie van de desbetreffende informatie en eventuele speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals het gebruik van cryptografische technieken (zie 8.24);
+a) beheersmaatregelen die ervoor zijn ontworpen om overgedragen informatie te beschermen tegen interceptie, toegang door onbevoegden, kopiëren, wijziging, foutieve routering, vernietiging en 'denial of service', met inbegrip van toegangsbeveiligingsniveaus die passend zijn bij de classificatie van de desbetreffende informatie en eventuele speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals het gebruik van cryptografische technieken (zie [8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md));
b) beheersmaatregelen om de traceerbaarheid en onweerlegbaarheid te waarborgen, met inbegrip van het in stand houden van een bewakingsketen voor informatie tijdens het overdragen;
@@ -39,24 +39,24 @@ c) identificatie van passende contactpersonen met betrekking tot het overdragen,
d) verantwoordelijkheden en aansprakelijkheden in geval van informatiebeveiligingsincidenten, zoals verlies van fysieke opslagmedia of gegevens;
-e) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie 5.13);
+e) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md));
f) betrouwbaarheid en beschikbaarheid van de overdrachtdienst;
-g) het onderwerpspecifieke beleid of richtlijnen over aanvaardbaar gebruik van overdragen van informatiefaciliteiten (zie 5.10);
+g) het onderwerpspecifieke beleid of richtlijnen over aanvaardbaar gebruik van overdragen van informatiefaciliteiten (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md));
h) richtlijnen voor het bewaren en verwijderen van alle bedrijfsregistraties, met inbegrip van berichten;
OPMERKING Er kan lokale wet- en regelgeving bestaan inzake het bewaren en verwijderen van bedrijfsregistraties.
-i) aandacht voor andere relevante eisen van wet- en regelgeving, statutaire en contractuele eisen (zie 5.31, 5.32, 5.33, 5.34) in verband met het overdragen van informatie (bijv. eisen voor elektronische handtekeningen).
+i) aandacht voor andere relevante eisen van wet- en regelgeving, statutaire en contractuele eisen (zie [5.31](ISO_27002_2022_NL_5.31_BT%20Wettelijke,%20statutaire,%20regelgevende%20en%20contractuele%20eisen.md), [5.32](ISO_27002_2022_NL_5.32_BT%20Intellectuele-eigendomsrechten.md), [5.33](ISO_27002_2022_NL_5.33_BT%20Beschermen%20van%20registraties.md), [5.34](ISO_27002_2022_NL_5.34_BT%20Privacy%20en%20bescherming%20van%20persoonsgegevens.md)) in verband met het overdragen van informatie (bijv. eisen voor elektronische handtekeningen).
Elektronisch transport
In regels, procedures en overeenkomsten behoort ook rekening te worden gehouden met de volgende punten bij het gebruik van elektronische communicatiefaciliteiten voor het overdragen van informatie:
-a) het detecteren van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie 8.7);
+a) het detecteren van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie [8.7](ISO_27002_2022_NL_8.7_BT%20Bescherming%20tegen%20malware.md));
b) bescherming van als bijlage gecommuniceerde gevoelige elektronische informatie;
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging.md
index 65d1cda..be96411 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.15_BT Toegangsbeveiliging.md
@@ -29,27 +29,27 @@ Bij deze eisen en het onderwerpspecifieke beleid behoort rekening te worden geho
a) vaststellen voor welke entiteiten welke soort toegang tot de informatie en andere gerelateerde bedrijfsmiddelen vereist is;
-b) beveiliging van toepassingen (zie 8.26);
+b) beveiliging van toepassingen (zie [8.26](ISO_27002_2022_NL_8.26_BT%20Toepassingsbeveiligingseisen.md));
-c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie 7.2, 7.3, 7.4);
+c) fysieke toegang waarvoor ondersteuning door passende fysieke toegangsbeveiliging nodig is (zie [7.2](ISO_27002_2022_NL_7.2_BT%20Fysieke%20toegangsbeveiliging.md), [7.3](ISO_27002_2022_NL_7.3_BT%20Beveiligen%20van%20kantoren,%20ruimten%20en%20faciliteiten.md), [7.4](ISO_27002_2022_NL_7.4_BT%20Monitoren%20van%20de%20fysieke%20beveiliging.md));
-d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie 5.10, 5.12, 5.13);
+d) regels voor informatieverspreiding en -autorisatie (bijvet 'need-to-know'-principe), informatiebeveiligingsniveaus en -classificatie (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md), [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md), [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md));
-e) beperkingen op speciale toegangsrechten (zie 8.2);
+e) beperkingen op speciale toegangsrechten (zie [8.2](ISO_27002_2022_NL_8.2_BT%20Speciale%20toegangsrechten.md));
-f) functiescheiding (zie 5.3);
+f) functiescheiding (zie [5.3](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md));
-g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie 5.31, 5.32, 5.33, 5.34, 8.3);
+g) relevante wet- en regelgeving en contractuele verplichtingen met betrekking tot het beperken van de toegang tot gegevens of diensten (zie [5.31](ISO_27002_2022_NL_5.31_BT%20Wettelijke,%20statutaire,%20regelgevende%20en%20contractuele%20eisen.md), [5.32](ISO_27002_2022_NL_5.32_BT%20Intellectuele-eigendomsrechten.md), [5.33](ISO_27002_2022_NL_5.33_BT%20Beschermen%20van%20registraties.md), [5.34](ISO_27002_2022_NL_5.34_BT%20Privacy%20en%20bescherming%20van%20persoonsgegevens.md), [8.3](ISO_27002_2022_NL_8.3_BT%20Beperking%20toegang%20tot%20informatie.md));
h) scheiding van toegangsbeveiligingsfuncties (bijvoegangsverzoek, -autorisatie, -administratie);
-i) formele autorisatie voor verzoeken om toegang (zie 5.16 en 5.18);
+i) formele autorisatie voor verzoeken om toegang (zie [5.16](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md) en [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md));
-j) het beheer van toegangsrechten (zie 5.18);
+j) het beheer van toegangsrechten (zie [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md));
-k) registratie (zie 8.15).
+k) registratie (zie [8.15](ISO_27002_2022_NL_8.15_BT%20Logging.md)).
-Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie 5.16). Een entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
+Er behoren regels voor toegangsbeveiliging te worden geïmplementeerd door passende toegangsrechten en -beperkingen voor de desbetreffende entiteiten te definiëren en toe te wijzen (zie [5.16](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md)). Een entiteit kan zowel staan voor een menselijke gebruiker, als voor een technisch of logisch object (bijven machine, apparaat of dienst)m het toegangsbeveiligingsbeheer te vereenvoudigen, kunnen er specifieke rollen aan groepen entiteiten worden toegewezen.
Bij het definiëren en implementeren van regels voor toegangsbeveiliging behoort rekening te worden gehouden met het volgende:
@@ -73,13 +73,13 @@ Bij het opstellen van regels voor toegangsbeveiliging behoort aandacht te worden
a) het vaststellen van regels gebaseerd op de vooronderstelling van het 'least privilege' (minste rechten): 'Alles is in principe verboden tenzij het uitdrukkelijk is toegelaten', in plaats van de zwakkere regel 'Alles is in principe toegelaten tenzij het uitdrukkelijk is verboden';
-b) wijzigingen in informatielabels (zie 5.13) die automatisch door informatieverwerkende faciliteiten worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
+b) wijzigingen in informatielabels (zie [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md)) die automatisch door informatieverwerkende faciliteiten worden aangebracht, en wijzigingen die naar keuze van de gebruiker worden aangebracht;
c) wijzigingen in toegangsrechten voor gebruikers die automatisch door het informatiesysteem worden aangebracht, en wijzigingen die door een beheerder worden aangebracht;
d) de momenten van het definiëren en regelmatig beoordelen van de goedkeuring.
-Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie 5.17, 5.18, 8.2, 8.3, 8.4, 8.5, 8.18) en gedefinieerde verantwoordelijkheden (zie 5.2, 5.17).
+Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie [5.17](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md), [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md), [8.2](ISO_27002_2022_NL_8.2_BT%20Speciale%20toegangsrechten.md), [8.3](ISO_27002_2022_NL_8.3_BT%20Beperking%20toegang%20tot%20informatie.md), [8.4](ISO_27002_2022_NL_8.4_BT%20Toegangsbeveiliging%20op%20broncode.md), [8.5](ISO_27002_2022_NL_8.5_BT%20Beveiligde%20authenticatie.md), [8.18](ISO_27002_2022_NL_8.18_BT%20Gebruik%20van%20speciale%20systeemhulpmiddelen.md)) en gedefinieerde verantwoordelijkheden (zie [5.2](ISO_27002_2022_NL_5.2_BT%20Rollen%20en%20verantwoordelijkheden%20bij%20informatiebeveiliging.md), [5.17](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md)).
Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging).
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.16_BT Identiteitsbeheer.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.16_BT Identiteitsbeheer.md
index f6a7bd2..06af27b 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.16_BT Identiteitsbeheer.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.16_BT Identiteitsbeheer.md
@@ -39,7 +39,7 @@ f) registraties worden bijgehouden van alle belangrijke gebeurtenissen betreffen
De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omgaan met veranderingen aan informatie met betrekking tot gebruikersidentiteiten. Deze processen kunnen het opnieuw verifiëren van vertrouwde documenten met betrekking tot een persoon omvatten.
-Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie 5.19) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie 5.17) omvatten.
+Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie [5.19](ISO_27002_2022_NL_5.19_BT%20Informatiebeveiliging%20in%20leveranciersrelaties.md)) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie [5.17](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md)) omvatten.
**Overige informatie**
@@ -53,4 +53,4 @@ c) het vaststellen van een identiteit;
d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen van gerelateerde authenticatiediensten;
-e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie 5.18).
\ No newline at end of file
+e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie [5.18](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md)).
\ No newline at end of file
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie.md
index 78c7bc7..60c7fc2 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_BT Beheren van authenticatie-informatie.md
@@ -55,7 +55,7 @@ c) wanneer wachtwoorden als authenticatie-informatie worden gebruikt, er sterke
d) een en hetzelfde wachtwoord niet voor verschillende diensten en op verschillende systemen wordt gebruikt;
-e) de verplichting om deze regels na te leven ook wordt opgenomen in de arbeidsovereenkomst (zie 6.2);
+e) de verplichting om deze regels na te leven ook wordt opgenomen in de arbeidsovereenkomst (zie [6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md));
**Systeem voor wachtwoordbeheer**
@@ -77,7 +77,7 @@ g) wachtwoorden niet op het scherm te tonen als ze worden ingevoerd;
h) wachtwoorden in beschermde vorm op te slaan en te versturen.
-Wachtwoordversleuteling en hashing behoren te worden uitgevoerd volgens goedgekeurde cryptografische technieken voor wachtwoorden (zie 8.24).
+Wachtwoordversleuteling en hashing behoren te worden uitgevoerd volgens goedgekeurde cryptografische technieken voor wachtwoorden (zie [8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)).
### Overige informatie
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md
index 061a9a3..f5ab1a6 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.17_NN Beheren van authenticatie-informatie.md
@@ -34,7 +34,7 @@ Zorgen voor passende authenticatie en voorkomen van fouten in het proces.
- Authenticatie-informatie mag niet met anderen worden gedeeld. Bij niet-persoonlijke accounts (bijv. groepsaccounts) mag de informatie alleen met bevoegde personen (bijv. leden van die groep) gedeeld worden.
- Als authenticatie-informatie gelekt is ('gecompromitteerd'), moet die onmiddellijk gewijzigd worden.
- Gebruik nooit hetzelfde wachtwoord voor verschillende systemen of diensten;
-- Zorg dat deze regels als verplichting worden opgenomen in de arbeidsovereenkomst (zie [[ISO_27002_2022_NL_NN 6.2 Arbeidsovereenkomst|6.2]]);
+- Zorg dat deze regels als verplichting worden opgenomen in de arbeidsovereenkomst (zie [6.2](ISO_27002_2022_NL_[6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md)_BT%20Arbeidsovereenkomst.md));
#### Overige informatie
- Het frequent afdwingen van wachtwoordwijzigingen kan contra-productief zijn: het zorgt voor irritatie bij gebruikers, nieuwe wachtwoorden worden gemakkelijk vergeten en op onveilige plekken worden genoteerd, en gebruikers kiezen sneller voor gemakkelijk te onthouden (en te raden) wachtwoorden.
@@ -57,5 +57,5 @@ Andere gerelateerde ISO 27x beheersmaatregelen:
-[^1]: Gebruik voor versleuteling en hashing goedgekeurde technieken (zie [[ISO_27002_2022_NL_NN 8.24 Gebruik van cryptografie|8.24]]).
+[^1]: Gebruik voor versleuteling en hashing goedgekeurde technieken (zie [8.24](ISO_27002_2022_NL_[8.24](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)_BT%20Gebruik%20van%20cryptografie.md)).
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md
index 92ac8c9..816f2a4 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.18_BT Toegangsrechten.md
@@ -38,7 +38,7 @@ d) bewerkstelligen dat toegangsrechten worden ingetrokken wanneer iemand geen to
e) overwegen tijdelijke toegangsrechten voor beperkte duur te verlenen en deze op de afloopdatum in te trekken, met name voor tijdelijk personeel of indien slechts tijdelijk toegang vereist is voor het personeel;
-f) verifiëren dat het toegekende toegangsniveau in overeenstemming is met de onderwerpspecifieke beleidsregels inzake toegangsbeveiliging (zie 5.15) en aansluit op andere informatiebeveiligingseisen zoals functiescheiding (zie 5.3);
+f) verifiëren dat het toegekende toegangsniveau in overeenstemming is met de onderwerpspecifieke beleidsregels inzake toegangsbeveiliging (zie [5.15](ISO_27002_2022_NL_5.15_BT%20Toegangsbeveiliging.md)) en aansluit op andere informatiebeveiligingseisen zoals functiescheiding (zie [5.3](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md));
g) waarborgen dat toegangsrechten pas worden geactiveerd (bijvoor dienstverleners) nadat de autorisatieprocedures succesvol zijn afgerond;
@@ -56,7 +56,7 @@ Bij het regelmatig beoordelen van fysieke en logische toegangsrechten behoren de
-a) de toegangsrechten van gebruikers na een verandering binnen dezelfde organisatie (bijv. verandering van functie, promotie, demotie) of beëindiging van het dienstverband (zie 6.1 t/m 6.5);
+a) de toegangsrechten van gebruikers na een verandering binnen dezelfde organisatie (bijv. verandering van functie, promotie, demotie) of beëindiging van het dienstverband (zie [6.1](ISO_27002_2022_NL_6.1_BT%20Screening.md) t/m [6.5](ISO_27002_2022_NL_6.5_BT%20Verantwoordelijkheden%20na%20beëindiging%20of%20wijziging%20van%20het%20dienstverband.md));
@@ -92,7 +92,7 @@ Er behoort op te worden gelet dat gebruikerstoegangsrollen worden vastgesteld op
-Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor personeel dat onbevoegde toegang probeert te verkrijgen (zie 5.20, 6.2, 6.4, 6.6).
+Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor personeel dat onbevoegde toegang probeert te verkrijgen (zie [5.20](ISO_27002_2022_NL_5.20_BT%20Adresseren%20van%20informatiebeveiliging%20in%20leveranciersovereenkomsten.md), [6.2](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md), [6.4](ISO_27002_2022_NL_6.4_BT%20Disciplinaire%20procedure.md), [6.6](ISO_27002_2022_NL_6.6_BT%20Vertrouwelijkheids-%20of%20geheimhoudingsovereenkomsten.md)).
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten.md
index 7266e07..766e5a4 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.20_BT Adresseren van informatiebeveiliging in leveranciersovereenkomsten.md
@@ -29,7 +29,7 @@ Om aan de vastgestelde informatiebeveiligingseisen te voldoen kan worden overwog
a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te verschaffen of toegankelijk te maken;
-b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 5.10, 5.12, 5.13);
+b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md), [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md), [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md));
c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de leverancier;
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md
new file mode 100644
index 0000000..f16b906
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten.md
@@ -0,0 +1,115 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
+| Attribuut | Waarde |
+| :----------------------------------- | :----------------------------------------------- |
+| Type beheersmaatregel: | #Corrigerend |
+| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
+| Cybersecurityconcepten: | #Reageren |
+| Operationele capaciteiten: | #Beheer_van_infor- matiebeveiligings- gebeurtenissen |
+| Beveiligingsdomeinen: | #Verdediging |
+
+
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================================================================+=====================+
+| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Governance #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Herstellen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren.
+
+**Doel**
+
+Een snelle, doeltreffende, consistente en geordende reactie op informatiebeveiligingsincidenten, met inbegrip van communicatie over informatiebeveiligingsgebeurtenissen, bewerkstelligen.
+
+**Richtlijn**
+
+Rollen en verantwoordelijkheden
+
+De organisatie behoort passende processen voor het beheer van informatiebeveiligingsincidenten op te stellenollen en verantwoordelijkheden voor het uitvoeren van de procedures voor incidentenbeheer behoren te worden vastgesteld en op doeltreffende wijze te worden gecommuniceerd aan de relevante interne en externe belanghebbenden.
+
+Het volgende behoort te worden overwogen:
+
+a) een gemeenschappelijke methode opstellen voor het melden van informatiebeveiligings-
+
+gebeurtenissen met inbegrip van een contactpunt (zie 6;
+
+b) een proces opstellen voor het beheer van incidenten om de organisatie de capaciteit te bieden voor het beheren van informatiebeveiligingsincidenten, met inbegrip van beheer, documentatie, detectie, triage, prioritering, analyse, communicatie en het coördineren van belanghebbenden;
+
+c) een proces opstellen voor het reageren op incidenten waardoor de organisatie het vermogen krijgt
+
+informatiebeveiligingsincidenten te beoordelen, erop te reageren en er lering uit te trekken;
+
+d) alleen competent personeel toestaan de kwesties te behandelen die verband houden met informatiebeveiligingsincidenten binnen de organisatieit personeel behoort te worden voorzien van documentatie over de procedures en periodieke training;
+
+e) een proces opstellen voor het identificeren van vereiste training, certificering en voortdurende
+
+professionele ontwikkeling van personeel dat de taak heeft op incidenten te reageren.
+
+Procedures voor incidentenbeheer
+
+De doelstellingen voor het beheer van informatiebeveiligingsincidenten behoren met het management te worden overeengekomen en er behoort te worden gewaarborgd dat de personen die verantwoordelijk zijn voor het beheer van informatiebeveiligingsincidenten, op de hoogte zijn van de prioriteiten van de organisatie voor het behandelen van informatiebeveiligingsincidenten met
+
+inbegrip van een op de mogelijke gevolgen en ernst gebaseerde tijdspanne voor het oplossen ervanr
+
+
+
+
+behoren procedures voor incidentenbeheer te worden geïmplementeerd die aan deze doelstellingen en prioriteiten voldoen.
+
+Het management behoort te bewerkstelligen dat er een plan voor het beheer van informatiebeveiligingsincidenten wordt opgesteld waarbij rekening wordt gehouden met verschillende scenario\'s en dat er procedures worden ontwikkeld en geïmplementeerd voor de volgende activiteiten:
+
+a) het evalueren van informatiebeveiligingsgebeurtenissen volgens criteria voor wat een
+
+informatiebeveiligingsincident uitmaakt;
+
+b) het monitoren (zie 8 en 8), detecteren (zie 8), classificeren (zie 5), analyseren en melden (zie 6 van informatiebeveiligingsgebeurtenissen en -incidenten (door mensen of door automatische middelen);
+
+c) het beheren van informatiebeveiligingsincidenten tot ze volledig zijn afgehandeld, met inbegrip van reactie en escalatie (zie 5), volgens het type en de categorie van het incident, mogelijke inschakeling van crisisbeheersing en activering van continuïteitsplannen, gecontroleerd herstel na een incident en communicatie met interne en externe belanghebbenden;
+
+d) afstemming met interne en externe belanghebbenden zoals overheidsinstanties, externe
+
+belangengroepen en fora, leveranciers en klanten (zie 5en 5;
+
+e) het registreren van incidentbeheeractiviteiten;
+
+f) het behandelen van bewijs (zie 5);
+
+g) analyse van de onderliggende oorzaak of post-mortemprocedures;
+
+h) identificatie van getrokken lering en eventueel vereiste verbeteringen van de procedures voor
+
+incidentenbeheer of de beheersmaatregelen voor informatiebeveiliging in het algemeen.
+
+Meldings- en rapportageprocedures
+
+Meldings- en rapportageprocedures behoren de volgende aspecten te omvatten:
+
+a) de in geval van een informatiebeveiligingsgebeurtenis te treffen maatregelen (bijvnmiddellijk alle relevante details zoals de optredende storing en berichten op het scherm noteren, onmiddellijk melden bij het contactpunt en alleen gecoördineerde actie ondernemen);
+
+b) het gebruik van incidentenformulieren om het personeel te ondersteunen bij het verrichten van alle
+
+noodzakelijke handelingen bij het melden van informatiebeveiligingsincidenten;
+
+c) passende feedbackprocedures om te bewerkstelligen dat de personen die informatiebeveiligingsgebeurtenissen melden, voor zover mogelijk over de resultaten worden geïnformeerd nadat de kwestie is opgepakt en afgesloten;
+
+d) het opstellen van rapportage over incidenten.
+
+Bij het implementeren van procedures voor incidentenbeheer behoren externe eisen ten aanzien van het binnen het gedefinieerde tijdsbestek melden van incidenten aan relevante belanghebbenden (bijvisen voor het melden van inbreuken aan de regelgevende instanties) in aanmerking te worden genomen.
+
+
+
+
+**Overige informatie**
+
+Informatiebeveiligingsincidenten kunnen de grenzen van organisaties en landen overschrijdenm op dergelijke incidenten te kunnen reageren is het nuttig om indien van toepassing opvolging te coördineren en informatie over deze incidenten te delen met externe organisaties.
+
+De ISO/IEC 27035-reeks biedt gedetailleerde richtlijnen over het beheer van informatiebeveiligingsincidenten.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen.md
new file mode 100644
index 0000000..f70097b
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen.md
@@ -0,0 +1,36 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Reageren | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten.
+
+**Doel**
+
+Doeltreffende categorisering en prioritering van informatiebeveiligingsgebeurtenissen bewerkstelligen.
+
+**Richtlijn**
+
+Er behoort een categoriserings- en prioriteringsschema voor informatiebeveiligingsincidenten te worden overeengekomen voor het identificeren van de gevolgen en prioriteit van een incidentet schema behoort de criteria te omvatten voor het als informatiebeveiligingsincident categoriseren van gebeurtenissenet contactpunt behoort elke informatiebeveiligingsgebeurtenis aan de hand van het overeengekomen schema te beoordelen.
+
+Personeel dat verantwoordelijk is voor het coördineren van en reageren op informatiebeveiligings- incidenten behoort de beoordeling uit te voeren en een besluit te nemen over informatiebeveiligingsgebeurtenissen.
+
+Resultaten van de beoordeling en het besluit behoren in detail te worden geregistreerd ten behoeve van toekomstige raadpleging en verificatie.
+
+**Overige informatie**
+
+De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md
new file mode 100644
index 0000000..f20640c
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten.md
@@ -0,0 +1,69 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Herstellen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
+
+**Doel**
+
+Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewerkstelligen.
+
+**Richtlijn**
+
+De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen.
+
+Een speciaal team met de vereiste competentie (zie 5) behoort te reageren op informatiebeveiligingsincidenten.
+
+De reactie behoort de volgende aspecten te omvatten:
+
+a) de systemen die door het incident worden getroffen inperken als de gevolgen van het incident zich
+
+kunnen uitbreiden;
+
+b) zo snel mogelijk na het incident bewijs verzamelen (zie 5);
+
+c) escalatie, zoals vereist, met inbegrip van crisisbeheersingsactiviteiten en mogelijk door
+
+bedrijfscontinuïteitsplannen in te roepen (zie 5 en 5);
+
+d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor
+
+latere analyse;
+
+e) het bestaan van het informatiebeveiligingsincident of relevante details daarvan volgens het 'need-
+
+to-know'-principe aan alle relevante in- en externe belanghebbenden communiceren;
+
+f) met interne en externe partijen, waaronder overheidsinstanties, belangengroepen en fora, leveranciers en klanten, afstemmen om de doeltreffendheid van de reactie te verbeteren en de gevolgen voor andere organisaties tot het minimum te helpen beperken;
+
+g) het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt;
+
+h) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 5);
+
+
+
+
+i) postincidentanalyse uitvoeren om de onderliggende oorzaak te identificerenorg ervoor dat het
+
+wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5);
+
+j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren.
+
+**Overige informatie**
+
+De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md
new file mode 100644
index 0000000..467d871
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten.md
@@ -0,0 +1,44 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Beschermen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren.
+
+**Doel**
+
+De waarschijnlijkheid of de gevolgen van toekomstige incidenten verminderen.
+
+**Richtlijn**
+
+De organisatie behoort procedures op te stellen om de soorten, volumes en kosten van informatiebeveiligingsincidenten te kwantificeren en te monitoren.
+
+De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincidenten behoort te worden gebruikt om:
+
+a) het plan voor incidentenbeheer, met inbegrip van incidentscenario\'s en -procedures, te verbeteren
+
+(zie 5);
+
+b) terugkerende of ernstige incidenten en de oorzaken ervan te identificeren, teneinde de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren, en de nodige aanvullende beheersmaatregelen vast te stellen en te implementeren om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinenechanismen om dat mogelijk te maken zijn onder meer het verzamelen, kwantificeren en monitoren van informatie over soorten incidenten, volumes en kosten;
+
+c) de bewustwording en training van gebruikers (zie 6 te verbeteren door voorbeelden te geven
+
+van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden.
+
+**Overige informatie**
+
+De ISO/IEC 27035-reeks geeft verdere richtlijnen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal.md
new file mode 100644
index 0000000..6f862bf
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal.md
@@ -0,0 +1,53 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| | | #Reageren | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.
+
+**Doel**
+
+In het kader van disciplinaire en gerechtelijke stappen consistent en doeltreffend beheer bewerkstelligen van bewijsmateriaal in verband met informatiebeveiligingsincidenten.
+
+**Richtlijn**
+
+Bij het in het kader van disciplinaire en gerechtelijke stappen omgaan met bewijs met betrekking tot informatiebeveiligingsgebeurtenissen behoren interne procedures te worden ontwikkeld en gevolgde eisen van verschillende rechtsgebieden behoren in aanmerking te worden genomen om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden.
+
+In het algemeen behoren deze procedures voor het beheren van bewijs instructies in te houden voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs in overeenstemming met de verschillende soorten opslagmedia, apparaten en de status van de apparaten (dzn- of uitgeschakeld)ewoonlijk is het nodig bewijsmateriaal dusdanig te verzamelen dat het voor de bevoegde nationale rechters of een ander disciplinair forum toelaatbaar iset behoort mogelijk te zijn aan te tonen dat:
+
+a) registraties volledig zijn en op geen enkele wijze zijn gemanipuleerd;
+
+b) kopieën van elektronische bewijsstukken waarschijnlijk identiek zijn aan de originelen;
+
+c) elk informatiesysteem waarvan bewijsmateriaal is verkregen, correct werkte op het moment van
+
+vastlegging van het bewijsmateriaal.
+
+Indien beschikbaar, behoort certificatie of andere relevante methoden om personeel en middelen te kwalificeren te worden gezocht om de waarde van het verkregen bewijs te versterken.
+
+Digitaal bewijs kan grenzen van organisaties of rechtsgebieden overschrijdenn zulke gevallen behoort te worden gewaarborgd dat de organisatie het recht heeft de vereiste informatie als digitaal bewijs te verzamelen.
+
+**Overige informatie**
+
+Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet altijd duidelijk of de gebeurtenis zal leiden tot gerechtelijke stappenet gevaar bestaat dan ook dat noodzakelijk bewijs bewust of toevallig wordt vernietigd voordat de ernst van het incident wordt onderkendet is raadzaam om vroegtijdig juridisch advies of de rechtshandhavers in te schakelen als gerechtelijke stappen worden overwogen en advies in te winnen over het vereiste bewijs.
+
+
+
+
+ISO/IEC 27037 biedt definities en richtlijnen voor het identificeren, verzamelen, verkrijgen en bewaren van digitaal bewijs.
+
+De ISO/IEC 27050-reeks behandelt elektronische ontdekking, hetgeen gepaard gaat met het als bewijsmiddel verwerken van elektronisch opgeslagen informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring.md
new file mode 100644
index 0000000..cda1a9e
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring.md
@@ -0,0 +1,53 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+====================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Continuïteit | #Bescherming |
+| | | | | |
+| #Corrigerend | | #Reageren | | #Veerkracht |
++------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.
+
+**Doel**
+
+Informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring beschermen.
+
+**Richtlijn**
+
+De organisatie behoort haar eisen vast te stellen voor het tijdens een verstoring aanpassen van beheersmaatregelen voor informatiebeveiligingnformatiebeveiligingseisen behoren te worden opgenomen in de processen voor bedrijfscontinuïteitsbeheer van de organisatie.
+
+Er behoren plannen te worden ontwikkeld, geïmplementeerd, getest, beoordeeld en geëvalueerd om de beveiliging van informatie van essentiële bedrijfsprocessen in stand te houden of te herstellen na een (ver)storinge beveiliging van informatie behoort op het vereiste niveau en binnen de vereiste tijdsbestekken te worden hersteld.
+
+De organisatie behoort het volgende te implementeren en te onderhouden:
+
+a) beheersmaatregelen voor informatiebeveiliging, ondersteunende systemen en hulpmiddelen
+
+binnen bedrijfscontinuïteits- en ICT-continuïteitsplannen;
+
+b) processen om bestaande beheersmaatregelen voor informatiebeveiliging tijdens een verstoring in
+
+stand te houden;
+
+c) compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebeveiliging die
+
+tijdens een verstoring niet kunnen worden gehandhaafd.
+
+**Overige informatie**
+
+In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandighedenls onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen bedrijfscontinuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioriteerd.
+
+
+
+
+Informatie over systemen voor bedrijfscontinuïteitsbeheer is te vinden in ISO 22301 en ISO 22313erdere richtlijnen voor bedrijfsimpactanalyse (BIA) zijn te vinden in ISO/TS 22317.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging.md
index f0d91b2..6444c7c 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.2_BT Rollen en verantwoordelijkheden bij informatiebeveiliging.md
@@ -22,7 +22,7 @@ Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de impl
**Richtlijn**
-Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5.1). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
+Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie [5.1](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md)). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor:
a) de bescherming van informatie en andere gerelateerde bedrijfsmiddelen;
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md
new file mode 100644
index 0000000..1427dd2
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen.md
@@ -0,0 +1,112 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==============================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ Ecosysteem #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+
+
+
+
+
+**Beheersmaatregel**
+
+Eisen van wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen behoren te worden vastgesteld, gedocumenteerd en actueel gehouden.
+
+**Doel**
+
+De naleving bewerkstelligen van wettelijke, statutaire, regelgevende en contractuele eisen in verband met informatiebeveiliging.
+
+**Richtlijn**
+
+Algemeen
+
+Externe eisen, met inbegrip van wettelijke, statutaire, regelgevende en contractuele eisen behoren in aanmerking te worden genomen bij het:
+
+a) ontwikkelen van informatiebeveiligingsbeleid en -procedures;
+
+b) ontwerpen, implementeren of wijzigen van beheersmaatregelen voor informatiebeveiliging;
+
+c) classificeren van informatie en andere gerelateerde bedrijfsmiddelen in het kader van het proces voor het vaststellen van informatiebeveiligingseisen voor interne behoeften of voor overeenkomsten met leveranciers;
+
+d) uitvoeren van risicobeoordelingen met het oog op informatiebeveiliging en het vaststellen van de
+
+activiteiten voor de behandeling van informatiebeveiligingsrisico's;
+
+e) vaststellen van processen plus de bijbehorende rollen en verantwoordelijkheden met betrekking
+
+tot informatiebeveiliging;
+
+f) vaststellen van de contractuele eisen voor leveranciers die relevant zijn voor de organisatie en de
+
+reikwijdte van de levering van producten en diensten.
+
+Wet- en regelgeving
+
+De organisatie behoort:
+
+a) alle wet- en regelgeving te identificeren die relevant zijn voor de informatiebeveiliging van de
+
+organisatie om op de hoogte te zijn van de eisen voor haar soort bedrijf;
+
+b) het voldoen eraan in alle relevante landen in aanmerking te nemen, indien de organisatie: --- zaken doet in andere landen;
+
+--- producten en diensten gebruikt uit andere landen waar wet- en regelgeving van invloed kunnen
+
+zijn op de organisatie;
+
+--- informatie over de grenzen van rechtsgebieden transporteert waar wet- en regelgeving van
+
+invloed kunnen zijn op de organisatie;
+
+c) de geïdentificeerde wet- en regelgeving regelmatig te beoordelen om op de hoogte te blijven van
+
+wijzigingen en nieuwe wetgeving te identificeren;
+
+d) de specifieke processen en individuele verantwoordelijkheden om aan deze eisen te voldoen te
+
+definiëren en documenteren.
+
+
+
+
+Cryptografie
+
+Cryptografie is een gebied waarvoor vaak specifieke wettelijke eisen geldenet naleven van de relevante overeenkomsten en wet- en regelgeving met betrekking tot de volgende punten behoort in aanmerking te worden genomen:
+
+a) beperkingen op de import of export van computerhardware en -software voor het uitvoeren van
+
+cryptografische functies;
+
+b) beperkingen op de import of export van computerhardware en -software die zo zijn ontworpen dat
+
+er cryptografische functies aan kunnen worden toegevoegd;
+
+c) beperkingen op de toepassing van cryptografie;
+
+d) verplichte of discretionaire methoden voor de toegang van de overheidsinstanties van de landen tot
+
+versleutelde informatie;
+
+e) geldigheid van digitale handtekeningen, zegels en certificaten.
+
+Het wordt aanbevolen juridisch advies in te winnen om ervoor te zorgen dat de relevante wet- en regelgeving wordt nageleefd, vooral wanneer versleutelde informatie of cryptografie-instrumenten tot voorbij de grenzen van rechtsgebieden worden verplaatst.
+
+Contracten
+
+Contractuele eisen in verband met informatiebeveiliging behoren de eisen te omvatten die zijn vermeld in:
+
+a) contracten met klanten;
+
+b) contracten met leveranciers (zie 5);
+
+c) verzekeringscontracten.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten.md
new file mode 100644
index 0000000..9ed3e81
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten.md
@@ -0,0 +1,88 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen.
+
+
+
+
+**Doel**
+
+De naleving bewerkstelligen van eisen van wet- en regelgeving, statutaire en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van gepatenteerde producten.
+
+**Richtlijn**
+
+De volgende richtlijnen behoren in overweging te worden genomen om materiaal dat kan worden beschouwd als intellectuele eigendom te beschermen:
+
+a) onderwerpspecifiek beleid inzake de bescherming van intellectuele-eigendomsrechten definiëren
+
+en communiceren;
+
+b) procedures voor het voldoen aan intellectuele-eigendomsrechten publiceren die het gebruik van
+
+software en informatieproducten volgens de eisen definiëren;
+
+c) software alleen aanschaffen bij bekende bronnen met een goede reputatie, om te waarborgen dat
+
+het auteursrecht niet wordt geschonden;
+
+d) geschikte registers van bedrijfsmiddelen bijhouden, en alle bedrijfsmiddelen waarbij bescherming
+
+van intellectuele-eigendomsrechten vereist is, identificeren;
+
+e) bewijs en bewijsmateriaal bijhouden van de eigendom van licenties, handleidingen enz.
+
+f) bewerkstelligen dat een maximumaantal gebruikers of middelen (bijvPU\'s) dat eventueel door de
+
+licentie is toegestaan, niet wordt overschreden;
+
+g) beoordelingen uitvoeren om te bewerkstelligen dat alleen goedgekeurde software en in licentie
+
+gegeven producten zijn geïnstalleerd;
+
+h) procedures vaststellen voor het handhaven van de juiste licentievoorwaarden;
+
+i) procedures vaststellen voor het verwijderen of aan anderen overdragen van software;
+
+j) voldoen aan voorwaarden voor software en informatie verkregen van openbare netwerken en
+
+externe bronnen;
+
+k) niet dupliceren, naar een ander formaat converteren of een uittreksel maken van commerciële opnamen (video, audio), tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan;
+
+l) geen normen (bijvnternationale normen van ISO/IEC), boeken, artikelen, rapporten of andere documenten geheel of ten dele kopiëren, tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan.
+
+**Overige informatie**
+
+Onder intellectuele-eigendomsrechten vallen auteursrechten op software of documenten, ontwerprechten, handelsmerken, patenten en broncodelicenties.
+
+Eigendomssoftwareproducten worden gewoonlijk geleverd op basis van een licentieovereenkomst die de licentievoorwaarden vermeldt, bijvet gebruik van de producten beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-upkopieënie de ISO/IEC 19770-reeks voor nadere informatie over het beheer van IT-bedrijfsmiddelen.
+
+Gegevens kunnen worden verkregen uit externe bronnenoorgaans worden dergelijke gegevens verkregen op grond van een overeenkomst voor het delen van gegevens of een soortgelijk juridisch
+
+
+
+
+instrumentn zulke overeenkomsten voor het delen van gegevens behoort duidelijk te worden gemaakt welke verwerking is toegestaan voor de verkregen gegevenset is ook raadzaam dat de herkomst van de gegevens duidelijk wordt vermeldie ISO/IEC 23751 voor meer informatie over overeenkomsten voor het delen van gegevens.
+
+Eisen van wet- en regelgeving, statutaire en contractuele eisen kunnen beperkingen inhouden voor het kopiëren van eigendomsmateriaaln het bijzonder kan worden bepaald dat alleen materiaal mag worden gebruikt dat is ontwikkeld door de organisatie zelf of dat door de ontwikkelaar in licentie is gegeven aan de organisatie of aan de organisatie is geleverdchending van auteursrecht kan leiden
+
+tot gerechtelijke stappen, die kunnen resulteren in een geldboete of een strafproces.
+
+Afgezien van het feit dat het nodig is dat de organisatie voldoet aan haar verplichtingen wat betreft de intellectuele-eigendomsrechten van derden, behoren de risico\'s dat personeel en derden de eigen intellectuele-eigendomsrechten van de organisatie niet behartigen ook te worden beheerst.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md
new file mode 100644
index 0000000..c179b0b
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.33_BT Beschermen van registraties.md
@@ -0,0 +1,61 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Beheer_van_bedrijfs- middelen #Informatiebescher- ming | #Verdediging |
+| | | | | |
+| | | #Beschermen | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.
+
+**Doel**
+
+De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen, alsmede gemeenschaps- of maatschappelijke verwachtingen, met betrekking tot de bescherming en beschikbaarheid van registraties.
+
+**Richtlijn**
+
+De organisatie behoort de volgende stappen te ondernemen om de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van registraties te beschermen, aangezien de bedrijfscontext en de eisen voor het beheer ervan na verloop van tijd veranderen:
+
+a) richtlijnen uitvaardigen inzake de opslag, de bewakingsketen voor de hantering, en het verwijderen van registraties, hetgeen ook het voorkomen van manipulatie van registraties omvateze richtlijnen behoren te worden afgestemd op het onderwerpspecifieke beleid van de organisatie inzake het beheer van registraties en andere eisen aan registraties;
+
+b) een bewaarschema opstellen waarin registraties en de periode dat ze behoren te worden bewaard,
+
+zijn gedefinieerd.
+
+Het systeem waarmee gegevens worden opgeslagen en behandeld, behoort de identificatie van registraties en hun bewaarperiode te waarborgen, rekening houdend, indien van toepassing, met nationale of regionale wet- of regelgeving, evenals de verwachtingen vanuit de gemeenschap of de
+
+
+
+
+maatschappijit systeem behoort toe te staan dat registraties na afloop van die termijn op een passende manier worden vernietigd als de organisatie ze niet langer nodig heeft.
+
+Bij besluitvorming over bescherming van specifieke registraties van de organisatie behoort de informatiebeveiligingsclassificatie daarvan, gebaseerd op het classificatieschema van de organisatie, in overweging te worden genomenegistraties behoren te worden gecategoriseerd naar types
+
+registratie (bijvoekhoudkundige, transactie-, personeels-, juridische registraties)ij elk type behoren de bewaartermijn en de toegestane soorten opslagmedia (fysiek of elektronisch) te worden vermeld.
+
+Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste registraties binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de desbetreffende eisen.
+
+Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de registraties tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de opslagmedia als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingenok gerelateerde cryptografische sleutels en programma's die samenhangen met versleutelde archieven of digitale handtekeningen, behoren te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties (zie 8).
+
+Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan.
+
+**Overige informatie**
+
+Registraties documenteren individuele gebeurtenissen of transacties of kunnen samenvoegingen zijn van gegevens die ervoor zijn opgezet om arbeidsprocessen, activiteiten of functies te documenterene vormen het bewijs van zowel bedrijfsactiviteiten als van informatiebedrijfsmiddelenlke informatieverzameling, ongeacht structuur of vorm, kan als registratie worden beheerdit omvat informatie in de vorm van een document, een verzameling gegevens of andere soorten digitale of analoge informatie die in het kader van de bedrijfsvoering worden aangemaakt, vastgelegd en beheerd.
+
+In het kader van het beheren van registraties zijn metagegevens gegevens die de context, inhoud en structuur van registraties, evenals het beheer ervan in de loop van de tijd, beschrijvenetagegevens zijn een essentieel bestanddeel van elke registratie.
+
+Het kan nodig zijn sommige registraties veilig te bewaren om te voldoen aan eisen van wet- en regelgeving, statutaire en contractuele eisen, en om essentiële bedrijfsactiviteiten te ondersteunene bewaartermijn en de soort informatie die behoort te worden bewaard, kunnen zijn vastgelegd in nationale wet- of regelgevingerdere informatie over beheer van registraties is te vinden in
+
+ISO 15489.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens.md
new file mode 100644
index 0000000..fb7fa60
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens.md
@@ -0,0 +1,47 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Informatiebescherming | #Bescherming |
+| | | | | |
+| | | #Beschermen | #Juridisch_en_compliance | |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.
+
+**Doel**
+
+De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot de informatiebeveiligingsaspecten voor de bescherming van persoonsgegevens.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake privacy en bescherming van persoonsgegevens vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+De organisatie behoort procedures te ontwikkelen en te implementeren voor het behoud van privacy en het beschermen van persoonsgegevenseze procedures behoren te worden gecommuniceerd aan alle relevante belanghebbenden die betrokken zijn bij het verwerken van persoonsgegevens.
+
+Naleving van deze procedures en van alle relevante wet- en regelgeving betreffende het behoud van privacy en het beschermen van persoonsgegevens vereist passende rollen, verantwoordelijkheden en beheersmaatregelenaak kan dit het beste worden bereikt door een persoon te benoemen die hiervoor verantwoordelijk is, zoals een privacyfunctionaris, die richtlijnen behoort te geven aan personeel, dienstverleners en andere belanghebbenden over hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd.
+
+Verantwoordelijkheid voor het omgaan met persoonsgegevens behoort met inachtneming van de desbetreffende wet- en regelgeving te worden behandeld.
+
+Er behoren passende technische en organisatorische maatregelen te worden geïmplementeerd om persoonsgegevens te beschermen.
+
+**Overige informatie**
+
+Een aantal landen heeft wetgeving ingevoerd waardoor er beheersmaatregelen zijn ingesteld voor het verzamelen, verwerken, verzenden en wissen van persoonsgegevensfhankelijk van de respectieve nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan personen die persoonsgegevens verzamelen, verwerken en verspreiden, en kunnen zij ook de bevoegdheid voor het versturen van persoonsgegevens naar andere landen beperken.
+
+ISO/IEC 29100 voorziet in een kader op hoog niveau voor de bescherming van persoonsgegevens binnen ICT-systemenerdere informatie over privacy-informatiebeheersystemen is te vinden in ISO/IEC 27701pecifieke informatie met betrekking tot privacy-informatiebeheer voor publieke clouds die als verwerkers van persoonsgegevens fungeren is te vinden in ISO/IEC 27018.
+
+
+
+
+ISO/IEC 29134 geeft richtlijnen voor privacy-effectbeoordelingen (PIA) en een voorbeeld van de structuur en inhoud van een PIA-rapportn vergelijking met ISO/IEC 27005 is dit toegespitst op het verwerken van persoonsgegevens en is het relevant voor die organisaties die persoonsgegevens verwerkenit kan helpen bij het identificeren van privacyrisico\'s en mogelijke beperkende maatregelen om deze risico\'s tot een aanvaardbaar niveau terug te brengen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md
new file mode 100644
index 0000000..0b03d3a
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging.md
@@ -0,0 +1,57 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
+| | | | | |
+| #Corrigerend | | #Beschermen | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
+
+**Doel**
+
+Waarborgen dat de organisatie continu een geschikte, toereikende en doeltreffende aanpak voor het beheer van informatiebeveiliging hanteert.
+
+**Richtlijn**
+
+De organisatie behoort te beschikken over processen om onafhankelijke beoordelingen uit te voeren.
+
+Het management behoort periodieke onafhankelijke beoordelingen te plannen en te initiërene beoordelingen behoren tevens het beoordelen van verbetermogelijkheden en de noodzaak om wijzigingen aan te brengen in de informatiebeveiligingsaanpak te omvatten, met inbegrip van het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en andere beheersmaatregelen.
+
+Dergelijke beoordelingen behoren te worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied (bijvoor de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen)ersonen die deze beoordelingen uitvoeren, behoren te beschikken over de passende competentiem te garanderen dat de persoon die de beoordelingen uitvoert voldoende onafhankelijk is om een beoordeling uit te voeren, behoort hij of zij geen deel uit te maken van de hiërarchie.
+
+De resultaten van de onafhankelijke beoordelingen behoren te worden gerapporteerd aan het management dat de beoordelingen heeft geïnitieerd en, indien van toepassing, de directieeze registraties behoren te worden bewaard.
+
+Indien in de onafhankelijke beoordelingen wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie niet voldoen [bijvedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie 5], behoort het management corrigerende maatregelen te initiëren.
+
+
+
+
+In aanvulling op de periodieke onafhankelijke beoordelingen behoort de organisatie te overwegen onafhankelijke beoordelingen uit te voeren wanneer:
+
+a) wet- en regelgeving die van invloed is op de organisatie, verandert;
+
+b) er zich belangrijke incidenten voordoen;
+
+c) de organisatie een nieuw bedrijf start of een bestaand bedrijf verandert;
+
+d) de organisatie een nieuw product of nieuwe dienst gaat gebruiken of het gebruik van een actueel
+
+gebruikt(e) product of dienst wijzigt;
+
+e) de organisatie de beheersmaatregelen en procedures voor informatiebeveiliging significant wijzigt.
+
+**Overige informatie**
+
+ISO/IEC 27007 en ISO/IEC TS 27008 voorzien in richtlijnen voor het uitvoeren van onafhankelijke beoordelingen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md
new file mode 100644
index 0000000..7ce1d60
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging.md
@@ -0,0 +1,53 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Borging_van_infor- matiebeveiliging | #Governance_en\_ |
+| | | | | |
+| | | #Beschermen | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoort regelmatig te worden beoordeeld.
+
+**Doel**
+
+Bewerkstelligen dat informatiebeveiliging in overeenstemming met het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en normen van de organisatie wordt geïmplementeerd en uitgevoerd.
+
+**Richtlijn**
+
+Managers of de eigenaren van diensten, producten of informatie behoren vast te stellen op welke manier wordt beoordeeld of aan informatiebeveiligingseisen zoals gedefinieerd in het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels, normen en andere toepasselijke regelgeving, wordt nageleefdoor een doeltreffende regelmatige beoordeling behoort te worden overwogen om automatische meet- en rapportage-instrumenten in te zetten.
+
+Indien de beoordeling een geval van niet-naleving oplevert, behoren managers:
+
+a) de oorzaken van de niet-naleving vast te stellen;
+
+b) de noodzaak te evalueren tot het treffen van corrigerende maatregelen om naleving te
+
+bewerkstelligen;
+
+
+
+
+c) passende corrigerende maatregelen te implementeren;
+
+d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid ervan te verifiëren en
+
+om gebreken of zwakke plekken te identificeren.
+
+Resultaten van door managers of de eigenaren van diensten, producten of informatie uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze registraties behoren te worden bewaardanagers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 5) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
+
+Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld.
+
+**Overige informatie**
+
+Operationele monitoring van het gebruik van systemen wordt behandeld in 8, 8, 8.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md
new file mode 100644
index 0000000..e6c3356
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures.md
@@ -0,0 +1,80 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================================================================================================================================================================================================================+=========================================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs\_ middelen #Fysieke_beveiliging #Systeem- \_en_netwerkbeveiliging #Toepassingsbeveili- ging #Veilige_configuratie #Identiteits- \_en_toegangsbeheer #Beheer_van_dreigin- gen_en_kwetsbaar- heden | #Governance_en\_ Ecosysteem #Bescherming #Verdediging |
+| | | | | |
+| #Corrigerend | | #Herstellen | #Continuïteit #Beheer_van_infor- matiebeveiligings- gebeurtenissen | |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+
+**Beheersmaatregel**
+
+Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft.
+
+**Doel**
+
+De correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
+
+
+
+
+**Richtlijn**
+
+Er behoren gedocumenteerde procedures te worden opgesteld voor de operationele activiteiten van de organisatie die verband houden met informatiebeveiliging, bijvoorbeeld:
+
+a) wanneer het nodig is dat de activiteit door veel mensen op dezelfde manier wordt uitgevoerd;
+
+b) wanneer de activiteit zelden wordt uitgevoerd en waarschijnlijk vergeten zal zijn als zij weer wordt
+
+uitgevoerd;
+
+c) wanneer de activiteit nieuw is en een risico inhoudt als zij niet correct wordt uitgevoerd;
+
+d) voorafgaand aan de overdracht van de activiteit aan nieuwe medewerkers.
+
+In de bedieningsprocedures behoort het volgende te worden gespecificeerd:
+
+a) welke personen verantwoordelijk zijn;
+
+b) de beveiligde installatie en configuratie van systemen;
+
+c) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
+
+d) back-up (zie 8) en veerkracht;
+
+e) de planning van eisen, waaronder onderlinge afhankelijkheden met andere systemen;
+
+f) instructies voor het omgaan met fouten of andere uitzonderlijke omstandigheden [bijveperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 8)] die zich tijdens de uitvoering van een functie kunnen voordoen;
+
+g) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van
+
+onverwachte bedienings- of technische moeilijkheden;
+
+h) instructies voor het behandelen van opslagmedia (zie 7 en 7);
+
+i) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van
+
+systeemstoringen;
+
+j) het beheer van informatie uit audittrajecten en systeemlogbestanden (zie 8 en 8) en
+
+videobewakingssystemen (zie 7;
+
+k) monitoringprocedures zoals capaciteit, prestaties en beveiliging (zie 8en 8); l) onderhoudsinstructies.
+
+Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bijgewerktijzigingen in gedocumenteerde bedieningsprocedures behoren te worden geautoriseerdndien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen.
+
+**Overige informatie** Geen overige informatie.
+
+
+
+
+# 6 Mensgerichte beheersmaatregelen
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden.md
index 4d09750..a6913bc 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.4_BT Managementverantwoordelijkheden.md
@@ -33,7 +33,7 @@ b) richtlijnen ontvangen die de verwachtingen met betrekking tot hun informatieb
c) verplicht worden te voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie;
-d) een niveau van bewustwording van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie 6.3);
+d) een niveau van bewustwording van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie [6.3](ISO_27002_2022_NL_6.3_BT%20Bewustwording%20van,%20opleiding%20en%20training%20in%20informatiebeveiliging.md));
e) de arbeids- of contractvoorwaarden en de voorwaarden van overeenkomsten, met inbegrip van het informatiebeveiligingsbeleid en passende werkmethoden, naleven [\*)];
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties.md
index c097114..cf0ff9a 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.5_BT Contact met overheidsinstanties.md
@@ -34,4 +34,4 @@ Contacten met overheidsinstanties behoren ook te worden gebruikt om inzicht moge
Organisaties die worden aangevallen, kunnen instanties verzoeken om actie te ondernemen tegen de aanvaller.
-Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie 5.24 t/m 5.28) of de noodplan- en bedrijfscontinuïteitsprocessen (zie 5.29 en 5.30). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].
+Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie [5.24](ISO_27002_2022_NL_5.24_BT%20Plannen%20en%20voorbereiden%20van%20het%20beheer%20van%20informatiebeveiligingsincidenten.md) t/m [5.28](ISO_27002_2022_NL_5.28_BT%20Verzamelen%20van%20bewijsmateriaal.md)) of de noodplan- en bedrijfscontinuïteitsprocessen (zie [5.29](ISO_27002_2022_NL_5.29_BT%20Informatiebeveiliging%20tijdens%20een%20verstoring.md) en [5.30](ISO_27002_2022_NL_5.30_BT%20ICT-gereedheid%20voor%20bedrijfscontinuïteit.md)). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)].
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen.md
index 6e096d8..35d3e1e 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.6_BT Contact met speciale belangengroepen.md
@@ -34,7 +34,7 @@ d) toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging;
e) informatie over nieuwe technologieën, producten, diensten, dreigingen of kwetsbaarheden te delen en uit te wisselen;
-f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie 5.24 t/m 5.28).
+f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie [5.24](ISO_27002_2022_NL_5.24_BT%20Plannen%20en%20voorbereiden%20van%20het%20beheer%20van%20informatiebeveiligingsincidenten.md) t/m [5.28](ISO_27002_2022_NL_5.28_BT%20Verzamelen%20van%20bewijsmateriaal.md)).
**Overige informatie**
Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen.md
index c1d2715..e02d3a3 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_5.9_BT Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen.md
@@ -38,13 +38,13 @@ De locatie van een bedrijfsmiddel behoort al naargelang de situatie in de invent
De inventarislijst hoeft niet één lijst te zijn van informatie en andere gerelateerde bedrijfsmiddelenangezien de inventarislijst van bedrijfsmiddelen door de relevante functies behoort te worden onderhouden, kan deze worden beschouwd als een verzameling dynamische inventarislijsten, zoals inventarislijsten voor informatiebedrijfsmiddelen, hardware, software, virtuele machines (VM\'s), faciliteiten, personeel, competenties, capaciteiten en registraties.
-Elk bedrijfsmiddel behoort te worden geclassificeerd overeenkomstig de classificatie van de met dat bedrijfsmiddel gerelateerde informatie (zie 5.12).
+Elk bedrijfsmiddel behoort te worden geclassificeerd overeenkomstig de classificatie van de met dat bedrijfsmiddel gerelateerde informatie (zie [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md)).
Het niveau van granulariteit van de inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen behoort te passen bij de behoeften van de organisatieoms is het vanwege de aard van het bedrijfsmiddel niet praktisch uitvoerbaar om specifieke instanties van bedrijfsmiddelen in de informatielevenscyclus te documenterenen voorbeeld van een bedrijfsmiddel met een korte levensduur is een instantie van een VM die van korte duur kan zijn.
[Eigendom]
-Voor de geïdentificeerde informatie- en andere gerelateerde bedrijfsmiddelen behoort de eigendom van het bedrijfsmiddel te worden toegewezen aan een persoon of een groep en behoort de classificatie te worden geïdentificeerd (zie 5.12, 5.13). Er behoort een procedure te worden geïmplementeerd die ervoor zorgt dat de benoeming van de eigenaar van bedrijfsmiddelen tijdig plaatsvindtet eigenaarschap behoort te worden toegekend als bedrijfsmiddelen worden aangemaakt of als bedrijfsmiddelen naar de organisatie worden overgebrachtet eigenaarschap van een bedrijfsmiddel behoort naarmate nodig is opnieuw te worden toegekend wanneer de huidige eigenaren van een bedrijfsmiddel vertrekken of een andere functie krijgen.
+Voor de geïdentificeerde informatie- en andere gerelateerde bedrijfsmiddelen behoort de eigendom van het bedrijfsmiddel te worden toegewezen aan een persoon of een groep en behoort de classificatie te worden geïdentificeerd (zie [5.12](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md), [5.13](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md)). Er behoort een procedure te worden geïmplementeerd die ervoor zorgt dat de benoeming van de eigenaar van bedrijfsmiddelen tijdig plaatsvindtet eigenaarschap behoort te worden toegekend als bedrijfsmiddelen worden aangemaakt of als bedrijfsmiddelen naar de organisatie worden overgebrachtet eigenaarschap van een bedrijfsmiddel behoort naarmate nodig is opnieuw te worden toegekend wanneer de huidige eigenaren van een bedrijfsmiddel vertrekken of een andere functie krijgen.
[Taken van de eigenaar]
@@ -58,7 +58,7 @@ c) de classificatie periodiek wordt beoordeeld;
d) er een lijst wordt opgesteld van de componenten die technologische bedrijfsmiddelen ondersteunen, zoals database-, opslag-, softwarecomponenten en -subcomponenten, en deze worden gekoppeld;
-e) eisen voor het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen (zie 5.10) worden vastgesteld;
+e) eisen voor het aanvaardbare gebruik van informatie en andere gerelateerde bedrijfsmiddelen (zie [5.10](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md)) worden vastgesteld;
f) de toegangsbeperkingen overeenstemmen met de classificatie, doeltreffend zijn en periodiek worden beoordeeld;
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.1_BT Screening.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.1_BT Screening.md
new file mode 100644
index 0000000..fff0967
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.1_BT Screening.md
@@ -0,0 +1,75 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De achtergrond van alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaaldierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving, voorschriften en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico\'s.
+
+**Doel**
+
+Bewerkstelligen dat al het personeel in aanmerking komt en geschikt is voor de functies waarvoor zij worden overwogen en dat zij hiervoor gedurende hun dienstverband in aanmerking blijven komen en geschikt blijven.
+
+**Richtlijn**
+
+Al het personeel, met inbegrip van voltijd-, deeltijd- en tijdelijk personeel, behoort te worden gescreendndien deze personen via dienstverleners worden ingehuurd, behoren screeningeisen te worden opgenomen in de contractuele afspraken tussen de organisatie en de dienstverleners.
+
+Informatie over alle kandidaten die in aanmerking komen voor posities binnen de organisatie, behoort te worden verzameld en verwerkt met inachtneming van de relevante wetgeving in het relevante rechtsgebiedn bepaalde rechtsgebieden kan het wettelijk vereist zijn dat de organisatie de kandidaten vooraf op de hoogte stelt van de screeningsactiviteiten.
+
+Bij deze controle behoort alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving in acht te worden genomen, en de controle behoort, voor zover toegestaan, het volgende te omvatten:
+
+a) de beschikbaarheid van positieve referenties (bijvakelijke en persoonlijke referenties);
+
+b) een controle (op volledigheid en nauwkeurigheid) van het curriculum vitae van de sollicitant;
+
+c) bevestiging van de geclaimde academische en beroepskwalificaties;
+
+d) onafhankelijke identiteitscontrole (bijven paspoort of ander aanvaardbaar document dat is
+
+afgegeven door een passende instantie);
+
+e) meer gedetailleerde controle, zoals controle op kredietwaardigheid of strafblad indien de kandidaat
+
+een essentiële rol krijgt.
+
+
+
+
+Als een persoon wordt ingehuurd voor een specifieke informatiebeveiligingsrol, behoort de organisatie zich ervan te vergewissen dat:
+
+a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
+
+b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de
+
+organisatie.
+
+Als een functie, hetzij bij een eerste aanstelling, hetzij bij promotie, met zich meebrengt dat de persoon toegang heeft tot faciliteiten die informatie verwerken, en, in het bijzonder, indien het hierbij gaat om vertrouwelijke informatie (bijvinanciële, persoonlijke of medische informatie of zeer vertrouwelijke informatie), behoort de organisatie ook verdere, meer gedetailleerde verificaties te overwegen.
+
+In procedures behoren criteria en beperkingen voor controleonderzoeken te worden gedefinieerd (bijvie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd).
+
+In situaties waarin de controle niet tijdig kan worden voltooid, behoren beperkende beheersmaatregelen te worden geïmplementeerd totdat de beoordeling is voltooid, bijvoorbeeld:
+
+a) uitgestelde 'onboarding';
+
+b) uitgestelde inzet van bedrijfsmiddelen van het bedrijf;
+
+c) 'onboarding' met beperkte toegang;
+
+d) beëindiging van het dienstverband.
+
+Deze controles behoren op gezette tijden te worden herhaald om te bevestigen dat personeel nog altijd geschikt is, afhankelijk van hoe essentieel de rol van een persoon is.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md
new file mode 100644
index 0000000..2ce25e8
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst.md
@@ -0,0 +1,61 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| | | | | ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.
+
+**Doel**
+
+Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging voor de rollen waarvoor zij mogelijk in aanmerking komen.
+
+
+
+
+**Richtlijn**
+
+In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
+
+a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6;
+
+b) wettelijke verantwoordelijkheden en rechten [bijvetreffende auteursrechtwetgeving of
+
+wetgeving inzake gegevensbescherming (zie 5 en 5)];
+
+c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5t/m 5);
+
+d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen informatie;
+
+e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt
+
+(zie 6.
+
+De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd.
+
+De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen.
+
+Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.
+
+**Overige informatie**
+
+Er kan een gedragscode worden gebruikt die de verantwoordelijkheden van het personeel in het kader van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, bescherming van persoonsgegevens, ethiek, passend gebruik van de informatie en andere gerelateerde
+
+bedrijfsmiddelen van de organisatie, alsmede ten aanzien van door de organisatie verwacht moreel verantwoord handelen.
+
+Een externe partij waarmee personeel van leveranciers is verbonden, kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken.
+
+Indien de organisatie geen rechtspersoon is en geen werknemers heeft, kan het equivalent van een contractuele overeenkomst en van contractuele voorwaarden in aanmerking worden genomen, overeenkomstig de richtlijnen van deze beheersmaatregel.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging.md
new file mode 100644
index 0000000..c6755d0
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging.md
@@ -0,0 +1,73 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Personeel van de organisatie en relevante belanghebbenden behoren een passend(e) bewustwording van, opleiding, training en bijscholing in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen.
+
+**Doel**
+
+Ervoor zorgen dat personeel en relevante belanghebbenden zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
+
+**Richtlijn**
+
+Algemeen
+
+Een bewustwordingsprogramma, -opleiding en -training voor informatiebeveiliging behoren te worden vastgesteld in overeenstemming met het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en relevante procedures inzake informatiebeveiliging van de organisatie, rekening houdend met de te beschermen informatie van de organisatie en de beheersmaatregelen voor informatiebeveiliging die zijn geïmplementeerd om de informatie te beschermen.
+
+Opleiding en training voor bewustwording van informatiebeveiliging behoort periodiek plaats te vindenen basisbewustwordingsprogramma, -opleiding en -training kunnen van toepassing zijn op nieuw personeel en op personeel dat naar nieuwe functies of rollen met substantieel andere informatiebeveiligingseisen overstapt.
+
+Om de kennisoverdracht en doeltreffendheid van het bewustwordings-, opleidings- of trainingsprogramma te testen behoort aan het eind van een bewustwordings-, opleidings- of trainingsactiviteit een beoordeling van het inzicht van het personeel te worden uitgevoerd.
+
+Bewustwording
+
+Een bewustwordingsprogramma voor informatiebeveiliging behoort erop gericht te zijn om personeel bewust te maken van hun verantwoordelijkheden voor informatiebeveiliging en de manieren waarop personeel zich van deze verantwoordelijkheden kan kwijten.
+
+Bij het plannen van het bewustwordingsprogramma behoort rekening te worden gehouden met de rollen van het personeel binnen de organisatie, met inbegrip van intern en extern personeel (bijvxterne consultants, personeel van leveranciers)e activiteiten in het bewustwordingsprogramma behoren op zo'n manier te worden gespreid en bij voorkeur regelmatig te worden uitgevoerd dat de activiteiten worden herhaald en nieuw personeel deze ook meemakenr behoort te worden voortgebouwd op lering die is getrokken uit informatiebeveiligingsincidenten.
+
+Het bewustwordingsprogramma behoort een aantal bewustwordingsactiviteiten te bevatten via passende fysieke of virtuele kanalen, zoals campagnes, boekjes, posters, nieuwsbrieven, websites, informatiesessies, briefings, e-learningmodules en e-mails.
+
+
+
+
+Bewustwording van informatiebeveiliging behoort algemene aspecten te omvatten zoals:
+
+a) de betrokkenheid van het management bij informatiebeveiliging in de gehele organisatie;
+
+b) de noodzaak van bekend zijn met en het voldoen aan de van toepassing zijnde regels en verplichtingen met betrekking tot informatiebeveiliging, rekening houdend met informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels, normen, wetten, statuten, regelgeving, contracten en overeenkomsten;
+
+c) persoonlijke verantwoordelijkheid voor eigen doen en laten, en algemene verantwoordelijkheden ten opzichte van het beveiligen of beschermen van informatie die eigendom is van de organisatie en belanghebbenden;
+
+d) basisprocedures op informatiebeveiliging [zoals het melden van informatiebeveiligings-
+
+gebeurtenissen (6] en basisbeheersmaatregelen [zoals wachtwoordbeveiliging (5)];
+
+e) contactpunten en bronnen voor aanvullende informatie en advies over informatiebeveiligings- aangelegenheden, met inbegrip van aanvullende materialen voor het verhogen van bewustwording van informatiebeveiliging.
+
+Opleiding en training
+
+De organisatie behoort een passend trainingsplan vast te stellen, voor te bereiden en te implementeren voor technische teams met rollen die specifieke vaardigheden en deskundigheid vereisenechnische teams behoren te beschikken over de vaardigheden voor het configureren en in
+
+stand houden van het vereiste beveiligingsniveau voor apparaten, systemen, toepassingen en dienstenndien er vaardigheden ontbreken, behoort de organisatie actie te ondernemen om deze vaardigheden te verwerven.
+
+Voor het opleidings- en trainingsprogramma behoren verschillende vormen te worden overwogen [bijvessen of zelfstudie, begeleiding door deskundig personeel of consultants (training in de praktijk), het rouleren van personeelsleden om verschillende activiteiten te volgen, mensen met de juiste vaardigheden werven en consultants inhuren]it kan via verschillende middelen worden geleverd, bijvlassikaal, via afstandsonderwijs, via internet, in eigen tempoechnisch personeel behoort zijn kennis op peil te houden door zich te abonneren op nieuwsbrieven en tijdschriften of door conferenties en evenementen te bezoeken die zich richten op technische en professionele verbetering.
+
+**Overige informatie**
+
+Bij het opstellen van een bewustwordingsprogramma is het belangrijk niet alleen de aandacht te richten op het 'wat' en 'hoe', maar ook op het 'waarom', indien mogelijket is belangrijk dat personeel het doel van informatiebeveiliging en de mogelijke uitwerking, positief en negatief, van het eigen gedrag op de organisatie begrijpt.
+
+Bewustwording van, opleiding en training in informatiebeveiliging kunnen onderdeel zijn van, of worden gegeven in combinatie met andere activiteiten, bijvoorbeeld algemene informatiemanagement-, ICT-, beveiligings-, privacy- of veiligheidstraining.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md
new file mode 100644
index 0000000..2513622
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.4_BT Disciplinaire procedure.md
@@ -0,0 +1,46 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ |
+| | | | | |
+| #Corrigerend | | #Reageren | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.
+
+**Doel**
+
+Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen begrijpen van schending van het informatiebeveiligingsbeleid, personeel en andere relevante belanghebbenden ervan weerhouden zich schuldig te maken aan een schending, en personeel en andere relevante belanghebbenden die zich schuldig hebben gemaakt aan een schending op de juiste manier aanpakken.
+
+**Richtlijn**
+
+De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5).
+
+De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals:
+
+a) de aard (wie, wat, wanneer, hoe) en ernst van de inbreuk en de gevolgen ervan;
+
+b) of de overtreding opzettelijk (kwaadwillig) of onopzettelijk (per ongeluk) was;
+
+c) of het al dan niet een eerste overtreding betreft;
+
+d) of de overtreder al dan niet naar behoren was opgeleid.
+
+Bij de reactie behoort rekening te worden gehouden met relevante eisen van wet- en regelgeving, statutaire, contractuele en bedrijfseisen evenals andere factoren voor zover vereiste disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat personeel en andere relevante belanghebbenden het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures voor informatiebeveiliging overtredenpzettelijke schendingen van het informatiebeveiligingsbeleid kunnen onmiddellijke maatregelen vereisen.
+
+**Overige informatie**
+
+Indien mogelijk behoort de identiteit van personen tegen wie disciplinaire actie wordt ondernomen overeenkomstig de toepasselijke eisen te worden beschermd.
+
+Wanneer personen blijk hebben gegeven van uitstekend gedrag met betrekking tot informatiebeveiliging, kunnen ze worden beloond om de informatiebeveiliging te bevorderen en goed gedrag te stimuleren.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md
new file mode 100644
index 0000000..52d6231
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband.md
@@ -0,0 +1,49 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging #Beheer_van_be- drijfsmiddelen | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden.
+
+**Doel**
+
+De belangen van de organisatie beschermen als onderdeel van de wijzigings- of beëindigingsprocedure van dienstverband of contracten.
+
+**Richtlijn**
+
+Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6erantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6ndere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden
+
+op het gebied van informatiebeveiliging bevatten.
+
+Wijzigingen in verantwoordelijkheid of dienstverband behoren te worden beheerst als het beëindigen van de desbetreffende verantwoordelijkheid of het desbetreffende dienstverband behoort te worden gecombineerd met het initiëren van de nieuwe verantwoordelijkheid of het nieuwe dienstverband.
+
+De informatiebeveiligingsrollen en -verantwoordelijkheden van een persoon die een rol of functie neerlegt of van rol of functie verandert, behoren te worden geïdentificeerd en op een andere persoon te worden overgedragen.
+
+Er behoort een proces te worden opgesteld om de wijzigingen en operationele procedures te communiceren naar het personeel, andere belanghebbenden en relevante contactpersonen (bijvlanten en leveranciers).
+
+Het proces voor het beëindigen of wijzigen van een dienstverband behoort ook te worden toegepast
+
+op extern personeel (dzeveranciers) wanneer een dienstverband van personeel, het contract of de functie bij de organisatie wordt beëindigd of wanneer er een verandering van functie binnen de organisatie is.
+
+**Overige informatie**
+
+In veel organisaties is de afdeling personeelszaken doorgaans verantwoordelijk voor de totale beëindigingsprocedure en werkt deze afdeling samen met de direct leidinggevende van de persoon die
+
+
+
+
+overstapt om de informatiebeveiligingsaspecten van de relevante procedures af te handelenls het gaat om personeel dat is ingehuurd via een externe partij (bijvia een leverancier), dan wordt deze beëindigingsprocedure uitgevoerd door de externe partij in overeenstemming met het contract tussen de organisatie en de externe partij.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md
new file mode 100644
index 0000000..9739708
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten.md
@@ -0,0 +1,73 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele capaciteiten** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+=======================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Personeelsbeveiliging #Informatiebescherming #Leveranciersrelaties | #Governance_en\_ |
+| | | | | |
+| | | | | Ecosysteem |
++------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.
+
+**Doel**
+
+De vertrouwelijkheid van informatie waartoe personeel of externe partijen toegang hebben handhaven.
+
+**Richtlijn**
+
+Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren de eis van bescherming van vertrouwelijke informatie te behandelen binnen juridisch afdwingbare voorwaardenertrouwelijkheids- of geheimhoudingsovereenkomsten zijn van toepassing op belanghebbenden en personeel van de organisatiep basis van de informatiebeveiligingseisen van een organisatie behoren de voorwaarden in de overeenkomsten te worden vastgesteld door te kijken naar de soort informatie waarmee de belanghebbenden of het personeel zullen omgaan, het classificatieniveau en het gebruik ervan en de toegestane toegang door de andere partijij het vaststellen van eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten, behoren de volgende elementen in overweging te worden genomen:
+
+a) een definitie van de te beschermen informatie (bijvertrouwelijke informatie);
+
+b) de verwachte looptijd van een overeenkomst, met inbegrip van gevallen waarin het nodig kan zijn
+
+de vertrouwelijkheid onbeperkt te handhaven of tot de informatie openbaar beschikbaar wordt;
+
+c) de vereiste acties als een overeenkomst is beëindigd;
+
+d) de verantwoordelijkheden en acties van de ondertekenaars betreffende het vermijden van
+
+onbevoegd openbaar maken van informatie;
+
+e) de eigendom van informatie, handelsgeheimen en intellectuele eigendom, en hoe dit zich verhoudt
+
+tot de bescherming van vertrouwelijke informatie;
+
+f) het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om de
+
+informatie te gebruiken;
+
+
+
+
+g) het recht om activiteiten waar vertrouwelijke informatie voor uiterst gevoelige omstandigheden bij
+
+is betrokken, te auditen en te monitoren;
+
+h) de procedure voor het notificeren en melden van ongeoorloofde openbaarmaking of lekken van
+
+vertrouwelijke informatie;
+
+i) de voorwaarden voor retourneren of vernietigen van informatie na beëindiging van de
+
+overeenkomst;
+
+j) de verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst.
+
+De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsovereenkomsten in aanmerking te nemen voor het rechtsgebied waarop deze van toepassing zijn (zie 5, 5, 5, 5).
+
+Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
+
+**Overige informatie**
+
+Vertrouwelijkheids- en geheimhoudingsovereenkomsten beschermen informatie van de organisatie en informeren de ondertekenaars over hun verantwoordelijkheid om informatie op een verantwoordelijke en bevoegde manier te beschermen, te gebruiken en openbaar te maken.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md
new file mode 100644
index 0000000..cbad6d6
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.7_BT Werken op afstand.md
@@ -0,0 +1,98 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===================================================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescher- ming #Fysieke_beveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.
+
+**Doel**
+
+De beveiliging van informatie waarborgen wanneer personeel op afstand werkt.
+
+**Richtlijn**
+
+Er is sprake van werken op afstand telkens wanneer personeel van de organisatie vanaf een locatie buiten het gebouw en/of terrein van de organisatie werkt en toegang maakt tot informatie, hetzij in gedrukte vorm of elektronisch via ICT-apparatuurmgevingen voor werken op afstand zijn onder andere omgevingen die worden aangeduid als 'telewerken', 'teleforenzen', 'flexibele werkplek', 'virtuele werkomgevingen' en 'onderhoud op afstand'.
+
+
+
+
+OPMERKING Het is mogelijk dat niet alle aanbevelingen in deze richtlijn kunnen worden toegepast als gevolg
+
+van lokale wet- en regelgeving in verschillende rechtsgebieden.
+
+Organisaties die activiteiten voor werken op afstand toestaan, behoren onderwerpspecifiek beleid inzake werken op afstand uit te vaardigen waarin de desbetreffende voorwaarden en beperkingen worden gedefinieerdaar van toepassing geacht, behoort rekening te worden gehouden met de volgende zaken:
+
+a) de bestaande of voorgestelde fysieke beveiliging van de locatie vanwaaraf op afstand wordt gewerkt, waarbij rekening wordt gehouden met de fysieke beveiliging van de locatie en de lokale omgeving, met inbegrip van de verschillende rechtsgebieden waar personeel zich bevindt;
+
+b) regels en beveiligingsmechanismen voor de fysieke werkomgeving op afstand, zoals afsluitbare archiefkasten, beveiligd transport tussen locaties en regels voor toegang op afstand, 'clear desk', het printen en verwijderen van informatie en andere gerelateerde bedrijfsmiddelen, en het melden van informatiebeveiligingsgebeurtenissen (zie 6;
+
+c) de verwachte fysieke werkomgevingen op afstand;
+
+d) de beveiligingseisen die voor communicatie gelden, waarbij rekening wordt gehouden met de behoefte aan toegang op afstand tot de systemen van de organisatie, de gevoeligheid van de informatie die wordt ingezien en via de communicatiekoppeling wordt doorgegeven, en de gevoeligheid van de systemen en toepassingen;
+
+e) het gebruik van toegang op afstand zoals virtuele desktoptoegang die verwerking en opslag van
+
+informatie op privéapparatuur ondersteunt;
+
+f) de dreiging van onbevoegde toegang tot informatie of middelen van andere gebruikers op de locatie
+
+vanwaaraf op afstand wordt gewerkt (bijvamilie en vrienden);
+
+g) de dreiging van onbevoegde toegang tot informatie of middelen door andere personen op openbare
+
+plekken;
+
+h) het gebruik van thuisnetwerken en openbare netwerken en de eisen of beperkingen van de
+
+configuratie van draadloze netwerkdiensten;
+
+i) het gebruik van beveiligingsmaatregelen, zoals firewalls en bescherming tegen malware;
+
+j) beveiligde mechanismen voor het op afstand inzetten en initialiseren van systemen;
+
+k) beveiligde mechanismen voor het authenticeren en inschakelen van speciale toegangsrechten, rekening houdend met de kwetsbaarheid van eenfactorauthenticatiemechanismen waarbij toegang tot het netwerk van de organisatie vanaf een externe locatie is toegestaan.
+
+De in acht te nemen richtlijnen en maatregelen behoren te omvatten:
+
+a) het beschikbaar stellen van passende apparatuur en opbergmeubelen voor de activiteiten van het werken op afstand, waarbij het gebruik van privéapparatuur die niet onder het beheer van de organisatie staat, niet is toegelaten;
+
+b) een definitie van geoorloofde werkzaamheden, de classificatie van informatie waarover men kan beschikken en de interne systemen en diensten waartoe de persoon die werkt op afstand, bevoegde toegang heeft;
+
+
+
+
+c) het voorzien in training voor personeel dat werkt op afstand en personeel dat ondersteuning biedt.
+
+Dit behoort ook in te gaan op hoe men veilig kan zakendoen tijdens het werken op afstand;
+
+d) het voorzien in passende communicatieapparatuur, met inbegrip van methoden voor het beveiligen van toegang op afstand, zoals eisen inzake schermvergrendeling en inactiviteitstimers; de mogelijkheid om de locatie van apparaten te traceren; de installatie van mogelijkheden om apparaten op afstand schoon te vegen;
+
+e) fysieke beveiliging;
+
+f) regels en richtlijnen voor toegang voor familie en bezoekers tot apparatuur en informatie;
+
+g) het beschikbaar stellen van ondersteuning en onderhoud van hardware en software;
+
+h) het regelen van de verzekering;
+
+i) de procedures voor de back-up en de bedrijfscontinuïteit;
+
+j) audit en monitoren van de beveiliging;
+
+k) intrekking van bevoegdheid en toegangsrechten en het inleveren van apparatuur na beëindiging
+
+van de werkactiviteiten op afstand.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen.md
new file mode 100644
index 0000000..90bdb31
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen.md
@@ -0,0 +1,61 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.
+
+**Doel**
+
+Tijdige, consistente en doeltreffende melding ondersteunen van informatiebeveiligingsgebeurtenissen die door personeel kunnen worden geïdentificeerd.
+
+**Richtlijn**
+
+Al het personeel en alle gebruikers behoren bewust te worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te melden om het effect van informatiebeveiligingsincidenten te voorkomen of tot het minimum te beperkenij behoren ook te worden geïnformeerd over de procedure voor het melden van informatiebeveiligingsgebeurtenissen en het contactpunt waar de gebeurtenissen behoren te worden gemeldet meldmechanisme behoort zo eenvoudig, toegankelijk en beschikbaar mogelijk te zijnnformatiebeveiligingsgebeurtenissen zijn onder andere incidenten, inbreuken en kwetsbaarheden.
+
+
+
+
+Wat betreft het melden van informatiebeveiligingsgebeurtenissen, behoort rekening te worden gehouden met de volgende situaties:
+
+a) ondoeltreffende informatiebeveiligingsbeheersmaatregelen;
+
+b) schending van informatievertrouwelijkheid, -integriteit of aanwezige verwachtingen;
+
+c) menselijke fouten;
+
+d) het niet naleven van het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels of
+
+toepasselijke normen;
+
+e) schending van fysieke beveiligingsmaatregelen;
+
+f) wijzigingen aan systemen die niet het proces voor wijzigingsbeheer hebben doorlopen;
+
+g) storingen of ander afwijkend systeemgedrag van software of hardware;
+
+h) overtredingen van de toegangsregeling;
+
+i) kwetsbaarheden;
+
+j) vermoedelijke besmetting door malware.
+
+Personeel en gebruikers behoort te worden geadviseerd niet te proberen om de vermeende aanwezigheid van kwetsbaarheden op het gebied van informatiebeveiliging aan te tonenet testen op kwetsbaarheden kan worden uitgelegd als potentieel misbruik van het systeem en kan ook schade veroorzaken aan het informatiesysteem en het kan digitaal bewijs corrumperen of aan het oog onttrekkeniteindelijk kan dit leiden tot wettelijke aansprakelijkheid voor de persoon die de tests uitvoert.
+
+**Overige informatie**
+
+Zie de ISO/IEC 27035-reeks voor aanvullende informatie.
+
+# 7 Fysieke beheersmaatregelen
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md
new file mode 100644
index 0000000..7289c64
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.10_BT Opslagmedia.md
@@ -0,0 +1,96 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.
+
+**Doel**
+
+Uitsluitend geoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van informatie op opslagmedia bewerkstelligen.
+
+
+
+
+**Richtlijn**
+
+Verwijderbare opslagmedia
+
+Voor het beheren van verwijderbare opslagmedia behoren de volgende richtlijnen te worden overwogen:
+
+a) onderwerpspecifiek beleid inzake het beheer van verwijderbare opslagmedia vaststellen en dit onderwerpspecifieke beleid communiceren aan iedereen die verwijderbare opslagmedia gebruikt of hanteert;
+
+b) indien nodig en haalbaar, goedkeuring vereisen om opslagmedia uit de organisatie te verwijderen
+
+en een registratie van dergelijke verwijderingen bijhouden om een audittraject te onderhouden;
+
+c) alle opslagmedia opslaan in een veilige, beveiligde omgeving overeenkomstig de desbetreffende informatieclassificatie en beschermen tegen dreigingen van buitenaf (zoals warmte, vocht, luchtvochtigheid, elektronische velden of veroudering), overeenkomstig de specificaties van de fabrikant;
+
+d) indien vertrouwelijkheid of integriteit van informatie belangrijke overwegingen zijn,
+
+cryptografische technieken gebruiken om informatie op verwijderbare media te beschermen;
+
+e) om het risico te verkleinen dat opslagmedia in kwaliteit achteruitgaan terwijl de opgeslagen informatie nog nodig is, de informatie op nieuwe opslagmedia overbrengen voordat deze onleesbaar wordt;
+
+f) van waardevolle informatie meerdere kopieën op afzonderlijke opslagmedia opslaan om het risico
+
+op toevallige beschadiging of verlies van informatie verder te beperken;
+
+g) verwijderbare opslagmedia registreren om de kans dat informatie verloren gaat, te beperken;
+
+h) poorten voor verwijderbare opslagmedia (bijvD-kaartsleuven en USB-poorten) alleen
+
+inschakelen indien er vanuit de organisatie een reden voor het gebruik ervan is;
+
+i) als er behoefte is om verwijderbare opslagmedia te gebruiken, de overdracht van informatie op
+
+dergelijke opslagmedia monitoren;
+
+j) informatie kan tijdens fysiek transport gevoelig zijn voor onbevoegde toegang, misbruik of
+
+beschadiging, bijvoorbeeld wanneer opslagmedia per post- of koeriersdienst worden verzonden.
+
+In deze beheersmaatregel worden onder media ook papieren documenten verstaanas bij het transport van fysieke opslagmedia de beveiligingsmaatregelen van 5 toe.
+
+Beveiligd hergebruiken of verwijderen
+
+Voor het beveiligd hergebruiken of verwijderen van opslagmedia behoren procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomte procedures voor het beveiligd hergebruiken of verwijderen van opslagmedia die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatieet de volgende aspecten behoort rekening te worden gehouden:
+
+a) indien het nodig is opslagmedia met vertrouwelijke informatie te hergebruiken binnen de organisatie: op beveiligde wijze voorafgaand aan het hergebruik gegevens wissen of opslagmedia formatteren (zie 8);
+
+b) opslagmedia met vertrouwelijke informatie op beveiligde wijze verwijderen als ze niet meer nodig
+
+zijn (bijvoor ze te vernietigen, versnipperen of de inhoud ervan op beveiligde wijze te wissen);
+
+
+
+
+c) procedures instellen om media te identificeren waarvan het nodig kan zijn ze veilig te verwijderen;
+
+d) veel organisaties bieden inzamelings- en verwijderingsdiensten aan voor opslagmediaen geschikte externe leverancier met toereikende beheersmaatregelen en ervaring behoort met zorg te worden gekozen;
+
+e) de verwijdering van gevoelige zaken in een logbestand bijhouden om een audittraject te
+
+onderhouden;
+
+f) bij het accumuleren van opslagmedia voor verwijdering rekening houden met het aggregatie-effect,
+
+waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden.
+
+Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7).
+
+**Overige informatie**
+
+Als vertrouwelijke informatie op opslagmedia niet versleuteld is, behoort aanvullende fysieke bescherming van de opslagmedia te worden overwogen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen.md
new file mode 100644
index 0000000..d4f3d53
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen.md
@@ -0,0 +1,61 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+---------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+========================+=====================+
+| #Preventief | #Integriteit | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+| | | | | |
+| #Detectief | #Beschikbaarheid | #Detecteren | | |
++------------------------+---------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatieverwerkende faciliteiten behoren te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.
+
+**Doel**
+
+Verlies, schade of compromittering van informatie en andere gerelateerde bedrijfsmiddelen of onderbreking van de bedrijfsvoering van de organisatie vanwege verstoring en ontregeling van ondersteunende nutsvoorzieningen voorkomen.
+
+**Richtlijn**
+
+Organisaties zijn afhankelijk van nutsvoorzieningen (bijvlektriciteit, telecommunicatie, water, gas, riolering, ventilatie en airconditioning) om hun informatieverwerkende faciliteiten te ondersteunenaarom behoort de organisatie:
+
+a) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, geconfigureerd, bediend
+
+en onderhouden wordt volgens de specificaties van de desbetreffende fabrikant;
+
+b) te bewerkstelligen dat nutsvoorzieningen regelmatig worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
+
+c) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, regelmatig wordt
+
+geïnspecteerd en getest om te garanderen dat deze naar behoren functioneert;
+
+
+
+
+d) zo nodig te voorzien in alarmmeldingen om disfunctioneren van nutsvoorzieningen te detecteren;
+
+e) voor zover nodig, te bewerkstelligen dat nutsvoorzieningen over meervoudige aanvoer of voeding
+
+via verschillende fysieke routes beschikken;
+
+f) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt en met een netwerk is
+
+verbonden, met een ander netwerk is verbonden dan de informatieverwerkende faciliteiten;
+
+g) te bewerkstelligen dat apparatuur die de nutsvoorzieningen ondersteunt, uitsluitend op beveiligde
+
+wijze en slechts wanneer dat nodig is met het internet wordt verbonden.
+
+Noodverlichting en communicatiemiddelen behoren aanwezig te zijnabij nooduitgangen of ruimten waar apparatuur aanwezig is, behoren noodschakelaars en knoppen te zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeldontactgegevens voor noodgevallen behoren te worden geregistreerd en bij uitval ter beschikking van het personeel te staan.
+
+**Overige informatie**
+
+Redundantie voor netwerkverbinding kan worden verkregen via meerdere routes vanaf meer dan één aanbieder.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling.md
new file mode 100644
index 0000000..f5d5b2f
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling.md
@@ -0,0 +1,65 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+| | | | | |
+| | #Beschikbaarheid | | | |
++------------------------+----------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen onderschepping, interferentie of beschadiging.
+
+**Doel**
+
+Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie in verband met voedings- en communicatiekabels voorkomen.
+
+**Richtlijn**
+
+Met de volgende richtlijnen voor beveiligen van bekabeling behoort rekening te worden gehouden:
+
+a) voedings- en telecommunicatieleidingen naar informatieverwerkende faciliteiten: waar mogelijk onder de grond of op een andere passende wijze beschermd, zoals met een vloerkabelgoot en een nutspaal; ondergrondse kabels: beschermd tegen onopzettelijk doorsteken (bijvet een mantel of detectiesignalen);
+
+b) voedingskabels van communicatiekabels scheiden om interferentie te voorkomen;
+
+
+
+
+c) voor gevoelige of essentiële systemen kunnen de volgende aanvullende beheersmaatregelen
+
+worden overwogen:
+
+1) de installatie van gewapende kabelgoten en afgesloten kamers of dozen en alarmen bij inspectie-
+
+en afsluitpunten;
+
+2) het gebruik van elektromagnetische afscherming ter bescherming van de kabels;
+
+3) periodieke technische schoonmaakbeurten en fysieke controles om aansluiting van
+
+niet-goedgekeurde apparaten op de kabels op te sporen;
+
+4) beveiligde toegang tot schakelpanelen en kabelruimten (bijvet mechanische sleutels of
+
+pincodes);
+
+5) het gebruik van glasvezelkabels;
+
+d) kabels aan elk uiteinde voorzien van labels met voldoende informatie over de bron en de
+
+bestemming om fysieke identificatie en inspectie van de kabel mogelijk te maken.
+
+Specialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit incidenten met of disfunctioneren van kabels.
+
+**Overige informatie**
+
+Soms worden voedings- en telecommunicatiekabels door meer dan één organisatie op één locatie gedeeld.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md
new file mode 100644
index 0000000..089e954
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur.md
@@ -0,0 +1,65 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
+| | | | | |
+| | | | | #Veerkracht |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Apparatuur behoort op de juiste wijze te worden onderhouden om de beschikbaarheid, integriteit en betrouwbaarheid van informatie te garanderen.
+
+**Doel**
+
+Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie door gebrekkig onderhoud voorkomen.
+
+**Richtlijn**
+
+De volgende richtlijnen voor onderhoud van apparatuur behoren in aanmerking te worden genomen:
+
+a) apparatuur in overeenstemming met de door de leverancier aanbevolen frequentie voor
+
+servicebeurten en voorschriften onderhouden;
+
+b) het door de organisatie implementeren en monitoren van een onderhoudsprogramma;
+
+
+
+
+c) alleen bevoegd onderhoudspersoneel reparaties en onderhoud aan apparatuur laten uitvoeren;
+
+d) registraties bijhouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en
+
+corrigerende onderhoud;
+
+e) passende beheersmaatregelen implementeren wanneer onderhoud van apparatuur is gepland, rekening houdend met of dit onderhoud wordt uitgevoerd door personeel ter plaatse of door extern personeel, waarbij het onderhoudspersoneel gehouden is aan een passende geheimhoudingsovereenkomst;
+
+f) toezicht houden op onderhoudspersoneel tijdens het uitvoeren van onderhoud ter plaatse;
+
+g) toegang voor onderhoud op afstand op basis van autorisatie toestaan en beveiligen;
+
+h) beveiligingsmaatregelen voor bedrijfsmiddelen buiten het gebouw en/of terrein (zie 7 toepassen indien apparatuur die informatie bevat, voor onderhoud buiten het gebouw en/of terrein wordt gebracht;
+
+i) voldoen aan alle door de verzekering opgelegde onderhoudseisen;
+
+j) voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, een inspectie uitvoeren om te
+
+waarborgen dat er niet is geknoeid met de apparatuur en dat deze naar behoren functioneert;
+
+k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparatuur (zie 7)
+
+indien wordt vastgesteld dat het nodig is apparatuur te verwijderen.
+
+**Overige informatie**
+
+Apparatuur omvat technische componenten van informatieverwerkende faciliteiten, UPS, batterijen en accu's, stroomgeneratoren, wisselstroomgeneratoren en vermogensomzetters, fysieke inbraakdetectiesystemen en -alarmen, rookmelders, brandblussers, airconditioning en liften.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur.md
new file mode 100644
index 0000000..b6801bd
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur.md
@@ -0,0 +1,70 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt.
+
+**Doel**
+
+Het lekken van informatie via af te voeren of te hergebruiken apparatuur voorkomen.
+
+**Richtlijn**
+
+Voorafgaand aan verwijdering of hergebruik behoort te worden gecontroleerd of apparatuur opslagmedia bevat.
+
+
+
+
+Opslagmedia die vertrouwelijke of door auteursrecht beschermde informatie bevatten, behoren, in plaats van met de standaard 'delete'-functie te worden gewist, fysiek te worden vernietigd of de informatie behoort te worden vernietigd, verwijderd of overschreven met gebruikmaking van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halenie 7 voor gedetailleerde richtlijnen over het veilig verwijderen van opslagmedia en 8 voor richtlijnen over het wissen van informatie.
+
+Labels en markeringen waarmee de organisatie wordt geïdentificeerd of die de classificatie, de eigenaar, het systeem of het netwerk aangeven, behoren voorafgaand aan het verwijderen, waaronder begrepen doorverkopen of aan een goed doel schenken, van de opslagmedia te worden verwijderd.
+
+De organisatie behoort te overwegen beveiligingsbeheersmaatregelen zoals toegangsbeveiligingsmaatregelen of bewakingsapparatuur aan het einde van de huurovereenkomst of bij verhuizing uit het gebouw te verwijderenit is afhankelijk van factoren zoals:
+
+a) de huurovereenkomst om de faciliteit in de oorspronkelijke staat terug te brengen;
+
+b) het minimaliseren van het risico dat systemen met gevoelige informatie erop worden achtergelaten voor de volgende huurder (bijvijsten van welke gebruikers toegang hebben gehad, video- of beeldbestanden);
+
+c) de mogelijkheid om de beheersmaatregelen in de volgende faciliteit opnieuw te gebruiken.
+
+**Overige informatie**
+
+Voor beschadigde apparatuur die opslagmedia bevat, kan een risicobeoordeling nodig zijn om vast te stellen of het desbetreffende onderdeel van de apparatuur fysiek behoort te worden vernietigd in plaats van te worden gerepareerd of verwijderdnformatie kan worden gecompromitteerd door onzorgvuldige verwijdering of door hergebruik van apparatuur.
+
+Naast zorgvuldig wissen van de schijf vermindert codering van de volledige schijf het risico op openbaarmaking van vertrouwelijke informatie als de apparatuur van de hand wordt gedaan of opnieuw wordt ingezet, mits:
+
+a) de codering voldoende sterk is en de gehele schijf omvat (met inbegrip van 'slack space', swap-
+
+bestanden);
+
+b) de cryptografische sleutels lang genoeg zijn om met grove middelen uitgevoerde aanvallen te
+
+weerstaan;
+
+c) de cryptografische sleutels vertrouwelijk worden behandeld (bijvooit op dezelfde schijf worden
+
+bewaard).
+
+Zie voor verder advies over cryptografie 8.
+
+De technieken voor het op beveiligde wijze overschrijven van opslagmedia verschillen afhankelijk van de opslagmediatechnologie en het classificatieniveau van de informatie op de opslagmediaverschrijvingsinstrumenten behoren te worden beoordeeld om er zeker van te zijn dat ze geschikt zijn voor de technologie van het opslagmedium.
+
+Zie ISO/IEC 27040 voor nadere informatie over methoden om opslagmedia leeg te maken.
+
+
+
+
+# 8 Technologische beheersmaatregelen
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones.md
new file mode 100644
index 0000000..a770425
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones.md
@@ -0,0 +1,43 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiëren en te gebruiken.
+
+
+
+
+**Doel**
+
+Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie voorkomen.
+
+**Richtlijn**
+
+Voor zover van toepassing behoren de volgende richtlijnen voor fysieke beveiligingszones te worden overwogen:
+
+a) beveiligingszones en de locatie en sterkte van elk van de buitengrenzen definiëren overeenkomstig
+
+de informatiebeveiligingseisen met betrekking tot bedrijfsmiddelen binnen de beveiligingszone;
+
+b) beschikken over fysiek solide buitengrenzen voor een gebouw of locatie met informatieverwerkende faciliteiten (dzat er geen zwakke plekken mogen zitten in de buitengrenzen of beveiligingszones waardoor men gemakkelijk kan inbreken)e constructie van de buitendaken, -muren, -plafonds en -vloeren van de locatie behoort gedegen te zijn en alle buitendeuren behoren op passende wijze met toegangsbeveiligingsmechanismen (bijvtangen, alarmen, sloten) te worden beschermd tegen toegang door onbevoegdeneuren en ramen behoren afgesloten te zijn als er geen toezicht is en er behoort externe bescherming te worden overwogen voor ramen, met name op de begane grond; ook aan ventilatiepunten behoort aandacht te worden besteed;
+
+c) alle branddeuren die deel uitmaken van een beveiligingszone, van alarmsystemen voorzien en ze in combinatie met de muren monitoren en testen om vast te stellen of ze het vereiste weerstandsniveau, overeenkomstig geschikte normen, biedene behoren faalveilig te werken.
+
+**Overige informatie**
+
+Fysieke bescherming kan worden verkregen door een of meer fysieke barrières rond het gebouw en/of terrein en de informatieverwerkende faciliteiten van de organisatie aan te brengen.
+
+Een beveiligd gebied kan een afsluitbaar kantoor zijn of diverse ruimten omgeven door een ononderbroken interne fysieke beveiligingsbarrièreussen zones met verschillende beveiligingseisen binnen de beveiligingszone kunnen extra barrières en buitengrenzen nodig zijn om fysieke toegang te beheersene organisatie behoort te overwegen fysieke beveiligingsmaatregelen in te voeren die tijdens situaties waar er sprake is van een verhoogd dreigingsniveau kunnen worden versterkt.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md
new file mode 100644
index 0000000..68c8e21
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging.md
@@ -0,0 +1,126 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+==========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Beveiligde zones behoren te worden beschermd door passende toegangscontroles en toegangspunten.
+
+**Doel**
+
+Bewerkstelligen dat er alleen bevoegde fysieke toegang tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie plaatsvindt.
+
+
+
+
+**Richtlijn**
+
+Algemeen
+
+Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het gebouw en/of terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) uitsluitend bevoegd personeel toegang verlenen tot locaties en gebouwenet proces voor het beheer van toegangsrechten tot fysieke zones behoort het toekennen, periodiek herzien, bijwerken en intrekken van autorisaties te omvatten (zie 5);
+
+b) veilig een fysiek logboek of elektronisch audittraject van alle toegang onderhouden en monitoren
+
+en alle logbestanden (zie 5) en gevoelige authenticatie-informatie beschermen;
+
+c) een proces en technische mechanismen voor het beheer van de toegang tot zones waar informatie wordt verwerkt of opgeslagen, opstellen en implementerenuthenticatiemechanismen omvatten het gebruik van toegangspassen, biometrische authenticatie of tweefactorauthenticatie, zoals een toegangspas en een geheime pincodeubbele veiligheidsdeuren behoren te worden overwogen voor toegang tot gevoelige zones;
+
+d) een ontvangstgebied dat door personeel wordt gemonitord, opzetten of andere middelen om de
+
+fysieke toegang tot de locatie of het gebouw te beheersen;
+
+e) de persoonlijke bezittingen van personeel en belanghebbenden bij het binnenkomen en weggaan
+
+inspecteren en onderzoeken;
+
+OPMERKING Er kan lokale wet- en regelgeving bestaan inzake de mogelijkheid persoonlijke bezittingen te
+
+inspecteren.
+
+f) van al het personeel en alle belanghebbenden verlangen dat zij een bepaalde vorm van zichtbare identificatie dragen en dat zij onmiddellijk beveiligingspersoneel op de hoogte stellen als zij bezoekers zonder begeleiding en personen die geen zichtbare identificatie dragen, tegenkomenemakkelijk te herkennen badges behoren te worden overwogen om vaste werknemers, leveranciers en bezoekers beter te kunnen identificeren;
+
+g) personeel van leveranciers alleen wanneer toegang vereist is, beperkte toegang verlenen tot beveiligde zones of informatieverwerkende faciliteiteneze toegang behoort gebaseerd te zijn op autorisatie en te worden gemonitord;
+
+h) speciale aandacht geven aan de fysieke toegangsbeveiliging van gebouwen die bedrijfsmiddelen
+
+voor meerdere organisaties bevatten;
+
+i) fysieke beveiligingsmaatregelen dusdanig ontwerpen dat ze kunnen worden versterkt indien het
+
+meer aannemelijk wordt dat er zich fysieke incidenten gaan voordoen;
+
+j) andere toegangspunten zoals nooduitgangen tegen onbevoegde toegang beveiligen;
+
+k) een sleutelbeheerproces opzetten om ervoor te zorgen dat de fysieke sleutels of authenticatie-
+
+informatie (bijvlotcodes, combinatiesloten voor kantoren, ruimten en faciliteiten zoals
+
+sleutelkasten) worden beheerd en om een logboek of jaarlijkse sleutelaudit te bewerkstelligen en
+
+ervoor te zorgen dat de toegang tot fysieke sleutels of authenticatie-informatie wordt beveiligd (zie
+
+5 voor verdere richtlijnen over authenticatie-informatie).
+
+
+
+
+Bezoekers
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) met passende middelen de identiteit van bezoekers vaststellen;
+
+b) de datum en het tijdstip van binnenkomst en vertrek van bezoekers registreren;
+
+c) bezoekers alleen toegang verlenen voor specifieke, toegestane doeleinden en ze instructies geven
+
+over de veiligheidseisen voor de zone en over noodprocedures;
+
+d) toezicht houden op alle bezoekers, tenzij er een uitdrukkelijke uitzondering is verleend.
+
+Laad- en loslocaties en inkomend materiaal
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) uitsluitend geïdentificeerd en bevoegd personeel toegang verlenen tot laad- en loslocaties van
+
+buiten het gebouw;
+
+b) de laad- en loslocaties dusdanig ontwerpen dat leveringen kunnen worden geladen en gelost
+
+zonder dat de leverancier onbevoegde toegang heeft tot andere zones van het gebouw;
+
+c) de buitendeuren van laad- en loslocaties beveiligen als deuren naar beperkt toegankelijke zones
+
+open zijn;
+
+d) inkomende leveringen controleren en onderzoeken op explosieven, chemicaliën of andere
+
+gevaarlijke materialen voordat ze vanaf laad- en loslocaties worden overgebracht;
+
+e) inkomende leveringen bij binnenkomst op de zone in overeenstemming met de procedures voor
+
+bedrijfsmiddelenbeheer registreren (zie 5en 7);
+
+f) waar mogelijk, inkomende en uitgaande zendingen fysiek scheiden;
+
+g) inkomende leveringen inspecteren op bewijs van manipulatie onderwegndien vervalsing wordt
+
+ontdekt, behoort dit direct aan beveiligingspersoneel te worden gemeld.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten.md
new file mode 100644
index 0000000..493e6b4
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten.md
@@ -0,0 +1,41 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en geïmplementeerd.
+
+
+
+
+**Doel**
+
+Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie in kantoren, ruimten en faciliteiten voorkomen.
+
+**Richtlijn**
+
+Bij het beveiligen van kantoren, ruimten en faciliteiten behoren de volgende richtlijnen in aanmerking te worden genomen:
+
+a) essentiële faciliteiten dusdanig positioneren dat wordt vermeden dat het publiek er toegang toe
+
+heeft;
+
+b) indien van toepassing, bewerkstelligen dat gebouwen onopvallend zijn en zo min mogelijk aanwijzingen geven over het gebruiksdoel ervan, zonder duidelijke tekenen binnen of buiten het gebouw die op de aanwezigheid van informatieverwerkende activiteiten duiden;
+
+c) faciliteiten zo configureren dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijnoor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen;
+
+d) ervoor zorgen dat adreslijsten, interne telefoongidsen en online toegankelijke plattegronden met daarop de locaties van faciliteiten waar vertrouwelijke informatie wordt verwerkt, niet gemakkelijk beschikbaar zijn voor onbevoegden.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging.md
new file mode 100644
index 0000000..f8cc2ef
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging.md
@@ -0,0 +1,63 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
+| | | | | |
+| #Detectief | | #Detecteren | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Het gebouw en terrein behoort voortdurend te worden gemonitord op onbevoegde fysieke toegang.
+
+**Doel**
+
+Onbevoegde fysieke toegang detecteren en ontmoedigen.
+
+**Richtlijn**
+
+Fysieke terreinen en gebouwen behoren te worden bewaakt door bewakingssystemen die kunnen bestaan uit bewakers, inbraakalarmen, videobewakingssystemen zoals gesloten televisiecircuits en software voor het beheer van informatie over fysieke beveiliging die intern of door een aanbieder van bewakingsdiensten wordt beheerd.
+
+
+
+
+De toegang tot gebouwen waarin kritieke systemen zijn ondergebracht, behoort voortdurend te worden gemonitord om toegang door onbevoegden of verdacht gedrag te detecteren door:
+
+a) videomonitoringssystemen, zoals gesloten televisiecircuits, te installeren om de toegang tot gevoelige zones binnen en buiten het terrein en de gebouwen van een organisatie te bekijken en te registreren;
+
+b) contact-, geluids- of bewegingsmelders die een inbraakalarm in werking stellen, volgens de
+
+desbetreffende toepasselijke normen te installeren en periodiek te testen, bijvoorbeeld:
+
+1) op elke plaats waar contact kan worden gemaakt of verbroken (zoals ramen en deuren en onder voorwerpen), contactmelders die een alarm geven wanneer een contact wordt gemaakt of verbroken, voor gebruik als paniekalarm installeren;
+
+2) bewegingsmelders op basis van infraroodtechnologie installeren die een alarm veroorzaken
+
+wanneer een voorwerp hun gezichtsveld passeert;
+
+3) sensoren installeren die gevoelig zijn voor het geluid van brekend glas en die een alarm in
+
+werking kunnen stellen dat de beveiligingsmedewerkers alarmeert.
+
+c) met de alarmsystemen alle buitendeuren en toegankelijke ramen af te dekkeneegstaande
+
+ruimten behoren te allen tijde met een alarm beveiligd te zijn; er behoort ook te worden voorzien in dekking voor andere ruimten (bijvomputer- of communicatieruimten).
+
+Het ontwerp van monitoringsystemen behoort geheim te worden gehouden omdat openbaarmaking ervan onopgemerkte inbraken mogelijk kan maken.
+
+Om te voorkomen dat onbevoegden toegang hebben tot bewakingsinformatie, zoals videobeelden, of dat systemen op afstand worden uitgeschakeld, behoren monitoringsystemen te worden beschermd tegen toegang door onbevoegden.
+
+Het bedieningspaneel van het alarmsysteem behoort in een met een alarm beveiligde zone te worden geplaatst en, in het geval van veiligheidsalarmen, op een plek die het voor de persoon die het alarm instelt, gemakkelijk maakt om de zone te verlatenet bedieningspaneel en de detectoren behoren te zijn voorzien van manipulatiebestendige mechanismenet systeem behoort regelmatig te worden getest om te garanderen dat het naar behoren werkt, met name als de onderdelen ervan op batterijen werken.
+
+Elk monitoring- en opnamemechanisme behoort te worden gebruikt met inachtneming van de plaatselijke wet- en regelgeving, met inbegrip van de wetgeving inzake gegevensbescherming en de bescherming van persoonsgegevens, met name wat betreft het monitoren van werknemers en de bewaringstermijnen voor video-opnamen.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen.md
new file mode 100644
index 0000000..ff67a2f
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen.md
@@ -0,0 +1,55 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen van de infrastructuur, te worden ontworpen en geïmplementeerd.
+
+**Doel**
+
+De gevolgen van gebeurtenissen die voortvloeien uit fysieke en omgevingsdreigingen, voorkomen of beperken.
+
+**Richtlijn**
+
+Risicobeoordelingen om de potentiële gevolgen van fysieke en omgevingsdreigingen te identificeren, behoren voorafgaand aan kritische activiteiten op een fysieke locatie en met regelmatige tussenpozen te worden uitgevoerde nodige voorzorgsmaatregelen behoren te worden getroffen en veranderingen in de dreigingen behoren te worden gemonitordpecialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit fysieke en omgevingsdreigingen, zoals brand, overstroming, aardbeving, explosie, oproer, toxisch afval, uitstoot van milieubelastende stoffen en andere vormen van natuurrampen of door personen veroorzaakte rampen.
+
+Bij het bepalen van de locatie en het aanleggen en bouwen van fysieke terreinen en gebouwen behoort rekening te worden gehouden met:
+
+a) de topografie ter plaatse, zoals de juiste hoogteligging, watermassa\'s en breuklijnen langs
+
+tektonische platen;
+
+b) dreigingen die inherent zijn aan stedelijke omgevingen, zoals locaties met een hoog risicoprofiel
+
+wat betreft het aantrekken van politieke onrust, criminele activiteiten of terrorisme.
+
+Op basis van de resultaten van de risicobeoordelingen behoren de relevante fysieke en omgevingsdreigingen te worden geïdentificeerd en behoort te worden nagedacht over passende beheersmaatregelen in de volgende contexten, bij wijze van voorbeeld:
+
+a) brand: systemen die vroegtijdig brand kunnen detecteren, installeren en configureren zodat deze brandmeldingen doen of blussystemen in werking stellen, om brandschade aan opslagmedia en gerelateerde informatieverwerkende systemen te voorkomenrand behoort te worden geblust met de meest passende stof voor wat betreft de omgeving (bijvas in besloten ruimten);
+
+b) overstroming: systemen die overstroming in een vroeg stadium kunnen detecteren, installeren onder de vloeren van ruimten met opslagmedia of informatieverwerkende systemenaterpompen of gelijkwaardige middelen behoren onmiddellijk beschikbaar te zijn voor het geval er zich een overstroming voordoet;
+
+
+
+
+c) stroompieken: systemen die zowel server- als clientinformatiesystemen tegen stroompieken of soortgelijke gebeurtenissen kunnen beschermen, implementeren om de gevolgen van dergelijke gebeurtenissen tot een minimum te beperken;
+
+d) explosieven en wapens: steekproefsgewijze inspecties verrichten naar de aanwezigheid van explosieven of wapens bij personeel, in voertuigen of in goederen die faciliteiten binnenkomen waar gevoelige informatie wordt verwerkt.
+
+**Overige informatie**
+
+Kluizen en andere vormen van beveiligde opslagvoorzieningen kunnen de daarin opgeslagen informatie beschermen tegen rampen zoals brand, aardbeving, overstroming of explosie.
+
+Organisaties kunnen de concepten van criminaliteitspreventie door het ontwerp van de omgeving in overweging nemen bij het ontwerpen van de beheersmaatregelen om hun omgeving te beveiligen en dreigingen die inherent zijn aan stedelijke omgevingen, te beperkenn plaats van verkeerspalen te gebruiken, kunnen bijvoorbeeld standbeelden of waterpartijen als decoratie en als fysieke barrière fungeren.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones.md
new file mode 100644
index 0000000..251e176
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones.md
@@ -0,0 +1,53 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voor het werken in beveiligde zones behoren beveiligingsmaatregelen te worden ontwikkeld en geïmplementeerd.
+
+**Doel**
+
+Informatie en andere gerelateerde bedrijfsmiddelen in beveiligde zones beschermen tegen schade en onbevoegde verstoring door personeel dat in deze zones aan het werk is.
+
+**Richtlijn**
+
+De beveiligingsmaatregelen voor het werken in beveiligde gebieden behoren van toepassing te zijn op al het personeel en behoren alle activiteiten te bestrijken die in de beveiligde zone plaatsvinden.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) het personeel op grond van 'need-to-know' alleen bekend maken met het bestaan van de
+
+activiteiten in een beveiligde zone.
+
+b) zonder toezicht werken in beveiligde gebieden vermijden, zowel om veiligheidsredenen als om de
+
+kansen op kwaadaardige activiteiten te beperken;
+
+c) leegstaande beveiligde gebieden fysiek afsluiten en regelmatig inspecteren;
+
+d) foto-, video-, audio- of andere opnameapparatuur, zoals camera's in 'endpoint devices' van
+
+gebruikers, alleen toelaten als hiervoor autorisatie is verleend;
+
+
+
+
+e) het in beveiligde gebieden meenemen en gebruiken van 'endpoint devices' van gebruikers naar
+
+behoren beheersen;
+
+f) noodprocedures duidelijk zichtbaar en toegankelijk ophangen.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.7_BT 'Clear desk' en 'clear screen'.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.7_BT 'Clear desk' en 'clear screen'.md
new file mode 100644
index 0000000..8b92a85
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.7_BT 'Clear desk' en 'clear screen'.md
@@ -0,0 +1,55 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming |
++------------------------+----------------------+----------------------+------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren 'clear desk'-regels voor papieren documenten en verwijderbare opslagmedia en 'clear screen'-regels voor informatieverwerkende faciliteiten te worden gedefinieerd en op passende wijze ten uitvoer worden gebracht.
+
+**Doel**
+
+De risico\'s op onbevoegde toegang tot, verlies van en schade aan informatie op bureaus, schermen en op andere toegankelijke plaatsen tijdens en buiten de gebruikelijke werkuren beperken.
+
+**Richtlijn**
+
+De organisatie behoort een onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen' vast te stellen en aan alle relevante belanghebbenden mee te delen.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden:
+
+a) gevoelige of essentiële bedrijfsinformatie (bijvp papier of op elektronische opslagmedia) in een afgesloten ruimte bewaren (idealiter in een kluis, een kast of een andere vorm van beveiligd meubilair) wanneer deze informatie niet vereist is, met name als er niemand in het kantoor is.
+
+b) 'endpoint devices' van gebruikers beschermen met sleutelsloten of andere beveiligingsmiddelen
+
+wanneer deze onbeheerd of niet in gebruik zijn;
+
+c) ervoor zorgen dat onbeheerde 'endpoint devices' van gebruikers uitgelogd zijn of beschermd zijn met een scherm- en toetsenbordvergrendeling met gebruikersauthenticatielle computers en systemen behoren te worden geconfigureerd met een time-out of automatische afmeldfunctie;
+
+d) ervoor zorgen dat de persoon die een printopdracht geeft, de uitdraaien onmiddellijk uit de printer of het multifunctionele apparaat verwijdertebruik printers met een authenticatiefunctie, waardoor alleen degene die de code invoert en naast de printer staat, de afdrukken ontvangt;
+
+e) documenten en verwijderbare opslagmedia met gevoelige informatie veilig opslaan en ze, wanneer
+
+ze niet meer nodig zijn, met behulp van beveiligde verwijderingsmechanismen verwijderen;
+
+
+
+
+f) regels en richtlijnen voor het configureren van pop-ups op schermen vaststellen en communiceren (bijve pop-ups voor nieuwe e-mail en berichten zo mogelijk uitschakelen tijdens presentaties, bij het delen van schermen of in een openbare ruimte);
+
+g) gevoelige of essentiële informatie van whiteboards en andere schermen of borden wissen als deze
+
+niet meer nodig is.
+
+De organisatie behoort te beschikken over procedures voor het ontruimen van faciliteiten, waaronder een laatste doorzoeking voorafgaand aan vertrek om te garanderen dat er geen bedrijfsmiddelen van de organisatie worden achtergelaten (bijvocumenten die achter laden of meubilair zijn gevallen).
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur.md
new file mode 100644
index 0000000..affb117
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur.md
@@ -0,0 +1,61 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Apparatuur behoort veilig te worden geplaatst en beschermd.
+
+**Doel**
+
+De risico\'s op fysieke en omgevingsdreigingen en op toegang door onbevoegden en schade beperken.
+
+**Richtlijn**
+
+Om apparatuur te beschermen behoren de volgende richtlijnen in overweging te worden genomen:
+
+a) apparatuur op een dusdanige locatie plaatsen dat onnodige toegang tot werkgebieden tot het
+
+minimum wordt beperkt en toegang door onbevoegden wordt vermeden;
+
+b) de plaats van informatieverwerkende faciliteiten die gevoelige gegevens verwerken, zorgvuldig bepalen om het risico te beperken dat informatie tijdens het gebruik van die faciliteiten wordt bekeken door onbevoegden;
+
+c) beheersmaatregelen invoeren om het risico op potentiële fysieke en omgevingsdreigingen [bijviefstal, brand, explosie, rook, wateroverlast (of uitval van watervoorziening), stof, trilling, chemische reacties, storing in de elektriciteitsvoorziening of in communicatievoorzieningen, elektromagnetische straling en vandalisme] zo laag mogelijk te houden;
+
+d) richtlijnen voor eten, drinken en roken in de nabijheid van informatieverwerkende faciliteiten
+
+vaststellen;
+
+e) omgevingsomstandigheden zoals temperatuur en vochtigheid monitoren en controleren op omstandigheden die de werking van informatieverwerkende faciliteiten negatief kunnen beïnvloeden;
+
+
+
+
+f) bliksembeveiliging toepassen op alle gebouwen en bliksembeveiligingsfilters installeren op alle
+
+inkomende stroom- en communicatieleidingen;
+
+g) de toepassing van speciale beschermingsmiddelen zoals toetsenbordfolie overwegen voor
+
+apparatuur in industriële omgevingen;
+
+h) apparatuur die vertrouwelijke informatie verwerkt beschermen om het risico op weglekken van
+
+informatie door elektromagnetische emanatie zo laag mogelijk te houden;
+
+i) informatieverwerkende faciliteiten die worden beheerd door de organisatie fysiek scheiden van
+
+informatieverwerkende faciliteiten die niet door de organisatie worden beheerd.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md
new file mode 100644
index 0000000..fe01765
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein.md
@@ -0,0 +1,67 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd.
+
+**Doel**
+
+Verlies, schade, diefstal of compromittering van bedrijfsmiddelen buiten het gebouw en/of terrein en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
+
+**Richtlijn**
+
+Het is nodig apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt (bijven mobiel apparaat), met inbegrip van apparaten die eigendom zijn van de organisatie en apparaten die particulier eigendom zijn en gebruikt worden namens de organisatie ['bring your own device (BYOD)'], te beschermenet gebruik van deze apparaten behoort door het management te worden goedgekeurd.
+
+Met de volgende richtlijnen behoort rekening te worden gehouden voor het beschermen van apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt:
+
+a) apparatuur en opslagmedia die buiten het gebouw en/of terrein worden gebracht niet onbewaakt
+
+op openbare en niet-beveiligde plekken achterlaten;
+
+b) voorschriften van de fabrikant voor het beschermen van de apparatuur te allen tijde in acht nemen (bijvescherming tegen blootstelling aan sterke elektromagnetische velden, water, hitte, vocht, stof);
+
+c) als apparatuur buiten het gebouw en/of terrein tussen verschillende personen of belanghebbenden
+
+wordt overgedragen, een overzicht bijhouden dat de bewakingsketen voor de apparatuur
+
+
+
+
+definieert, met daarin opgenomen ten minste de namen en organisaties die voor de apparatuur verantwoordelijk zijnnformatie die niet samen met het bedrijfsmiddel hoeft te worden overgedragen, behoort op beveiligde wijze te worden gewist voorafgaand aan de overdracht;
+
+d) indien nodig en haalbaar, goedkeuring vereisen om apparatuur en media buiten het gebouw en/of terrein van de organisatie te brengen en een registratie van dergelijke verplaatsingen bijhouden om een audittraject te onderhouden (zie 5);
+
+e) bescherming bieden tegen het bekijken van informatie op een apparaat (bijven mobiele telefoon
+
+of laptop in het openbaar vervoer, en de risico\'s die verbonden zijn aan meekijken);
+
+f) locatiebepaling voor apparaten en de mogelijkheid om apparaten op afstand schoon te vegen
+
+implementeren.
+
+Voor permanent buiten het gebouw of terrein van de organisatie geïnstalleerde apparatuur (zoals antennes of geldautomaten) kan het risico op schade, diefstal of afluisteren groter zijneze risico's kunnen van locatie tot locatie sterk variëren en behoren bij het vaststellen van de meest geschikte maatregelen in overweging te worden genomenet de volgende richtlijnen behoort rekening te worden gehouden bij het bepalen van de locaties van deze apparatuur buiten het gebouw en/of terrein van de organisatie:
+
+a) fysiek monitoren van de beveiliging (zie 7;
+
+b) beschermen tegen fysieke dreigingen en dreigingen van buitenaf (zie 7;
+
+c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren tegen te gaan;
+
+d) logische toegangsbeveiligingsmaatregelen.
+
+**Overige informatie**
+
+Meer informatie over andere aspecten van de bescherming van apparatuur waarop informatie wordt opgeslagen en verwerkt, en 'endpoint devices' van gebruikers is te vinden in 8en 6
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.10_BT Wissen van informatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.10_BT Wissen van informatie.md
new file mode 100644
index 0000000..00f2edd
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.10_BT Wissen van informatie.md
@@ -0,0 +1,75 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+=======================================================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming #Juridisch_en_com- pliance | #Bescherming |
++------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer nodig is.
+
+**Doel**
+
+Onnodige openbaarmaking van gevoelige informatie voorkomen en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voor het wissen van informatie voldoen.
+
+**Richtlijn**
+
+Algemeen
+
+Om het risico op ongewenste openbaarmaking te beperken behoort gevoelige informatie niet langer te worden bewaard dan nodig is.
+
+Bij het wissen van informatie van systemen, toepassingen en diensten behoort het volgende in overweging te worden genomen:
+
+a) een wismethode (bijvlektronisch overschrijven of cryptografisch wissen) selecteren
+
+overeenkomstig de bedrijfseisen en met inachtneming van de relevante wet- en regelgeving;
+
+b) de resultaten van het wissen als bewijsmateriaal registreren;
+
+c) wanneer gebruik wordt gemaakt van dienstverleners voor het wissen van informatie, bewijs van
+
+het wissen van informatie van hen verkrijgen.
+
+
+
+
+Indien derden de informatie van de organisatie namens de organisatie opslaan, behoort de organisatie te overwegen in de overeenkomsten met derden eisen inzake het wissen van informatie op te nemen, die tijdens en bij beëindiging van dergelijke diensten worden afgedwongen.
+
+Wismethoden
+
+In overeenstemming met het onderwerpspecifieke beleid van de organisatie inzake het bewaren van gegevens en met inachtneming van de desbetreffende wet- en regelgeving, behoort gevoelige informatie te worden gewist wanneer zij niet langer nodig is, door:
+
+a) systemen dusdanig te configureren dat informatie op een beveiligde manier wordt vernietigd wanneer zij niet langer nodig is (bijva een gedefinieerde periode afhankelijk van het onderwerpspecifieke beleid inzake het bewaren van gegevens of op grond van een verzoek om toegang van een betrokkene);
+
+b) verouderde versies, kopieën en tijdelijke bestanden te wissen, ongeacht waar deze zich bevinden;
+
+c) gebruik te maken van goedgekeurde, veilige software voor het wissen waardoor informatie blijvend wordt gewist en wordt gegarandeerd dat de informatie niet met behulp van gespecialiseerde herstel- of forensische instrumenten kan worden hersteld;
+
+d) gebruik te maken van erkende, gecertificeerde aanbieders van beveiligde verwijderingsdiensten;
+
+e) gebruik te maken van verwijderingsmechanismen die geschikt zijn voor het type opslagmedia dat
+
+wordt verwijderd (bijvoor vaste schijven en andere magnetische opslagmedia te degaussen).
+
+Indien gebruik wordt gemaakt van clouddiensten, behoort de organisatie na te gaan of de door de aanbieder van de clouddienst geboden wismethode aanvaardbaar is en indien dit het geval is, behoort de organisatie deze te gebruiken, of de aanbieder van de clouddienst te verzoeken de informatie te wisseneze wisprocessen behoren te worden geautomatiseerd overeenkomstig onderwerpspecifieke beleidsregels, indien die beschikbaar en van toepassing zijnfhankelijk van de gevoeligheid van de gewiste informatie kan met logbestanden worden getraceerd of geverifieerd dat deze wisprocessen hebben plaatsgevonden.
+
+Om onbedoelde openbaarmaking van gevoelige informatie te voorkomen wanneer apparatuur naar leveranciers wordt teruggestuurd, behoort gevoelige informatie te worden beschermd door hulpopslagfaciliteiten (bijvaste schijven) en geheugen te verwijderen voordat de apparatuur het gebouw en/of terrein van de organisatie verlaat.
+
+Aangezien bepaalde apparaten (bijvmartphones) alleen veilig kunnen worden gewist door ze te vernietigen of door de in deze apparaten ingebouwde functies te gebruiken (bijvfabrieksinstellingen herstellen'), behoort de organisatie de geschikte methode te kiezen op basis van de classificatie van de informatie die door dergelijke apparaten wordt verwerkt.
+
+De in 7 beschreven beheersmaatregelen behoren te worden toegepast om het opslagapparaat fysiek te vernietigen en tegelijkertijd de informatie erop te wissen.
+
+Een officiële registratie van het wissen van informatie is nuttig om de oorzaak van een mogelijk lek van informatie te analyseren.
+
+**Overige informatie**
+
+Informatie over het wissen van gebruikersgegevens in clouddiensten is te vinden in ISO/IEC 27017nformatie over het wissen van persoonsgegevens is te vinden in ISO/IEC 27555.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.11_BT Maskeren van gegevens.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.11_BT Maskeren van gegevens.md
new file mode 100644
index 0000000..0c651fd
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.11_BT Maskeren van gegevens.md
@@ -0,0 +1,104 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+==========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
+
+**Doel**
+
+De openbaarmaking van gevoelige informatie met inbegrip van persoonsgegevens beperken en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voldoen.
+
+**Richtlijn**
+
+Indien de bescherming van gevoelige gegevens (bijversoonsgegevens) een punt van zorg is, behoort de organisatie te overwegen dergelijke gegevens te verbergen door gebruik te maken van technieken als het maskeren, pseudonimiseren of anonimiseren van gegevens.
+
+Met pseudonimiserings- of anonimiseringstechnieken kunnen persoonsgegevens worden verborgen, de ware identiteit van de betrokkenen bij persoonsgegevens of andere gevoelige informatie worden verhuld, en het verband tussen persoonsgegevens en de identiteit van de betrokkene of het verband tussen andere gevoelige informatie worden verbroken.
+
+Bij gebruik van pseudonimiserings- of anonimiseringstechnieken behoort te worden nagegaan of de gegevens afdoende zijn gepseudonimiseerd of geanonimiseerdm doeltreffend te zijn behoren bij het anonimiseren van gegevens alle elementen van de gevoelige informatie in aanmerking te worden genomen, anders kan bijvoorbeeld een persoon worden geïdentificeerd, zelfs als de gegevens
+
+waarmee die persoon direct kan worden geïdentificeerd zijn geanonimiseerd, doordat er andere gegevens aanwezig zijn aan de hand waarvan de persoon indirect kan worden geïdentificeerd.
+
+Aanvullende technieken voor het maskeren van gegevens zijn onder andere:
+
+a) versleuteling (zodat bevoegde gebruikers alleen met een sleutel toegang hebben);
+
+b) tekens weghalen of wissen (waarmee wordt voorkomen dat onbevoegde gebruikers volledige
+
+berichten zien);
+
+c) wisselen van getallen en data;
+
+d) substitutie (een waarde door een andere vervangen om gevoelige gegevens te verbergen);
+
+e) waarden door de desbetreffende hash vervangen.
+
+
+
+
+Het volgende behoort te worden overwogen bij het implementeren van technieken voor het maskeren van gegevens:
+
+a) niet alle gebruikers toegang tot alle gegevens geven, en daarom query\'s en maskers zo ontwerpen
+
+dat alleen de minimaal vereiste gegevens zichtbaar zijn voor de gebruiker;
+
+b) er zijn gevallen waarin bepaalde gegevens voor de gebruiker niet zichtbaar behoren te zijn voor sommige gegevenselementen in een verzameling gegevens; in dat geval een mechanisme ontwerpen en implementeren voor de versluiering van gegevens (bijvndien een patiënt niet wil
+
+dat ziekenhuispersoneel, zelfs in geval van nood, alle gegevens over de patiënt kan zien; in dat geval krijgt het ziekenhuispersoneel gedeeltelijk versluierde gegevens te zien en hebben alleen personeelsleden met specifieke rollen toegang tot de gegevens als die nuttige informatie bevatten voor een passende behandeling);
+
+c) wanneer gegevens versluierd zijn, de betrokkene de mogelijkheid geven te eisen dat gebruikers niet kunnen zien of die gegevens versluierd zijn (versluiering van de versluiering; dit wordt gebruikt in gezondheidsinstellingen, bijvoorbeeld als de patiënt niet wil dat het personeel ziet dat gevoelige informatie zoals zwangerschappen of resultaten van bloedonderzoeken is versluierd);
+
+d) eventuele eisen van wet- en regelgeving (bijvereisen dat informatie van betaalkaarten tijdens de
+
+verwerking of opslag wordt gemaskeerd).
+
+Het volgende behoort te worden overwogen bij het maskeren, pseudonimiseren of anonimiseren van gegevens:
+
+a) de mate van sterkte van gegevensmaskering, pseudonimisering of anonimisering gezien het
+
+gebruik van de verwerkte gegevens;
+
+b) beveiliging van de toegang tot de verwerkte gegevens;
+
+c) afspraken of beperkingen met betrekking tot het gebruik van de verwerkte gegevens;
+
+d) verbieden dat de verwerkte gegevens worden samengevoegd met andere informatie om de
+
+betrokkene te identificeren;
+
+e) de verstrekking en ontvangst van de verwerkte gegevens bijhouden.
+
+**Overige informatie**
+
+Door anonimisering worden persoonsgegevens dusdanig onomkeerbaar gewijzigd dat de betrokkene niet langer rechtstreeks of indirect kan worden geïdentificeerd.
+
+Bij pseudonimisering wordt de identificerende informatie door een alias vervangenennis van het algoritme (soms 'aanvullende informatie' genoemd) dat wordt gebruikt om de pseudonimisering uit te voeren, maakt in ieder geval een bepaalde vorm van identificatie van de betrokkene mogelijkergelijke 'aanvullende informatie' behoort daarom apart te worden gehouden en te worden beschermd.
+
+Hoewel pseudonimisering dus zwakker is dan anonimisering, kunnen gepseudonimiseerde gegevensverzamelingen nuttiger zijn voor statistisch onderzoek.
+
+Het maskeren van gegevens is een verzameling technieken waarmee gevoelige gegevens worden verborgen, vervangen of versluierdet maskeren van gegevens kan statisch zijn (als gegevens in de oorspronkelijke database worden gemaskeerd), dynamisch (waarbij automatisering en regels worden
+
+
+
+
+gebruikt om gegevens in real time te beveiligen) of 'on-the-fly' (waarbij gegevens in het geheugen van een toepassing worden gemaskeerd).
+
+Hashfuncties kunnen worden gebruikt om persoonsgegevens te anonimiserenm enumeratie- aanvallen te voorkomen, behoren ze altijd te worden gecombineerd met een 'salt'-functie, waarbij willekeurige gegevens worden toegevoegd.
+
+Persoonsgegevens in identificatiecodes van middelen en de bijbehorende attributen [bijvestandsnamen, uniform resource locators (URL's)] behoren te worden vermeden of op passende wijze te worden geanonimiseerd.
+
+Aanvullende beheersmaatregelen met betrekking tot de bescherming van persoonsgegevens in publieke clouds worden gegeven in ISO/IEC 27018.
+
+Aanvullende informatie over de-identificatietechnieken is te vinden in ISO/IEC 20889.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md
new file mode 100644
index 0000000..e767339
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention).md
@@ -0,0 +1,76 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+----------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+============================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming | #Bescherming |
+| | | | | |
+| #Detectief | | #Detecteren | | #Verdediging |
++------------------------+----------------------+----------------------+----------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
+
+**Doel**
+
+Om de ongeoorloofde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen.
+
+**Richtlijn**
+
+De organisatie behoort het volgende te overwegen om het risico op gegevenslekken te beperken:
+
+a) informatie identificeren en classificeren als bescherming tegen lekken (bijversoonsinformatie,
+
+prijsbepalingsmodellen en productontwerpen);
+
+b) kanalen waarlangs gegevens kunnen lekken, monitoren (bijv-mail, bestandsoverdracht, mobiele
+
+apparaten en draagbare opslagapparatuur);
+
+c) actie ondernemen om te voorkomen dat informatie weglekt (bijv-mails met gevoelige informatie
+
+in quarantaine plaatsen).
+
+
+
+
+Er behoren hulpmiddelen voor het voorkomen van gegevenslekken te worden gebruikt om:
+
+a) te identificeren welke gevoelige informatie blootstaat aan het risico op ongeoorloofde openbaarmaking (bijvn niet-gestructureerde gegevens op het systeem van een gebruiker) en dit te monitoren;
+
+b) de openbaarmaking van gevoelige informatie te detecteren (bijvanneer informatie wordt
+
+geüpload naar niet-vertrouwde clouddiensten van derden of via e-mail wordt verzonden);
+
+c) handelingen van gebruikers of netwerktransmissies waardoor gevoelige informatie bekend wordt,
+
+te blokkeren (bijvoorkomen dat databasegegevens naar een spreadsheet worden gekopieerd).
+
+De organisatie behoort vast te stellen of het nodig is de mogelijkheid te beperken dat gebruikers gegevens kopiëren en plakken en deze naar diensten, apparaten en opslagmedia buiten de organisatie uploadenn dat geval behoort de organisatie technologie te implementeren zoals instrumenten ter voorkoming van gegevenslekken of bestaande instrumenten dusdanig te configureren dat gebruikers gegevens op afstand kunnen bekijken en manipuleren, waarbij kopiëren en plakken waarop de organisatie geen controle heeft, wordt voorkomen.
+
+Als het exporteren van gegevens vereist is, behoort de eigenaar van de gegevens in staat te zijn dit goed te keuren en gebruikers verantwoordelijk te stellen voor hun daden.
+
+Voor het maken van schermafbeeldingen of foto\'s van het scherm behoren gebruiksvoorwaarden te worden opgesteld en hieraan behoort in trainingen en audits aandacht te worden besteed.
+
+Indien er een back-up van gegevens wordt gemaakt, behoort ervoor te worden gezorgd dat gevoelige informatie wordt beschermd door maatregelen zoals encryptie, toegangsbeveiliging en fysieke bescherming van de opslagmedia waarop de back-up staat.
+
+Het voorkomen van gegevenslekken behoort ook te worden beschouwd als een vorm van bescherming tegen de acties van tegenstanders om vertrouwelijke of geheime informatie (geopolitieke, menselijke, financiële, commerciële, wetenschappelijke of andere informatie) te verkrijgen die van belang kan zijn voor spionage of essentieel kan zijn voor de gemeenschape maatregelen ter voorkoming van het lekken van gegevens behoren erop gericht te zijn verwarring te zaaien wat betreft de beslissingen van de tegenstander, bijvoorbeeld door authentieke informatie te vervangen door valse informatie, hetzij als een eigen maatregel, hetzij als reactie op de acties van de tegenstander om informatie te verzamelenoorbeelden van dergelijke maatregelen zijn omgekeerde 'social engineering' of het gebruik van 'honeypots' om aanvallers te lokken.
+
+**Overige informatie**
+
+Hulpmiddelen om gegevenslekken te voorkomen, zijn ervoor ontworpen om gegevens te identificeren, het gebruik en de verplaatsing van gegevens te monitoren, en maatregelen te nemen om gegevenslekken te voorkomen (bijvebruikers waarschuwen voor hun risicogedrag en de overdracht van gegevens naar draagbare opslagapparatuur blokkeren).
+
+Een inherent element van het voorkomen van gegevenslekken is toezicht op de communicatie en de online activiteiten van het personeel en, in het verlengde daarvan, op de berichten van externe partijen, hetgeen aanleiding kan geven tot juridische aspecten die behoren te worden overwogen voordat instrumenten om gegevenslekken te voorkomen worden ingezetllerlei wetgeving op het gebied van privacy, gegevensbescherming, werkgelegenheid, het onderscheppen van gegevens en telecommunicatie is van toepassing op monitoren en gegevensverwerking in het kader van het voorkomen van gegevenslekken.
+
+
+
+
+Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5 en 5).
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md
new file mode 100644
index 0000000..19cbb17
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.13_BT Back-up van informatie.md
@@ -0,0 +1,73 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+---------------------+----------------------+--------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+====================+=====================+
+| #Corrigerend | #Integriteit | #Herstellen | #Continuïteit | #Bescherming |
+| | | | | |
+| | #Beschikbaarheid | | | |
++------------------------+---------------------+----------------------+--------------------+---------------------+
+
+**Beheersmaatregel**
+
+Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.
+
+**Doel**
+
+Herstel mogelijk maken na verlies van gegevens of systemen.
+
+**Richtlijn**
+
+Er behoort een onderwerpspecifiek beleid inzake back-ups te worden opgesteld met het oog op de eisen van de organisatie wat betreft het bewaren van gegevens en informatiebeveiliging.
+
+Er behoort te worden voorzien in afdoende back-upfaciliteiten om te waarborgen dat alle essentiële informatie en software na een incident of na falen of verlies van opslagmedia kan worden hersteld.
+
+Er behoren plannen te worden ontwikkeld en geïmplementeerd voor hoe de organisatie back-ups gaat maken van informatie, software en systemen, met het oog op het onderwerpspecifieke beleid inzake back-ups.
+
+Bij het opstellen van een back-upplan, behoren de volgende punten in overweging te worden genomen:
+
+a) nauwkeurige en volledige registers van de back-upkopieën en gedocumenteerde herstelprocedures
+
+produceren;
+
+b) de bedrijfseisen van de organisatie (bijve RPO's, zie 5), de beveiligingseisen van de betrokken informatie en het belang van de informatie voor de voortzetting van de bedrijfsuitvoering van de organisatie behoren te worden weerspiegeld in de omvang (bijvolledige of gedifferentieerde back-up) en de frequentie van back-ups;
+
+c) de back-ups in een veilige en beveiligde afgelegen locatie bewaren, op een voldoende afstand om
+
+niet te worden beschadigd door een calamiteit op de hoofdlocatie;
+
+d) aan back-upinformatie een passend niveau van fysieke en omgevingsbescherming geven (zie
+
+hoofdstuk 7 en 8, consistent met de normen die op de hoofdlocatie worden toegepast;
+
+e) back-upmedia regelmatig testen om te garanderen dat men er wanneer nodig voor gebruik in noodgevallen op kan vertrouwenp een testsysteem testen of de back-upgegevens kunnen worden hersteld en dit niet testen door de originele opslagmedia te overschrijven, aangezien het back-up- of herstelproces kan mislukken en onherstelbare schade aan of verlies van gegevens kan veroorzaken;
+
+
+
+
+f) back-ups door middel van encryptie beschermen, naargelang de geïdentificeerde risico\'s (bijvn
+
+situaties waar vertrouwelijkheid van belang is);
+
+g) ervoor zorgen dat wordt gegarandeerd dat onopzettelijk gegevensverlies wordt opgespoord
+
+voordat een back-up wordt gemaakt.
+
+Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back- ups aan te pakken om de volledigheid van back-ups in overeenstemming met het onderwerpspecifieke beleid inzake back-ups te waarborgen.
+
+Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteits- plannen (zie 5)it behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijdn het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.
+
+Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van de informatie, toepassingen en systemen van de organisatie in de clouddienstomgeving te worden gemaakte organisatie behoort vast te stellen of en hoe aan de eisen voor het back-uppen wordt voldaan bij het gebruik van de in het kader van de clouddienst aangeboden dienst voor het back-uppen van informatie.
+
+Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen.
+
+**Overige informatie**
+
+Zie voor verdere informatie over beveiligde opslag, met inbegrip van bewaarspecifieke overwegingen, ISO/IEC 27040.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md
new file mode 100644
index 0000000..693f59c
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten.md
@@ -0,0 +1,70 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+---------------------+----------------------+------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+================================================+=====================+
+| #Preventief | #Beschikbaarheid | #Beschermen | #Continuïteit #Beheer_van_be- drijfsmiddelen | #Bescherming |
+| | | | | |
+| | | | | #Veerkracht |
++------------------------+---------------------+----------------------+------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
+
+**Doel**
+
+De ononderbroken werking van informatieverwerkende faciliteiten waarborgen.
+
+
+
+
+**Richtlijn**
+
+De organisatie behoort eisen te identificeren voor de beschikbaarheid van zakelijke diensten en informatiesystemene organisatie behoort een systeemarchitectuur te ontwerpen en implementeren met passende redundantie om aan deze eisen te voldoen.
+
+Redundantie kan worden geïntroduceerd door informatieverwerkende faciliteiten deels of geheel te dupliceren (dzeservecomponenten of twee van alles hebben)e organisatie behoort procedures te plannen en te implementeren voor het activeren van de redundante componenten en verwerkende faciliteitenn de procedures behoort te worden vastgesteld of de redundante componenten en verwerkende activiteiten altijd zijn geactiveerd of, in een noodgeval, automatisch of handmatig worden geactiveerde redundante componenten en informatieverwerkende faciliteiten behoren hetzelfde beveiligingsniveau te garanderen als hun primaire tegenhangers.
+
+Er behoren mechanismen te zijn om de organisatie te waarschuwen voor een storing in de informatieverwerkende faciliteiten, zodat de geplande procedure kan worden uitgevoerd en de beschikbaarheid in stand blijft terwijl de informatieverwerkende faciliteiten worden gerepareerd of vervangen.
+
+De organisatie behoort het volgende te overwegen bij het implementeren van redundante systemen:
+
+a) overeenkomsten met twee of meer leveranciers van netwerkdiensten en diensten voor het
+
+verwerken van essentiële informatie, zoals aanbieders van internetdiensten, aangaan;
+
+b) gebruikmaken van redundante netwerken;
+
+c) gebruikmaken van twee geografisch gescheiden datacentra met gespiegelde systemen;
+
+d) gebruikmaken van fysiek redundante voedingen of stroombronnen;
+
+e) gebruikmaken van meerdere parallelle instanties van softwarecomponenten, met automatische onderlinge 'loadbalancing' (tussen instanties in hetzelfde datacentrum of in verschillende datacentra);
+
+f) beschikken over gedupliceerde componenten in systemen (bijvPU, vaste schijven, geheugens) of
+
+in netwerken (bijvirewalls, routers, switches).
+
+Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante informatiesystemen te worden getest om te waarborgen dat de automatische omschakeling van de ene op de andere component bij storing werkt zoals voorzien.
+
+**Overige informatie**
+
+Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit.
+
+Het implementeren van redundantie kan risico\'s met zich meebrengen voor de integriteit (bijvrocessen waarbij gegevens naar gedupliceerde componenten gekopieerd worden, kunnen fouten met zich meebrengen) of vertrouwelijkheid (bijven zwakke beveiligingsbeheersmaatregel voor gedupliceerde componenten kan tot compromittering leiden) van informatie en informatiesystemenet is nodig om dit in aanmerking te nemen bij het ontwerpen van informatiesystemen.
+
+Redundantie in informatieverwerkende faciliteiten gaat meestal niet in op het niet-beschikbaar zijn van een toepassing als gevolg van fouten in de toepassing.
+
+
+
+
+Met het gebruik van 'public cloud computing' is het mogelijk om meerdere liveversies van informatieverwerkende faciliteiten te hebben, die zich op meerdere afzonderlijke fysieke locaties bevinden met automatische omschakeling bij storingen en onderlinge loadbalancing.
+
+Een aantal technologieën en technieken voor het voorzien in redundantie en automatische omschakeling bij storingen in de context van clouddiensten wordt besproken in ISO/IEC TS 23167.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md
new file mode 100644
index 0000000..c381c7f
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.15_BT Logging.md
@@ -0,0 +1,161 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming |
+| | | | | |
+| | | | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.
+
+**Doel**
+
+Gebeurtenissen registreren, bewijs genereren, de integriteit van informatie in logbestanden waarborgen, onbevoegde toegang voorkomen, informatiebeveiligingsgebeurtenissen identificeren die tot een informatiebeveiligingsincident kunnen leiden en onderzoeken ondersteunen.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort het doel vast te stellen waarvoor logbestanden worden aangemaakt, welke gegevens worden verzameld en in het logbestand worden geregistreerd en welke logbestandspecifieke eisen er zijn voor het beschermen en behandelen van de gegevens in het logbestandit behoort te worden gedocumenteerd in onderwerpspecifiek registratiebeleid.
+
+Logbestanden van gebeurtenissen behoren het volgende voor elke gebeurtenis te bevatten, al naargelang van toepassing is:
+
+a) gebruikersidentificaties;
+
+b) systeemactiviteiten;
+
+c) data, tijdstippen en details van relevante gebeurtenissen (bijvn- en uitloggen);
+
+d) de identiteit van apparaten, identificatie van systemen en hun locatie;
+
+e) netwerkadressen en -protocollen.
+
+
+
+
+Het behoort te worden overwogen de volgende gebeurtenissen in logbestanden vast te leggen:
+
+a) geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem;
+
+b) goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot bronnen
+
+van informatie;
+
+c) systeemconfiguratieveranderingen;
+
+d) het gebruik van speciale bevoegdheden;
+
+e) het gebruik van systeemhulpmiddelen en -toepassingen;
+
+f) de bestanden waartoe toegang is gemaakt en de soort toeganget inbegrip van het wissen van
+
+belangrijke gegevensbestanden;
+
+g) alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
+
+h) activering en deactivering van beveiligingssystemen, zoals antivirussystemen en
+
+inbraakdetectiesystemen;
+
+i) het aanmaken, wijzigen of wissen van identiteiten;
+
+j) transacties die door gebruikers in toepassingen zijn uitgevoerdn sommige gevallen zijn de
+
+toepassingen een door een derde verleend(e), geleverd(e) of verzorgd(e) dienst of product.
+
+Het is belangrijk dat alle systemen gesynchroniseerde tijdsbronnen hebben (zie 8), aangezien dit het mogelijk maakt logbestanden van verschillende systemen met elkaar te correleren voor analyse, alarmering en voor het onderzoeken van incidenten.
+
+Logbestanden beschermen
+
+Gebruikers, ook die met speciale toegangsrechten, behoren geen toestemming te hebben om logbestanden van hun eigen activiteiten te verwijderen of te deactiverenij kunnen mogelijk de logbestanden over informatieverwerkende faciliteiten waarover zij het directe bestuur hebben, manipulerenaarom is het nodig de logbestanden te beschermen en te beoordelen om de verantwoordelijkheid voor de gebruikers met speciale rechten in stand te houden.
+
+Beheersmaatregelen behoren gericht te zijn op het beschermen van informatie in logbestanden tegen onbevoegde veranderingen en tegen operationele problemen met de logvoorziening, met inbegrip van:
+
+a) veranderingen aan de soorten berichten die worden vastgelegd;
+
+b) bewerken of verwijderen van logbestanden;
+
+c) het niet-registreren van gebeurtenissen of het overschrijven van eerder geregistreerde
+
+gebeurtenissen indien de capaciteit van opslagmedia met een logbestand wordt overschreden.
+
+Ter bescherming van logbestanden behoort het gebruik van de volgende technieken te worden overwogen: cryptografisch hashen, registratie in een bestand waar alleen toevoegen of alleen lezen mogelijk is, registratie in een openbaar transparant bestand.
+
+Voor bepaalde auditlogbestanden kan het vereist zijn dat ze worden gearchiveerd vanwege eisen met betrekking tot het bewaren van gegevens of eisen met betrekking tot het verzamelen en bewaren van bewijsmateriaal (zie 5).
+
+
+
+
+Indien de organisatie logbestanden inzake systemen of toepassingen naar een leverancier moet sturen om te helpen bij het detecteren of oplossen van fouten of storingen, behoren de logbestanden waar mogelijk te worden gede-identificeerd door gebruik te maken van technieken voor het maskeren van gegevens (zie 8) voor informatie zoals gebruikersnamen, IP-adressen, hostnamen of de naam van de organisatie, alvorens ze naar de leverancier te sturen.
+
+Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevattener bescherming van de privacy behoren passende maatregelen te worden genomen (zie 5).
+
+Analyse van logbestanden
+
+De analyse van logbestanden behoort te bestaan uit het analyseren en interpreteren van informatiebeveiligingsgebeurtenissen om ongebruikelijke activiteiten of afwijkend gedrag, hetgeen mogelijke indicatoren van compromittering zijn, te helpen identificeren.
+
+Bij het analyseren van gebeurtenissen behoort rekening te worden gehouden met:
+
+a) de noodzakelijke vaardigheden van de deskundigen die de analyse uitvoeren;
+
+b) het vaststellen van de procedure voor het analyseren van logbestanden;
+
+c) de vereiste attributen van elke beveiligingsgerelateerde gebeurtenis;
+
+d) uitzonderingen die zijn geïdentificeerd door het gebruik van vooraf vastgestelde regels (bijvIEM-
+
+of firewallregels, en IDS- of malwarehandtekeningen);
+
+e) bekende gedragspatronen en standaardnetwerkverkeer in vergelijking met afwijkend(e)
+
+activiteiten en gedrag (analyse van het gedrag van gebruikers en entiteiten - UEBA);
+
+f) resultaten van de analyse van trends of patronen (bijvls gevolg van het gebruik van
+
+gegevensanalyse, bigdatatechnieken en gespecialiseerde analyse-instrumenten);
+
+g) beschikbare informatie en analyses over dreigingen.
+
+De analyse van logbestanden behoort te worden ondersteund door specifieke monitoringactiviteiten om afwijkend gedrag te helpen identificeren en analyseren, waaronder:
+
+a) het beoordelen van geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen
+
+(bijvNS-servers, webportals en bestandsshares);
+
+b) het controleren van DNS-logbestanden om uitgaande netwerkverbindingen met kwaadaardige servers te identificeren, zoals verbindingen die in verband worden gebracht met 'command-and- controlservers van botnets;
+
+c) het onderzoeken van gebruiksverslagen van dienstverleners (bijvacturen of verslagen van de geleverde diensten) op ongebruikelijke activiteit binnen systemen en netwerken (bijvoorbeeld door activiteitenpatronen te beoordelen);
+
+d) het opnemen van gebeurtenislogbestanden van fysieke monitoring, zoals in- en uitgang, met het
+
+oog op een nauwkeurigere detectie en analyse van incidenten;
+
+e) het correleren van logbestanden om doelmatige en zeer nauwkeurige analyse mogelijk te maken.
+
+Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden geïdentificeerd (bijvesmetting met malware of het uitpeilen van firewalls) en nader te worden onderzocht (bijvn het kader van een proces voor het beheer van informatiebeveiligingsincidenten, zie 5).
+
+
+
+
+**Overige informatie**
+
+Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen.
+
+Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen (zie 8) die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.
+
+Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenissen (SIEM) of een gelijkwaardige dienst worden gebruikt om loginformatie op te slaan, te correleren, normaliseren en analyseren en waarschuwingsmeldingen te generereneestal is het nodig SIEM-hulpmiddelen zorgvuldig te configureren om de voordelen ervan te optimaliserenonfiguraties die in aanmerking behoren te worden genomen, omvatten het identificeren en selecteren van passende bronnen voor logbestanden, het afstemmen en testen van regels, en het ontwikkelen van usecases.
+
+Er worden openbaar transparante bestanden gebruikt voor het registreren van logbestanden, bijvoorbeeld in systemen voor de transparantie van certificatenergelijke bestanden kunnen een extra detectiemechanisme bieden dat nuttig is ter bescherming tegen manipulatie van logbestanden.
+
+In cloudomgevingen kunnen de afnemer en de leverancier van de clouddienst de verantwoordelijkheden voor het beheer van logbestanden met elkaar delene verantwoordelijkheden variëren afhankelijk van de soort clouddienst die wordt gebruikterdere richtlijnen zijn te vinden in ISO/IEC 27017.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md
new file mode 100644
index 0000000..d56474a
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten.md
@@ -0,0 +1,123 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+========================================================+=====================+
+| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging |
+| | | | | |
+| #Corrigerend | | #Reageren | | |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden genomen om potentiële informatiebeveiligingsincidenten te evalueren.
+
+**Doel**
+
+Afwijkend gedrag en potentiële informatiebeveiligingsincidenten detecteren.
+
+**Richtlijn**
+
+De reikwijdte en het niveau van de monitoring behoren te worden bepaald overeenkomstig de bedrijfs- en informatiebeveiligingseisen en met inachtneming van de relevante wet- en regelgevingr behoren registraties van de monitoring te worden bijgehouden gedurende gedefinieerde bewaartermijnen.
+
+
+
+Het behoort te worden overwogen het volgende in het monitoringsysteem op te nemen:
+
+a) uitgaand en inkomend netwerk-, systeem- en toepassingsverkeer;
+
+b) toegang tot systemen, servers, netwerkapparatuur, monitoringsysteem, essentiële toepassingen
+
+enz.;
+
+c) systeem- en netwerkconfiguratiebestanden op essentieel of beheerdersniveau;
+
+d) logbestanden van beveiligingsinstrumenten [bijvntivirus, IDS, inbraakpreventiesysteem (IPS),
+
+webfilters, firewalls, voorkoming van gegevenslekken];
+
+e) logbestanden van gebeurtenissen met betrekking tot systeem- en netwerkactiviteit;
+
+f) controle of de code die wordt uitgevoerd, in het systeem mag worden uitgevoerd en of deze niet is
+
+gemanipuleerd (bijvoor hercompileren om extra ongewenste code toe te voegen);
+
+g) gebruik van de middelen (bijvoorbeeld CPU, vaste schijven, geheugen, bandbreedte) en de
+
+prestaties daarvan.
+
+De organisatie behoort een nullijn voor normaal gedrag vast te stellen en aan de hand van deze nullijn op afwijkingen te monitorenij het vaststellen van de nullijn behoort het volgende te worden overwogen:
+
+a) het gebruik van de systemen in normale en piekperiodes beoordelen;
+
+b) het gebruikelijke tijdstip van toegang, de gebruikelijke plaats van toegang en de gebruikelijke
+
+frequentie van toegang voor elke gebruiker of gebruikersgroep.
+
+Het monitoringsysteem behoort te worden geconfigureerd aan de hand van de vastgestelde nullijn om afwijkend gedrag te identificeren, zoals:
+
+a) ongeplande beëindiging van processen of toepassingen;
+
+b) activiteiten die meestal verband houden met malware of verkeer dat afkomstig is van bekende kwaadaardige IP-adressen of netwerkdomeinen (bijvie verband houden met command-and- controlservers van botnets);
+
+c) bekende aanvalskenmerken (bijvdenial of service' en bufferoverflows);
+
+d) ongebruikelijk systeemgedrag (bijvet registreren van toetsaanslagen, procesinjectie en
+
+afwijkingen in het gebruik van standaardprotocollen);
+
+e) knelpunten en overbelasting (bijvetwerkwachtrijen, latentieniveaus en netwerkjitter);
+
+f) (daadwerkelijke of pogingen tot) toegang door onbevoegden tot systemen of informatie;
+
+g) het ongeoorloofd scannen van bedrijfstoepassingen, -systemen en -netwerken;
+
+h) geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen (bijvNS-servers,
+
+webportals en bestandssystemen);
+
+i) ongebruikelijk gebruikers- en systeemgedrag in vergelijking met het verwachte gedrag.
+
+
+
+
+Er behoort gebruik te worden gemaakt van continue monitoring via een monitoringinstrumentonitoring behoort realtime of met regelmatige tussenpozen te gebeuren, afhankelijk van de behoefte en mogelijkheden van de organisatieonitoringinstrumenten behoren geschikt te zijn voor grote hoeveelheden gegevens, zich aan te passen aan een voortdurend veranderend landschap van dreigingen en realtimemeldingen mogelijk te makene instrumenten behoren ook specifieke handtekeningen en gegevens of netwerk- of toepassingsgedragspatronen te kunnen herkennen.
+
+Geautomatiseerde monitoringsoftware behoort dusdanig te worden geconfigureerd dat deze meldingen geeft (bijvia beheerconsoles, e-mails of instantmessagingsystemen) op basis van vooraf gedefinieerde drempelset waarschuwingssysteem behoort op basis van de nullijn van de organisatie te worden afgestemd en getraind om valspositieven tot een minimum te beperken.
+
+Personeel behoort erop gericht te zijn om op waarschuwingen te reageren en naar behoren getraind te
+
+zijn om potentiële incidenten accuraat te interpreterenr behoren redundante systemen en processen aanwezig te zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.
+
+Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5)r behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5)r behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken.
+
+**Overige informatie**
+
+Beveiligingsmonitoring kan worden verbeterd door:
+
+a) gebruik te maken van systemen voor informatie en analyses over dreigingen (zie 5;
+
+b) gebruik te maken van de mogelijkheden van machinelearning en kunstmatige intelligentie;
+
+c) blokkeringslijsten of toestemmingslijsten te gebruiken;
+
+d) allerlei technische beveiligingsbeoordelingen (bijveoordelen op kwetsbaarheden, penetratietests, simulaties van cyberaanvallen en cyberresponsoefeningen) uit te voeren, en de resultaten van deze beoordelingen te gebruiken om de nullijnen of aanvaardbaar gedrag te helpen vaststellen;
+
+e) gebruik te maken van systemen voor het monitoren van prestaties om afwijkend gedrag te helpen
+
+vaststellen en detecteren;
+
+f) gebruik te maken van logbestanden in combinatie met monitoringsystemen.
+
+Monitoringactiviteiten worden vaak uitgevoerd met behulp van gespecialiseerde software, zoals inbraakdetectiesystemeneze kunnen worden geconfigureerd aan de hand van een nullijn van normale, aanvaardbare en verwachte systeem- en netwerkactiviteiten.
+
+Op afwijkende communicatie monitoren helpt bij het identificeren van botnets (dzen verzameling apparaten onder de kwaadwillige controle van de botneteigenaar, die meestal wordt gebruikt voor het uitvoeren van gedistribueerde denial-of-serviceaanvallen op andere computers van andere organisaties)ndien de computer door een extern apparaat wordt bestuurd, is er communicatie
+
+tussen het besmette en het besturende apparaate organisatie behoort daarom technologieën in te zetten om afwijkende communicatie te monitoren en zo nodig maatregelen te nemen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.17_BT Kloksynchronisatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.17_BT Kloksynchronisatie.md
new file mode 100644
index 0000000..825ed91
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.17_BT Kloksynchronisatie.md
@@ -0,0 +1,40 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+=====================+======================+========================================================+=====================+
+| #Detectief | #Integriteit | #Beschermen | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming |
+| | | | | |
+| | | #Detecteren | | #Verdediging |
++------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen.
+
+**Doel**
+
+De correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk maken en onderzoeken bij informatiebeveiligingsincidenten ondersteunen.
+
+**Richtlijn**
+
+Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd behoren te worden gedocumenteerd en geïmplementeerdulke eisen kunnen voortvloeien uit wet-
+
+en regelgeving, statuten, overeenkomsten, normen en uit interne monitoringbehoeftenr behoort een standaardreferentietijd voor gebruik binnen de organisatie te worden gedefinieerd en in aanmerking te worden genomen voor alle systemen, met inbegrip van gebouwbeheersystemen, in- en uitgangssystemen en andere systemen die ter ondersteuning van onderzoeken kunnen worden gebruikt.
+
+Een aan een nationale atoomklok die radiogolven uitzendt of aan gps (wereldwijd positioneringssysteem) gekoppelde klok behoort te worden gebruikt als referentieklok voor logsystemen; een consistente, vertrouwde bron voor de datum en tijd om nauwkeurige tijdstempels te garanderenrotocollen zoals netwerktijdprotocol (NTP) of 'precision time protocol' (PTP) behoren te worden gebruikt om klokken in een computernetwerk gesynchroniseerd te houden met een referentieklok.
+
+De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaarheid van externe klokken te verbeteren en naar behoren om te gaan met eventuele afwijkingen.
+
+Klokken kunnen lastig te synchroniseren zijn wanneer meerdere clouddiensten worden gebruikt of wanneer zowel cloud- als op locatie gehoste diensten worden gebruiktn dat geval behoort de klok van elke dienst te worden gecontroleerd en het verschil te worden geregistreerd om risico\'s als gevolg van verschillen te verkleinen.
+
+**Overige informatie**
+
+De correcte instelling van computerklokken is belangrijk om de nauwkeurigheid van logbestanden van gebeurtenissen te waarborgenit kan nodig zijn voor onderzoeken of als bewijs in juridische en disciplinaire zakennnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van het bewijs schaden.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md
new file mode 100644
index 0000000..c8fb69f
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen.md
@@ -0,0 +1,56 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.
+
+**Doel**
+
+Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aan systeem- en toepassingsbeheersmaatregelen voor informatiebeveiliging.
+
+**Richtlijn**
+
+Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen:
+
+a) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde
+
+gebruikers dat praktisch haalbaar is (zie 8;
+
+b) het gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen,
+
+met inbegrip van de unieke identificatie van de persoon die het systeemhulpmiddel gebruikt;
+
+c) het definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;
+
+d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen;
+
+e) het niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot
+
+toepassingen op systemen waarbij segmentatie van functies vereist is;
+
+f) het verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;
+
+g) ten minste een logische segmentatie tussen systeemhulpmiddelen en toepassingssoftwarendien mogelijk, de netwerkcommunicatie voor dergelijke systeemhulpmiddelen van het toepassingenverkeer scheiden;
+
+h) beperking van de beschikbaarheid van systeemhulpmiddelen (bijvoor de duur van een
+
+geautoriseerde wijziging);
+
+i) registreren van alle gebruik van systeemhulpmiddelen.
+
+**Overige informatie**
+
+De meeste informatiesystemen hebben een of meer systeemhulpmiddelen die systeem- en toepassingsbeheersmaatregelen kunnen omzeilen, bijvoorbeeld diagnose-, patching-, antivirus-, schijfdefragmentatie-, probleemdetectie- en probleemoplossings-, back-up- en netwerkhulpmiddelen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md
new file mode 100644
index 0000000..acd0291
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen.md
@@ -0,0 +1,67 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+===================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren.
+
+**Doel**
+
+De integriteit van operationele systemen garanderen en voorkomen dat misbruik wordt gemaakt van technische kwetsbaarheden.
+
+**Richtlijn**
+
+De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen en de installatie van software op operationele systemen op beveiligde wijze te beheren:
+
+a) updates van operationele software alleen laten uitvoeren door daartoe opgeleide beheerders met
+
+passende beheerdersrechten (zie 8;
+
+b) garanderen dat er alleen goedgekeurde uitvoerbare code, en geen ontwikkelcode of compilers, op
+
+operationele systemen wordt geïnstalleerd;
+
+c) software pas installeren en updaten na uitgebreide en geslaagde tests (zie 8 en 8);
+
+d) alle bijbehorende programmabronbibliotheken updaten;
+
+e) een configuratiebeheerssysteem gebruiken om alle operationele software en systeemdocumentatie
+
+te beheersen;
+
+f) een roll-backstrategie definiëren alvorens wijzigingen te implementeren;
+
+g) een auditlogbestand bijhouden van alle updates van operationele software;
+
+h) oude versies van software, samen met alle vereiste informatie en parameters, procedures, configuratiedetails archiveren en software als noodmaatregel ondersteunen zolang de software nodig is om gearchiveerde gegevens te lezen of te verwerken.
+
+Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie (bijve introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van kwetsbaarheden in de informatiebeveiliging die zich bij de huidige versie voordoen)oftwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van kwetsbaarheden in de informatiebeveiliging (zie 8en 8).
+
+Computersoftware kan gebruikmaken van extern geleverde software en pakketten (bijvoftwareprogramma\'s met modules die op externe locaties worden gehost)eze behoren te worden
+
+
+
+
+gemonitord en beheerst om ongeautoriseerde wijzigingen te vermijden omdat ze tot kwetsbaarheden in de informatiebeveiliging kunnen leiden.
+
+Software van leveranciers die in productiesystemen wordt gebruikt, behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteunda verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversiese organisatie behoort de risico's van het gebruiken van niet-ondersteunde software te overwegenn operationele systemen toegepaste opensourcesoftware behoort op de stand van de meest recente geschikte uitgave van de software te worden onderhoudenet is mogelijk dat opensourcecode na verloop van tijd niet meer wordt onderhouden, maar nog steeds beschikbaar is in een opensourcesoftwarebewaarplaatse organisatie behoort ook rekening te houden met de risico\'s van het in operationele systemen gebruiken van opensourcesoftware die niet meer wordt onderhouden.
+
+Wanneer leveranciers betrokken zijn bij het installeren of updaten van software, behoort fysieke of logische toegang alleen te worden verleend wanneer dat nodig is en met passende autorisatiee activiteiten van de leverancier behoren te worden gemonitord (zie 5).
+
+De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers kunnen installeren.
+
+Het beginsel van het 'least privilege' (minste voorrechten) behoort te worden toegepast op de installatie van software op operationele systemene organisatie behoort vast te leggen welke soorten software mogen worden geïnstalleerd (bijvpdates en beveiligingspatches voor bestaande software) en welke verboden zijn (bijvoftware uitsluitend voor persoonlijk gebruik en software waarvan de herkomst met betrekking tot de potentiële kwaadaardigheid onbekend of verdacht is)eze voorrechten behoren te worden verleend op basis van de rollen van de betrokken gebruikers.
+
+**Overige informatie** Geen overige informatie.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md
new file mode 100644
index 0000000..ba5413a
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.1_BT 'User endpoint devices'.md
@@ -0,0 +1,133 @@
+
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescherming | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via 'user endpoint devices' behoort te worden beschermd.
+
+**Doel**
+
+Informatie beschermen tegen de risico\'s als gevolg van het gebruik van 'user endpoint devices'.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort onderwerpspecifiek beleid vast te stellen inzake beveiligde configuratie en beveiligd gebruik van 'user endpoint devices'. Het onderwerpspecifieke beleid behoort aan al het relevante personeel te worden gecommuniceerd en het volgende in aanmerking te nemen:
+
+a) het soort informatie en het classificatieniveau waarmee de 'user endpoint devices' kunnen omgaan
+
+of dat ze kunnen verwerken, opslaan of ondersteunen;
+
+b) registratie van 'user endpoint devices';
+
+c) eisen voor fysieke bescherming;
+
+d) beperking van de installatie van software (bijvp afstand beheerst door systeembeheerders);
+
+e) eisen voor software (met inbegrip van softwareversies) van de 'user endpoint devices' en voor het
+
+toepassen van updates (bijvctief automatisch updaten);
+
+f) regels voor de verbinding met informatiediensten, publieke netwerken of andere netwerken buiten
+
+het gebouw of terrein (bijvet gebruik van een persoonlijke firewall vereisen);
+
+g) toegangsbeveiliging;
+
+h) versleuteling van opslagapparaten;
+
+i) bescherming tegen malware;
+
+j) het op afstand onbruikbaar maken, wissen, uitsluiten;
+
+k) back-ups;
+
+l) het gebruik van internetdiensten en -toepassingen;
+
+
+
+
+m)analyse van het gedrag van de eindgebruiker (zie 8);
+
+n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en
+
+de mogelijkheid om fysieke poorten (bijvSB-poorten) uit te schakelen;
+
+o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'user endpoint devices', waarmee de informatie en andere gerelateerde bedrijfsmiddelen (bijvoftware) van de organisatie veilig kunnen worden gesegmenteerd van andere informatie en andere gerelateerde bedrijfsmiddelen op het apparaat.
+
+Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld.
+
+De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8 of geautomatiseerde instrumenten.
+
+Gebruikersverantwoordelijkheid
+
+Alle gebruikers behoren op de hoogte te worden gebracht van de beveiligingseisen en de procedures voor het beschermen van 'user endpoint devices' en van hun verantwoordelijkheden voor het implementeren van dergelijke beschermingsmaatregelenebruikers behoren het advies te krijgen:
+
+a) uit te loggen uit actieve sessies en diensten afsluiten die niet langer nodig zijn;
+
+b) 'user endpoint devices' terwijl deze niet in gebruik zijn met een fysieke beheersmaatregel (bijven sleutelslot of speciale sloten) en logische beheersmaatregel (bijvoegang met wachtwoorden) te beschermen tegen gebruik door onbevoegden; geen apparaten met belangrijke, gevoelige of essentiële bedrijfsinformatie onbewaakt achter te laten;
+
+c) apparaten extra zorgvuldig te gebruiken in openbare ruimten, open kantoren, vergaderruimten en andere onbeschermde gebieden (bijvij voorkeur geen vertrouwelijke informatie lezen als mensen van achteren kunnen meelezen, schermfilters gebruiken met het oog op privacy);
+
+d) 'user endpoint devices' fysiek te beveiligen tegen diefstal (bijvn een auto of andere
+
+vervoermiddelen, in hotelkamers, conferentie- en ontmoetingscentra).
+
+Er behoort een speciale procedure te worden vastgesteld voor diefstal of verlies van 'user endpoint devices' waarin rekening is gehouden met wettelijke, statutaire, regelgevende, contractuele (met inbegrip van verzekerings-) en andere veiligheidseisen die in de organisatie gelden.
+
+Het gebruik van persoonlijke apparaten
+
+Indien de organisatie het gebruik van persoonlijke apparaten toestaat (dit wordt soms aangeduid als BYOD), behoort, in aanvulling op de richtlijnen die in deze beheersmaatregel worden gegeven, ook het volgende te worden overwogen:
+
+a) scheiding van persoonlijk en zakelijk gebruik van de apparatuur, met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat;
+
+b) verschaffen van toegang tot bedrijfsinformatie alleen nadat gebruikers hun verplichtingen hebben bevestigd (fysieke beveiliging, updaten van software enz afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of
+
+
+
+
+verlies van het apparaat of indien zij niet langer bevoegd zijnn dergelijke gevallen behoort rekening te worden gehouden met wetgeving inzake de bescherming van persoonsgegevens;
+
+c) onderwerpspecifieke beleidsregels en procedures ter voorkoming van geschillen over rechten van
+
+intellectuele eigendom die is ontwikkeld op privéapparatuur;
+
+d) toegang tot privéapparatuur (om de veiligheid van het apparaat vast te stellen of tijdens een
+
+onderzoek), wat wetgeving kan verhinderen;
+
+e) softwarelicentiecontracten waardoor de organisatie aansprakelijk kan worden gesteld voor de licenties van clientsoftware op 'user endpoint devices' die privébezit zijn van personeel of van externe gebruikers.
+
+Draadloze verbindingen
+
+De organisatie behoort procedures vast te stellen voor:
+
+a) het configureren van draadloze verbindingen op apparaten (bijvwetsbare protocollen
+
+uitschakelen);
+
+b) het gebruik van draadloze of bedrade verbindingen met passende bandbreedte overeenkomstig
+
+relevante onderwerpspecifieke beleidsregels (bijvmdat back-ups of software-updates nodig zijn).
+
+**Overige informatie**
+
+Beheersmaatregelen voor het beschermen van informatie op 'user endpoint devices' zijn afhankelijk van of het 'endpoint device' van de gebruiker alleen binnen het beveiligde gebouw en terrein en de beveiligde netwerkverbindingen van de organisatie wordt gebruikt of dat het wordt blootgesteld aan meer fysieke en netwerkgerelateerde dreigingen buiten de organisatie.
+
+De draadloze verbindingen van 'user endpoint devices' zijn gelijksoortig aan andere vormen van netwerkverbindingen, maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelenr kan met name soms iets fout gaan bij het maken van back-ups van informatie die op 'user endpoint devices' is opgeslagen indien de bandbreedte van het netwerk beperkt is of 'user endpoint devices' niet zijn aangesloten op de tijden waarop de back-ups zijn gepland.
+
+Voor bepaalde USB-poorten, zoals USB-C, is het niet mogelijk de USB-poort uit te schakelen, omdat deze voor andere doelen (bijvoeding of als uitgang voor een weergavescherm) in gebruik is.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md
new file mode 100644
index 0000000..ca499da
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten.md
@@ -0,0 +1,82 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging | #Bescherming |
+| | | | | |
+| #Detectief | | #Detecteren | | |
++------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Netwerken en netwerkapparaten behoren te worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
+
+**Doel**
+
+Informatie in netwerken en de ondersteunende informatieverwerkingsfaciliteiten beschermen tegen compromittering via het netwerk.
+
+
+
+
+**Richtlijn**
+
+Er behoren beheersmaatregelen te worden geïmplementeerd om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermenn het bijzonder behoort met de volgende aspecten rekening te worden gehouden:
+
+a) het soort informatie dat het netwerk kan ondersteunen en het classificatieniveau ervan;
+
+b) verantwoordelijkheden en procedures voor het beheer van netwerkapparatuur en apparaten
+
+vaststellen;
+
+c) actuele documentatie onderhouden, waaronder netwerkschema\'s en configuratiebestanden van
+
+apparatuur (bijvouters, switches);
+
+d) de operationele verantwoordelijkheid voor netwerken scheiden van de operationele activiteiten
+
+met de ICT-systemen, al naargelang de situatie (zie 5;
+
+e) beheersmaatregelen vaststellen om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen (zie 5, 8, 5 en 6r kunnen ook aanvullende beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aan het netwerk aangesloten computers in stand te houden;
+
+f) op passende wijze logbestanden bijhouden en monitoring uitvoeren om het registreren en detecteren van acties die van invloed kunnen zijn op of relevant zijn voor informatiebeveiliging, mogelijk te maken (zie 8 en 8);
+
+g) netwerkbeheeractiviteiten nauwgezet coördineren, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
+
+h) systemen op het netwerk authenticeren;
+
+i) de verbinding van systemen met het netwerk beperken en filteren (bijvoor gebruik te maken van
+
+firewalls);
+
+j) de verbinding van apparatuur en apparaten met het netwerk detecteren, beperken en
+
+authenticeren;
+
+k) hardening van netwerkapparatuur;
+
+l) netwerkbeheerkanalen van ander netwerkverkeer scheiden;
+
+m)kritieke subnetwerken tijdelijk isoleren (bijvet 'drawbridges' (ophaalbruggen)) als het netwerk
+
+wordt aangevallen;
+
+n) kwetsbare netwerkprotocollen uitschakelen.
+
+De organisatie behoort te garanderen dat passende beveiligingsbeheersmaatregelen worden toegepast op het gebruik van gevirtualiseerde netwerkennder gevirtualiseerde netwerken vallen ook softwaregedefinieerde netwerken (SDN, SD-WAN)anuit beveiligingsoogpunt kunnen
+
+gevirtualiseerde netwerken wenselijk zijn, omdat ze een logische segmentatie mogelijk maken van de communicatie die over fysieke netwerken plaatsvindt, met name voor systemen en toepassingen die met behulp van 'distributed computing' (gedistribueerd rekenen) worden geïmplementeerd.
+
+
+
+
+**Overige informatie**
+
+Aanvullende informatie over netwerkbeveiliging is te vinden in de ISO/IEC 27033-reekseer informatie over gevirtualiseerde netwerken is te vinden in ISO/IEC TS 23167.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten.md
new file mode 100644
index 0000000..d397616
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten.md
@@ -0,0 +1,75 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord.
+
+**Doel**
+
+De beveiliging bij het gebruik van netwerkdiensten waarborgen.
+
+**Richtlijn**
+
+De beveiligingsmaatregelen die nodig zijn voor bepaalde diensten, zoals beveiligingskenmerken, dienstverleningsniveaus en -eisen, behoren te worden vastgesteld en geïmplementeerd (door interne of externe aanbieders van netwerkdiensten)e organisatie behoort ervoor te zorgen dat aanbieders van netwerkdiensten deze maatregelen implementeren.
+
+De kundigheid van de aanbieder van de netwerkdienst om de overeengekomen diensten veilig te beheren, behoort te worden vastgesteld en regelmatig te worden gemonitordet recht om een audit uit te voeren behoort te worden overeengekomen tussen de organisatie en de aanbiedere organisatie behoort ook door dienstverleners verstrekte attesten van derden in aanmerking te nemen om aan te tonen dat zij passende beveiligingsmaatregelen handhaven.
+
+Er behoren regels over het gebruik van netwerken en netwerkdiensten te worden opgesteld en geïmplementeerdeze behoren het volgende af te dekken:
+
+a) de netwerken en netwerkdiensten waartoe toegang wordt verleend;
+
+b) eisen voor authenticatie voor de toegang tot de verschillende netwerkdiensten;
+
+c) autorisatieprocedures om vast te stellen wie toegang krijgt tot welk netwerk en welke
+
+netwerkdiensten;
+
+d) netwerkbeheer- en technologische beheersmaatregelen en -procedures om de toegang tot
+
+netwerkverbindingen en -diensten te beschermen;
+
+e) de middelen die worden gebruikt om toegang te krijgen tot netwerken en netwerkdiensten [bijv.
+
+het gebruik van een virtueel privénetwerk (VPN) of draadloos netwerk];
+
+f) tijdstip, locatie en andere attributen van de gebruiker op het tijdstip van de toegang;
+
+g) monitoren van het gebruik van netwerkdiensten.
+
+
+
+
+De volgende beveiligingskenmerken van netwerkdiensten behoren in overweging te worden genomen:
+
+a) technologie die wordt toegepast voor de beveiliging van netwerkdiensten, zoals authenticatie,
+
+codering en beheersmaatregelen voor netwerkverbinding;
+
+b) technische parameters die nodig zijn voor een veilige verbinding met de netwerkdiensten, in
+
+overeenstemming met de regels voor beveiliging en netwerkverbinding;
+
+c) 'caching' (bijvn een 'content delivery network') en de parameters daarvan die gebruikers in staat stellen het gebruik van 'caching' te kiezen overeenkomstig de prestatie-, beschikbaarheids- en vertrouwelijkheidseisen;
+
+d) procedures voor het gebruik van netwerkdiensten ter beperking van toegang tot netwerkdiensten
+
+of, voor zover noodzakelijk, -toepassingen.
+
+**Overige informatie**
+
+Tot netwerkdiensten behoren het leveren van aansluitingen, particuliere netwerkdiensten en beheerde netwerkbeveiligingsoplossingen zoals firewalls en inbraakdetectiesystemeneze diensten kunnen variëren van eenvoudige onbeheerde bandbreedte tot en met complexe aanbiedingen met toegevoegde waarde.
+
+Verdere richtlijnen over een kader voor toegangsbeheer worden gegeven in ISO/IEC 29146.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md
new file mode 100644
index 0000000..7abc9ba
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.22_BT Netwerksegmentatie.md
@@ -0,0 +1,37 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Groepen informatiediensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd.
+
+**Doel**
+
+Het netwerk opsplitsen met beveiligingsgrenzen en het verkeer ertussen op basis van de bedrijfsbehoeften beheersen.
+
+**Richtlijn**
+
+De organisatie behoort te overwegen de beveiliging van grote netwerken te beheren door ze te verdelen in gesegmenteerde netwerkdomeinen en ze van het openbare netwerk (dznternet) te segmenterene domeinen kunnen worden gekozen op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijvpenbaar toegankelijk domein, bureaubladdomein, serverdomein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijversoneelszaken, financiën, marketing) of een combinatie ervan (bijververdomein verbonden met meerdere afdelingen van de organisatie)e segmentering kan tot stand worden gebracht door hetzij fysiek verschillende netwerken, hetzij verschillende logische netwerken te gebruiken.
+
+
+
+
+De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang tussen netwerkdomeinen is toegelaten, behoort dit bij de buitengrenzen te worden beheerst door een gateway te gebruiken (bijven firewall, een filterende router)e criteria voor het segmenteren van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domeine beoordeling behoort in overeenstemming te zijn met het onderwerpspecifieke toegangsbeveiligingsbeleid (zie 5), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
+
+Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd.
+
+**Overige informatie**
+
+Netwerken strekken zich vaak uit tot buiten de muren van de organisatie omdat bedrijfsmatige partnerschappen worden gevormd waarvoor onderlinge verbinding of het delen van informatieverwerkende en netwerkfaciliteiten vereist isoor dergelijke uitbreidingen kan het risico op onbevoegde toegang tot de informatiesystemen van de organisatie die gebruikmaken van het netwerk toenemen, waarbij sommige gevoelige en essentiële informatiesystemen bescherming tegen andere netwerkgebruikers nodig hebben.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md
new file mode 100644
index 0000000..5d3d3cc
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.23_BT Toepassen van webfilters.md
@@ -0,0 +1,55 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+======================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
+
+**Doel**
+
+Systemen beschermen om te voorkomen dat ze door malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen te voorkomen.
+
+**Richtlijn**
+
+De organisatie behoort de risico\'s te beperken dat haar personeel toegang krijgt tot websites die illegale informatie bevatten of waarvan bekend is dat ze virussen of phishingmateriaal bevattenen techniek om dit te bereiken is het IP-adres of het domein van de desbetreffende website(s) te
+
+
+
+
+blokkerenepaalde browsers en antimalwaretechnologieën doen dit automatisch of kunnen hiervoor worden geconfigureerd.
+
+De organisatie behoort te identificeren tot welke soorten websites haar personeel wel of niet toegang behoort te hebbene organisatie behoort te overwegen de toegang tot de volgende soorten websites te blokkeren:
+
+a) websites met een functie voor het uploaden van informatie, tenzij dit om geldige zakelijke redenen
+
+is toegestaan;
+
+b) websites waarvan bekend is of die ervan verdacht worden kwaadaardig te zijn (bijvoorbeeld
+
+websites die malware of phishinginhoud verspreiden);
+
+c) command-and-controlservers;
+
+d) websites die volgens informatie en analyses over dreigingen kwaadaardig zijn (zie 5;
+
+e) websites die illegale inhoud delen.
+
+Alvorens deze beheersmaatregel in te zetten, behoort de organisatie regels op te stellen voor veilig en gepast gebruik van online bronnen, met inbegrip van een eventuele beperking van ongewenste of ongepaste websites en internetgebaseerde toepassingene regels behoren actueel te worden gehouden.
+
+Het personeel behoort training te krijgen over het beveiligde en passende gebruik van online middelen, met inbegrip van toegang tot internete training behoort onder andere in te gaan op de regels van de organisatie, het contactpunt voor het melden van veiligheidskwesties en de uitzonderingsprocedure wanneer toegang tot online middelen waarvoor beperkingen gelden om legitieme zakelijke redenen nodig isr behoort ook training aan het personeel te worden gegeven om te garanderen dat ze browsermeldingen die aangeven dat een website niet veilig is, maar waarbij de gebruiker wel kan doorgaan, niet in de wind slaan.
+
+**Overige informatie**
+
+Allerlei technieken kunnen worden gebruikt om webfilters toe te passen, zoals onder andere handtekeningen, heuristiek, een lijst van aanvaardbare websites of domeinen, een lijst van verboden websites of domeinen en configuratie op maat om te helpen voorkomen dat kwaadaardige software en andere kwaadaardige activiteiten het netwerk en de systemen van de organisatie aanvallen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md
index 6fc1f23..245ae4c 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT Gebruik van cryptografie.md
@@ -2,3 +2,128 @@
---
Standard: ISO 27002:2022 NL
---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.
+
+
+
+
+**Doel**
+
+Correct en doeltreffend gebruik bewerkstelligen van cryptografie om de vertrouwelijkheid, authenticiteit of integriteit van informatie overeenkomstig de bedrijfs- en informatiebeveiligingseisen te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie.
+
+**Richtlijn**
+
+Algemeen
+
+Het volgende behoort te worden overwogen bij het gebruik van cryptografie:
+
+a) het door de organisatie gedefinieerde onderwerpspecifieke beleid inzake cryptografie, met inbegrip van de algemene principes voor de bescherming van informatieen onderwerpspecifiek beleid voor het gebruik van cryptografie is nodig om de voordelen van het gebruik van cryptografische technieken zo groot mogelijk en de risico's zo klein mogelijk te maken en om ongepast en onjuist gebruik te voorkomen;
+
+b) het vereiste beschermingsniveau en de classificatie van de informatie identificeren en vervolgens
+
+het vereiste type cryptografische algoritmen en de vereiste sterkte en kwaliteit ervan vaststellen;
+
+c) het gebruik van cryptografie voor het beschermen van informatie op mobiele 'endpoint devices' van gebruikers of opslagmedia en van informatie die via netwerken naar dergelijke apparaten of opslagmedia wordt verzonden;
+
+d) de aanpak van sleutelbeheer, waaronder methoden voor het genereren en beschermen van cryptografische sleutels en het herstel van versleutelde informatie in geval sleutels verloren gaan of gecompromitteerd of beschadigd raken;
+
+e) rollen en verantwoordelijkheden voor:
+
+1) het implementeren van de regels voor doeltreffend gebruik van cryptografie;
+
+2) het sleutelbeheer, waaronder het aanmaken van sleutels (zie 8);
+
+f) de toe te passen normen, evenals cryptografische algoritmen, de sterkte van code, cryptografische
+
+oplossingen en gebruikspraktijken die zijn goedgekeurd of vereist voor gebruik in de organisatie;
+
+g) de impact van het gebruik van versleutelde informatie op beheersmaatregelen die zijn gebaseerd
+
+op controle van de inhoud (bijvetectie van malware of het filteren van inhoud).
+
+Bij het implementeren van de regels van de organisatie voor het doeltreffende gebruik van cryptografie behoort rekening te worden gehouden met de regelgeving en nationale beperkingen die van toepassing kunnen zijn op het gebruik van cryptografische technieken in verschillende delen van de wereld, evenals met problemen met grensoverschrijdende stromen van versleutelde informatie (zie 5).
+
+De inhoud van dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten (bijvet een certificerende instantie) behoort aansprakelijkheid, betrouwbaarheid van dienstverlening en responstijden voor dienstverlening te omvatten (zie 5).
+
+Sleutelbeheer
+
+Passend sleutelbeheer vereist nauwkeurige procedures voor het aanmaken, bewaren, archiveren, terugvinden, distribueren, terugtrekken en vernietigen van cryptografische sleutels.
+
+
+
+
+Een sleutelbeheersysteem behoort te zijn gebaseerd op een overeengekomen pakket van normen, procedures en beveiligingsmethoden voor:
+
+a) het aanmaken van sleutels voor verschillende cryptografische systemen en verschillende
+
+toepassingen;
+
+b) het verstrekken en verkrijgen van openbare sleutelcertificaten;
+
+c) het verspreiden van sleutels onder de beoogde entiteiten en een instructie hoe de sleutels na
+
+ontvangst kunnen worden geactiveerd;
+
+d) het opslaan van sleutels en de wijze waarop bevoegde gebruikers toegang tot sleutels krijgen;
+
+e) het wijzigen of updaten van sleutels, met inbegrip van regels over wanneer en hoe sleutels behoren
+
+te worden gewijzigd;
+
+f) het omgaan met gecompromitteerde sleutels;
+
+g) het intrekken van sleutels, met inbegrip van hoe men sleutels kan terugtrekken of deactiveren [bijvls sleutels zijn gecompromitteerd of als een gebruiker de organisatie verlaat (in welk geval sleutels ook behoren te worden gearchiveerd)];
+
+h) het herstellen van sleutels die verloren of gecorrumpeerd zijn;
+
+i) het back-uppen of archiveren van sleutels;
+
+j) het vernietigen van sleutels;
+
+k) het registreren en auditen van aan sleutelbeheer gerelateerde activiteiten;
+
+l) het instellen van activerings- en deactiveringstijdstippen voor sleutels zodat de sleutels alleen kunnen worden gebruikt voor de tijdsduur overeenkomstig de regels voor sleutelbeheer van de organisatie;
+
+m)het omgaan met rechtsverzoeken om toegang tot cryptografische sleutels (er kan bijvoorbeeld worden geëist dat versleutelde informatie in onversleutelde vorm beschikbaar wordt gesteld als bewijs in een rechtszaak).
+
+Alle cryptografische sleutels behoren te worden beschermd tegen aanpassing en verliesovendien hebben geheime en particuliere sleutels bescherming nodig tegen onbevoegd gebruik en tegen openbaarmakingpparatuur die wordt gebruikt om sleutels aan te maken, op te slaan en te archiveren, behoort fysiek te worden beschermd.
+
+Naast integriteit behoort voor veel usecases aandacht te worden besteed aan de authenticiteit van openbare sleutels.
+
+**Overige informatie**
+
+Voor de authenticiteit van openbare sleutels worden er meestal processen voor het beheer van openbare sleutels toegepast die gebruikmaken van certificaatinstanties en openbare- sleutelcertificaten, maar het is ook mogelijk om hiervoor gebruik te maken van technologieën zoals het toepassen van handmatige processen voor een klein aantal sleutels.
+
+
+
+
+Cryptografie kan worden gebruikt voor verschillende informatiebeveiligingsdoelstellingen, bijvoorbeeld:
+
+a) vertrouwelijkheid: codering van informatie gebruiken om gevoelige of essentiële informatie, tijdens
+
+opslag of verzending, te beschermen;
+
+b) integriteit of authenticiteit: digitale handtekeningen of authenticatiecodes voor berichten gebruiken om de authenticiteit of integriteit van gevoelige of essentiële informatie tijdens opslag of verzending te verifiërenebruikmaken van algoritmen om de integriteit van bestanden te controleren;
+
+c) onweerlegbaarheid: cryptografische technieken gebruiken om bewijs te verkrijgen van het al dan
+
+niet plaatsvinden van een gebeurtenis of actie;
+
+d) authenticatie: cryptografische technieken gebruiken ter authenticatie van gebruikers en andere
+
+systeementiteiten die toegang vragen tot of die verrichtingen doen met systeemgebruikers, -entiteiten en -bronnen.
+
+De ISO/IEC 11770-reeks geeft verdere informatie over sleutelbeheer.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN Gebruik van cryptografie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN Gebruik van cryptografie.md
deleted file mode 100644
index 5220d3d..0000000
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN Gebruik van cryptografie.md
+++ /dev/null
@@ -1,35 +0,0 @@
-#iso27002/2022/NL
----
-Standard: ISO 27002:2022 NL
----
-## 8.24 Gebruik van cryptografie
-ISO 27002:2022 [[ISO_27002_2022_NL_BT 8.24 Gebruik van cryptografie|Brontekst]]
-
-#### Wat
-Beschrijving van de beheersmaatrege;l
-
-#### Waarom
-Doel van de maatregel
-
-#### Hoe
-- Lijst van uit te voeren activiteiten
-
-##### Sub van Hoe
-Eisen aan de structuur en inhoud van artefacten, en andere aanwijzingen.
-
-#### Overige informatie
-- lijst
-
-#### Bewijs
-Auditors kijken naar bewijzen van de implementatie van het proces. Dit kan bijvoorbeeld de volgende vorm aannemen:
-
-| Omschrijving van bewijs | ISO27DIY artefact |
-| ----------------------- | ----------------- |
-| Omschrijving 1 | Artefact 1 |
-
-#### Gerelateerd
-Naar deze maatregel wordt verwezen in:
-- [ ] Andere beheersmaatregelen binnen dezelfde norm die verwijzen naar deze maatregel
-
-Andere gerelateerde ISO 27x beheersmaatregelen:
-- [ ] Gerelateerde ISO 27x beheersmaatregelen die *niet* letterlijk in de brontekst genoemd worden.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md
new file mode 100644
index 0000000..6fa408b
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus.md
@@ -0,0 +1,65 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.
+
+**Doel**
+
+Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van software en systemen wordt ontworpen en geïmplementeerd.
+
+**Richtlijn**
+
+Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden:
+
+a) scheiding van ontwikkel-, test- en productieomgevingen (zie 8);
+
+b) richtlijnen betreffende beveiliging in de levenscyclus van systeemontwikkeling:
+
+1) beveiliging in de softwareontwikkelmethodiek (zie 8 en 8);
+
+2) richtlijnen voor beveiligde codering voor elke programmeertaal die wordt gebruikt (zie 8);
+
+c) beveiligingseisen tijdens de specificatie- en ontwerpfase (zie 5;
+
+
+
+
+d) beveiligingscontrolepunten in projecten (zie 5;
+
+e) het testen van de systemen en de beveiliging, zoals regressietests, codescan- en penetratietests
+
+(zie 8);
+
+f) beveiligde bewaarplaatsen voor broncode en configuratie (zie 8en 8;
+
+g) beveiliging in het versiebeheer (zie 8);
+
+h) de vereiste kennis van en opleiding in de beveiliging van toepassingen (zie 8);
+
+i) het vermogen van de ontwikkelaar om kwetsbaarheden te voorkomen, te vinden en te repareren
+
+(zie 8);
+
+j) licentie-eisen en alternatieven om kosteneffectieve oplossingen te bewerkstelligen en tegelijkertijd
+
+toekomstige licentieproblemen te voorkomen (zie 5).
+
+Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8).
+
+**Overige informatie**
+
+Ook binnen toepassingen kan ontwikkeling plaatsvinden, zoals binnen kantoortoepassingen, scripting, browsers en databases.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md
new file mode 100644
index 0000000..5f97d8c
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen.md
@@ -0,0 +1,229 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
+| | | | | |
+| | | | | #Verdediging |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren eisen aan de informatiebeveiliging te worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen.
+
+**Doel**
+
+Garanderen dat alle informatiebeveiligingseisen zijn geïdentificeerd en meegenomen bij het ontwikkelen of aanschaffen van toepassingen.
+
+**Richtlijn**
+
+Algemeen
+
+Beveiligingseisen voor toepassingen behoren te worden geïdentificeerd en gespecificeerdeze eisen worden gewoonlijk aan de hand van een risicobeoordeling vastgestelde eisen behoren met ondersteuning van informatiebeveiligingsspecialisten te worden ontwikkeld.
+
+Toepassingsbeveiligingseisen kunnen allerlei onderwerpen betreffen, afhankelijk van het doel van de toepassing.
+
+
+
+
+Toepassingsbeveiligingseisen behoren het volgende te omvatten, al naargelang de situatie:
+
+a) het niveau van vertrouwen in de identiteit van entiteiten [bijvia authenticatie (zie 5, 8en
+
+8];
+
+b) het identificeren van het door de toepassing te verwerken soort informatie en het
+
+classificatieniveau ervan;
+
+c) de noodzaak van segmentatie van toegang en het niveau van toegang tot gegevens en functies in de
+
+toepassing;
+
+d) weerstand tegen kwaadaardige aanvallen of onbedoelde verstoringen [bijvescherming tegen
+
+bufferoverflow of SQL-injecties];
+
+e) wettelijke, statutaire en regelgevende eisen in het rechtsgebied waar de transactie wordt
+
+gegenereerd, verwerkt, voltooid of opgeslagen;
+
+f) de noodzaak van privacy met betrekking tot alle betrokken partijen;
+
+g) de eisen ten aanzien van bescherming van vertrouwelijke informatie;
+
+h) bescherming van gegevens tijdens de verwerking, tijdens het transport en in ruste;
+
+i) de noodzaak om communicatie tussen alle betrokken partijen op beveiligde wijze te versleutelen;
+
+j) inputbeheersmaatregelen, waaronder integriteitscontroles en validatie van de invoer;
+
+k) geautomatiseerde beheersmaatregelen (bijvoedkeuringslimieten of dubbele goedkeuring);
+
+l) outputbeheersmaatregelen, waarbij ook wordt nagedacht over wie er toegang kan hebben tot
+
+output en de autorisatie ervoor;
+
+m)beperkingen met betrekking tot de inhoud van 'vrije tekstvelden', aangezien deze kunnen leiden tot
+
+ongecontroleerde opslag van vertrouwelijke gegevens (bijversoonsgegevens);
+
+n) eisen die zijn afgeleid van het bedrijfsproces, zoals registreren en monitoren van transacties, eisen
+
+voor onweerlegbaarheid;
+
+o) eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot beveiliging (bijvnterfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);
+
+p) het afhandelen van foutmeldingen.
+
+Transactionele diensten
+
+In aanvulling hierop behoort voor toepassingen die transactionele diensten tussen de organisatie en een partner aanbieden, het volgende in aanmerking te worden genomen bij het identificeren van informatiebeveiligingseisen:
+
+a) de mate van vertrouwen die beide partijen eisen van elkaars beweerde identiteit;
+
+b) de vereiste mate van vertrouwen in de integriteit van informatie die wordt uitgewisseld of verwerkt en de mechanismen voor het identificeren van integriteitsgebreken (bijvyclische redundantiecontrole, hashing, digitale handtekeningen);
+
+
+
+
+c) autorisatieprocedures voor wie de inhoud van belangrijke transactiedocumenten kan goedkeuren,
+
+belangrijke transactiedocumenten in circulatie kan brengen of kan ondertekenen;
+
+d) vertrouwelijkheid, integriteit, bewijs van verzending en ontvangst van belangrijke documenten en
+
+de onweerlegbaarheid (bijvontracten in samenhang met inschrijvings- en contractprocedures);
+
+e) de vertrouwelijkheid en integriteit van transacties (bijvrders, gegevens betreffende
+
+afleveringsadressen en ontvangstbevestigingen);
+
+f) eisen ten aanzien van hoelang een transactie vertrouwelijk moet blijven;
+
+g) verzekerings- en andere contractuele eisen.
+
+Toepassingen voor elektronisch bestellen en betalen
+
+In aanvulling hierop behoort het volgende in aanmerking te worden genomen voor toepassingen waarbij er sprake is van elektronisch bestellen en betalen:
+
+a) eisen om de vertrouwelijkheid en integriteit van orderinformatie in stand te houden;
+
+b) de mate van verificatie die passend is voor controle van betalingsinformatie die door een klant is
+
+verstrekt;
+
+c) verlies of vermenigvuldiging van transactie-informatie vermijden;
+
+d) transactiegegevens buiten een publiek toegankelijke omgeving opslaan (bijvp een opslagplatform op het intranet van de organisatie, in plaats van deze te bewaren en te tonen op direct vanuit internet toegankelijke elektronische opslagmedia);
+
+e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhouden van digitale handtekeningen of digitale certificaten), beveiliging integreren en inbedden in het gehele beheerproces van certificaten of handtekeningen.
+
+Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8), waarbij wettelijke eisen in aanmerking worden genomen (zie 5 t/m 5, zie in het bijzonder 5 voor wetgeving betreffende cryptografie).
+
+**Overige informatie**
+
+Toepassingen die toegankelijk zijn via netwerken, staan bloot aan een reeks netwerkgerelateerde dreigingen zoals frauduleuze activiteiten, geschillen over contracten of openbaarmaking van informatie; onvolledige verzending, foutieve routering, ongeautoriseerd(e) wijziging, vermenigvuldiging of afspelen van berichtenaarom zijn gedetailleerde risicobeoordelingen en zorgvuldige vaststelling van beheersmaatregelen onmisbaarereiste beheersmaatregelen behelzen vaak cryptografische methoden voor het authenticeren en beveiligen van gegevensoverdracht.
+
+Verdere informatie over de beveiliging van toepassingen is te vinden in de ISO/IEC 27034-reeks.
+
+
+
+
+8.27 Veilige systeemarchitectuur en technische uitgangspunten
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.
+
+**Doel**
+
+Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.
+
+**Richtlijn**
+
+Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen.
+
+Uitgangspunten voor veilig ontwerpen bieden richtlijnen voor manipulatietechnieken, beheer van beveiligde sessies en gegevensvalidatie en opschoning.
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen behoren een analyse te omvatten van:
+
+a) het volledige spectrum van beheersmaatregelen voor beveiliging dat vereist is om informatie en systemen tegen geïdentificeerde dreigingen te beschermen;
+
+b) de capaciteit van beveiligingsbeheersmaatregelen om beveiligingsgebeurtenissen te voorkomen, te detecteren of erop te reageren;
+
+c) specifieke beveiligingsbeheersmaatregelen die worden vereist door bepaalde bedrijfsprocessen (bijv. het versleutelen van gevoelige informatie, integriteitscontrole en digitale ondertekening van informatie);
+
+d) waar en hoe beveiligingsbeheersmaatregelen behoren te worden toegepast (bijv.door ze te integreren met een beveiligingsarchitectuur en de technische infrastructuur);
+
+e) hoe individuele beveiligingsbeheersmaatregelen (handmatige en geautomatiseerde) samenwerken om een geïntegreerde verzameling beheersmaatregelen tot stand te brengen.
+
+In de uitgangspunten voor het ontwerpen van beveiligde systemen behoort rekening te worden gehouden met:
+
+a) de noodzaak van integratie met een beveiligingsarchitectuur;
+
+b) technische beveiligingsinfrastructuur [bijvoorbeeld openbaresleutelinfrastructuur (PKI), identiteits- en toegangsbeheer (IAM), voorkoming van het lekken van gegevens en dynamisch toegangsbeheer];
+
+c) de capaciteit van de organisatie om de gekozen technologie te ontwikkelen en te ondersteunen;
+
+d) de kosten, tijd en complexiteit van het voldoen aan de beveiligingseisen;
+
+e) 'best practices'.
+
+Het ontwerp van beveiligde systemen behoort gepaard te gaan met:
+
+a) het gebruik van uitgangspunten voor beveiligingsarchitectuur zoals 'security by design' (beveiliging door ontwerp), 'defence in depth', 'security by default', 'default deny' (standaard weigeren), 'fail securely', 'distrust input from external applications' (input van externe toepassingen wantrouwen), 'security in deployment' (beveiliging tijdens implementatie), 'assume breach' (uitgaan van inbreuk), 'least privilege' (mininimaal benodigde rechten), 'usability and manageability' (bruikbaarheid en beheerbaarheid) en 'least functionality' (minimale benodigde functionaliteit);
+
+b) een beveiligingsgerichte beoordeling van het ontwerp om kwetsbaarheden op het gebied van informatiebeveiliging te helpen detecteren, ervoor te zorgen dat beveiligingsbeheersmaatregelen zijn gespecificeerd en aan de beveiligingseisen te voldoen;
+
+c) documentatie en formele erkenning van beveiligingsbeheersmaatregelen die niet volledig aan de eisen voldoen (bijvanwege dwingende veiligheidseisen);
+
+d) hardening van systemen.
+
+De organisatie behoort 'zero trust'-beginselen te overwegen zoals:
+
+a) ervan uitgaan dat er al sprake is van een inbreuk op de informatiesystemen van de organisatie en er daarom niet alleen kan worden vertrouwd op beveiliging van de buitengrenzen van netwerken;
+
+b) een benadering van 'nooit vertrouwen, altijd verifiëren' hanteren voor toegang tot informatiesystemen;
+
+c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versleuteld zijn;
+
+d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
+
+e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
+
+f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
+
+De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
+
+De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen.
+
+**Overige informatie**
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals:
+
+--- storingstolerantie en andere technieken met het oog op veerkracht;
+
+--- segmentatie (bijvoor virtualisatie of containerisatie); --- bestendigheid tegen manipulatie.
+
+Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens.
+
+Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist).
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md
new file mode 100644
index 0000000..608a55d
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten.md
@@ -0,0 +1,92 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.
+
+**Doel**
+
+Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus.
+
+**Richtlijn**
+
+Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen.
+
+Uitgangspunten voor veilig ontwerpen bieden richtlijnen voor manipulatietechnieken, beheer van beveiligde sessies en gegevensvalidatie en opschoning.
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen behoren een analyse te omvatten van:
+
+a) het volledige spectrum van beheersmaatregelen voor beveiliging dat vereist is om informatie en systemen tegen geïdentificeerde dreigingen te beschermen;
+
+b) de capaciteit van beveiligingsbeheersmaatregelen om beveiligingsgebeurtenissen te voorkomen, te detecteren of erop te reageren;
+
+c) specifieke beveiligingsbeheersmaatregelen die worden vereist door bepaalde bedrijfsprocessen (bijv. het versleutelen van gevoelige informatie, integriteitscontrole en digitale ondertekening van informatie);
+
+d) waar en hoe beveiligingsbeheersmaatregelen behoren te worden toegepast (bijv.door ze te integreren met een beveiligingsarchitectuur en de technische infrastructuur);
+
+e) hoe individuele beveiligingsbeheersmaatregelen (handmatige en geautomatiseerde) samenwerken om een geïntegreerde verzameling beheersmaatregelen tot stand te brengen.
+
+In de uitgangspunten voor het ontwerpen van beveiligde systemen behoort rekening te worden gehouden met:
+
+a) de noodzaak van integratie met een beveiligingsarchitectuur;
+
+b) technische beveiligingsinfrastructuur [bijvoorbeeld openbaresleutelinfrastructuur (PKI), identiteits- en toegangsbeheer (IAM), voorkoming van het lekken van gegevens en dynamisch toegangsbeheer];
+
+c) de capaciteit van de organisatie om de gekozen technologie te ontwikkelen en te ondersteunen;
+
+d) de kosten, tijd en complexiteit van het voldoen aan de beveiligingseisen;
+
+e) 'best practices'.
+
+Het ontwerp van beveiligde systemen behoort gepaard te gaan met:
+
+a) het gebruik van uitgangspunten voor beveiligingsarchitectuur zoals 'security by design' (beveiliging door ontwerp), 'defence in depth', 'security by default', 'default deny' (standaard weigeren), 'fail securely', 'distrust input from external applications' (input van externe toepassingen wantrouwen), 'security in deployment' (beveiliging tijdens implementatie), 'assume breach' (uitgaan van inbreuk), 'least privilege' (mininimaal benodigde rechten), 'usability and manageability' (bruikbaarheid en beheerbaarheid) en 'least functionality' (minimale benodigde functionaliteit);
+
+b) een beveiligingsgerichte beoordeling van het ontwerp om kwetsbaarheden op het gebied van informatiebeveiliging te helpen detecteren, ervoor te zorgen dat beveiligingsbeheersmaatregelen zijn gespecificeerd en aan de beveiligingseisen te voldoen;
+
+c) documentatie en formele erkenning van beveiligingsbeheersmaatregelen die niet volledig aan de eisen voldoen (bijvanwege dwingende veiligheidseisen);
+
+d) hardening van systemen.
+
+De organisatie behoort 'zero trust'-beginselen te overwegen zoals:
+
+a) ervan uitgaan dat er al sprake is van een inbreuk op de informatiesystemen van de organisatie en er daarom niet alleen kan worden vertrouwd op beveiliging van de buitengrenzen van netwerken;
+
+b) een benadering van 'nooit vertrouwen, altijd verifiëren' hanteren voor toegang tot informatiesystemen;
+
+c) bewerkstelligen dat verzoeken aan informatiesystemen van begin tot eind versleuteld zijn;
+
+d) elk verzoek aan een informatiesysteem controleren alsof dit afkomstig is van een open, extern netwerk, zelfs als deze verzoeken intern uit de organisatie afkomstig zijn (dziets binnen of buiten de buitengrenzen van de organisatie automatisch vertrouwen);
+
+e) gebruikmaken van 'least privilege' (minste rechten) en dynamische toegangsbeveiligingstechnieken (zie 5, 5 en 8it omvat het authenticeren en autoriseren van verzoeken om informatie of aan systemen op basis van contextuele informatie zoals authenticatie-informatie (zie 5), gebruikersidentiteiten (zie 5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5);
+
+f) personen die verzoeken indienen altijd authenticeren en autorisatieverzoeken aan informatiesystemen altijd valideren op basis van informatie, waaronder authenticatie-informatie (zie 5) en gebruikersidentiteiten (5), gegevens over het 'endpoint device' van de gebruiker, en gegevensclassificatie (zie 5), bijvoorbeeld krachtige authenticatie (bijv. multifactor, zie 8) afdwingen.
+
+De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en systeemarchitecturen behoren indien van toepassing te worden toegepast op de uitbestede ontwikkeling van informatiesystemen via de contracten en andere bindende overeenkomsten tussen de organisatie en de leverancier aan wie de organisatie uitbesteedte organisatie behoort ervoor te zorgen dat de praktijken van leveranciers voor het ontwerpen van beveiligde systemen aansluiten op de behoeften van de organisatie.
+
+De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen.
+
+**Overige informatie**
+
+Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals:
+
+--- storingstolerantie en andere technieken met het oog op veerkracht;
+
+--- segmentatie (bijvoor virtualisatie of containerisatie); --- bestendigheid tegen manipulatie.
+
+Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens.
+
+Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist).
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md
index e69de29..2b5eb19 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.28_BT Veilig coderen.md
@@ -0,0 +1,120 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.
+
+**Doel**
+
+Waarborgen dat veilige software wordt geschreven waardoor het aantal potentiële informatiebeveiligingskwetsbaarheden in de software wordt beperkt.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort organisatiebrede processen op te stellen om te voorzien in goede governance voor veilig coderenr behoort een minimale nullijn wat betreft beveiliging te worden vastgesteld en toegepastn aanvulling hierop behoren dergelijke processen en governance te worden uitgebreid tot softwarecomponenten van derden en opensourcesoftware.
+
+De organisatie behoort te monitoren op dreigingen in de echte wereld en actueel advies en actuele informatie over kwetsbaarheden in software als richtlijn om de principes voor veilig coderen van de organisatie door middel van continue verbetering en voortdurend leren te sturenit kan bijdragen aan het garanderen dat er doeltreffende praktijken voor veilig coderen worden geïmplementeerd als tegenhanger tegen het snel veranderende dreigingslandschap.
+
+Planning en voorafgaand aan het coderen
+
+Principes voor veilig coderen behoren zowel voor nieuwe ontwikkelingen als bij hergebruikscenario\'s te worden gebruikteze principes behoren te worden toegepast op ontwikkelingsactiviteiten binnen de organisatie en voor producten en diensten die de organisatie aan anderen leverte planning en de voorwaarden voorafgaand aan het coderen behoren het volgende te omvatten:
+
+a) organisatiespecifieke verwachtingen en goedgekeurde principes voor veilig coderen die zowel voor interne als voor uitbestede codeontwikkelingen behoren te worden gebruikt;
+
+b) gebruikelijke en historische codeerpraktijken en -gebreken die tot kwetsbaarheden in de informatiebeveiliging leiden;
+
+c) ontwikkelinstrumenten, zoals geïntegreerde ontwikkelomgevingen (IDE\'s), configureren om te helpen het maken van veilige code af te dwingen;
+
+d) richtlijnen volgen die door de aanbieders van ontwikkelinstrumenten en uitvoeringsomgevingen worden gegeven, al naargelang de situatie;
+
+e) onderhoud en gebruik van actuele ontwikkelinstrumenten (bijvompilers);
+
+f) de kwalificatie van ontwikkelaars voor het schrijven van veilige code;
+
+g) veilig ontwerp en veilige architectuur, met inbegrip van het opstellen van dreigingsmodellen;
+
+h) normen voor veilig coderen en waar relevant het gebruik ervan verplicht stellen;
+
+i) het gebruik van beheerste omgevingen voor ontwikkeling.
+
+Tijdens het coderen
+
+Overwegingen tijdens het coderen behoren te zijn:
+
+a) veilige coderingspraktijken die specifiek zijn voor de programmeertalen en -technieken die worden gebruikt;
+
+b) veilige programmeertechnieken gebruiken zoals 'pair programming' (programmeren in duo\'s), 'refactoring' (code herstructureren), 'peer review' (beoordeling door collega\'s), beveiligingsiteraties en testgestuurde ontwikkeling;
+
+c) gestructureerde programmeertechnieken gebruiken;
+
+d) code documenteren en programmeerfouten verwijderen die anders misbruik van kwetsbaarheden in de informatiebeveiliging mogelijk kunnen maken;
+
+e) het gebruik van onveilige ontwerptechnieken (bijvoorbeeld het gebruik van hardgecodeerde wachtwoorden, niet-goedgekeurde codesamples en niet-geauthenticeerde webdiensten) verbieden.
+
+Er behoort tijdens en na het ontwikkelen te worden getest (zie 8)et procedures voor het statisch testen van de beveiliging van toepassingen (SAST) kunnen beveiligingslekken in software worden geïdentificeerd.
+
+Alvorens software operationeel te maken, behoort:
+
+a) het aanvalsoppervlak en het beginsel van het 'least privilege' (minste voorrechten) te worden geëvalueerd;
+
+b) een analyse te worden uitgevoerd op de meest voorkomende programmeerfouten en te worden gedocumenteerd dat deze zijn hersteld.
+
+Beoordeling en onderhoud
+
+Nadat de code operationeel is gemaakt:
+
+a) behoren updates op beveiligde wijze te worden verpakt en ingezet;
+
+b) behoren gemelde kwetsbaarheden in de informatiebeveiliging te worden opgepakt (zie 8;
+
+c) behoren logbestanden te worden bijgehouden van fouten en vermeende aanvallen en behoren de logbestanden regelmatig te worden beoordeeld om de code zo nodig aan te passen;
+
+d) behoort de broncode te worden beschermd tegen toegang en manipulatie door onbevoegden (bijvoor gebruik te maken van configuratiebeheerinstrumenten, die meestal functies als toegangsbeveiliging en versiebeheer bieden).
+
+Als er gebruikgemaakt wordt van externe instrumenten en bibliotheken, behoort de organisatie na te denken over:
+
+a) het bewerkstelligen dat externe bibliotheken worden beheerd (bijvoor een inventarislijst bij te houden van bibliotheken die worden gebruikt en de desbetreffende versies) en regelmatig worden bijgewerkt met releasecycli;
+
+b) het selecteren, autoriseren en hergebruiken van goed gecontroleerde componenten, met name authenticatie- en cryptografische componenten;
+
+c) de licentie, beveiliging en historie van externe componenten;
+
+d) het bewerkstelligen dat software kan worden onderhouden, wordt getraceerd en afkomstig is van beproefde, gerenommeerde bronnen;
+
+e) het op voldoende lange termijn beschikbaar zijn van ontwikkelmiddelen en artefacten.
+
+Als het nodig is een softwarepakket te wijzigen, behoren de volgende punten in overweging te worden genomen:
+
+a) het risico dat ingebouwde beheersmaatregelen en integriteitsprocessen gecompromitteerd raken;
+
+b) of het al dan niet nodig is toestemming van de leverancier te verkrijgen;
+
+c) de mogelijkheid om de vereiste wijzigingen van de aanbieder als standaard programma-updates te verkrijgen;
+
+d) de impact als de organisatie verantwoordelijk wordt gehouden voor het toekomstig onderhoud van de software als gevolg van de veranderingen;
+
+e) compatibiliteit met andere software die in gebruik is.
+
+**Overige informatie**
+
+Een leidend principe is bewerkstelligen dat beveiligingsrelevante code wordt aangeroepen wanneer dat nodig is en deze bestand is tegen manipulatierogramma\'s die worden geïnstalleerd op basis van gecompileerde binaire code hebben deze eigenschappen ook, maar alleen voor gegevens die binnen de toepassing worden bewaardoor geïnterpreteerde talen werkt het concept alleen wanneer de code wordt uitgevoerd op een server waartoe de gebruikers en de processen die er gebruik van maken verder geen toegang hebben en de gegevens ervan in een op vergelijkbare wijze beschermde database worden bewaarde geïnterpreteerde code kan bijvoorbeeld worden uitgevoerd op een clouddienst waar beheerdersrechten vereist zijn voor toegang tot de code op zichergelijke toegang door een beheerder behoort te worden beschermd door beveiligingsmechanismen zoals just-in- timebeheerprincipes en krachtige authenticatiendien de eigenaar van een toepassing op afstand via de server toegang kan maken tot scripts, kan een aanvaller dat in principe ookebservers behoren dusdanig te worden geconfigureerd dat het doorzoeken van directory\'s in dergelijke gevallen niet mogelijk is.
+
+Het is het beste om er bij het ontwerpen van een toepassingscode vanuit te gaan dat deze code altijd het doelwit is van aanvallen, als gevolg van fouten of door kwaadwillige opzetovendien kunnen kritische toepassingen zo worden ontworpen dat ze bestand zijn tegen interne fouten of storingeno kan bijvoorbeeld de output van een complex algoritme worden gecontroleerd om te garanderen dat deze binnen veilige grenzen ligt voordat de gegevens worden gebruikt in een toepassing zoals een veiligheids- of financieel kritische toepassinge code die de grenscontroles uitvoert, is eenvoudig en daarom veel gemakkelijker om de juistheid ermee aan te tonen.
+
+Bepaalde internettoepassingen zijn gevoelig voor allerlei kwetsbaarheden die worden veroorzaakt door slecht ontwerp en slecht coderen, zoals injectieaanvallen op databases en 'cross-site scripting'- aanvallenij deze aanvallen kunnen verzoeken worden gemanipuleerd om misbruik te maken van de webserverfunctionaliteit.
+
+Meer informatie over het evalueren van ICT-beveiliging is te vinden in de ISO/IEC 15408-reeks.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md
new file mode 100644
index 0000000..d8581a0
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie.md
@@ -0,0 +1,64 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Toepassingsbeveili- ging #Borging_van_infor- matiebeveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.
+
+**Doel**
+
+Valideren of aan de informatiebeveiligingseisen wordt voldaan wanneer toepassingen of code in de productieomgeving worden uitgerold.
+
+**Richtlijn**
+
+Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikkelingsprocessen grondig te worden getest en geverifieerdet testen van de beveiliging behoort een integraal onderdeel te zijn van het testen voor systemen of componenten.
+
+Het testen van de beveiliging behoort te worden uitgevoerd aan de hand van een verzameling eisen die als functioneel of niet-functioneel kunnen worden uitgedruktet testen van de beveiliging behoort het testen te omvatten van:
+
+a) beveiligingsfuncties [bijvuthenticatie van gebruikers (zie 8, toegangsbeperking (zie 8 en het gebruik van cryptografie (zie 8)];
+
+b) veilig coderen (zie 8);
+
+c) beveiligde configuraties (zie 8 8 en 8) waaronder die van besturingssystemen, firewalls en andere beveiligingscomponenten.
+
+Testplannen behoren met behulp van een verzameling criteria te worden vastgestelde omvang van de tests behoort in verhouding te staan tot het belang, de aard van het systeem en de mogelijke impact van de verandering die wordt ingevoerdet testplan behoort het volgende te omvatten:
+
+a) een gedetailleerd schema van de activiteiten en tests;
+
+b) input en verwachte output onder allerlei omstandigheden;
+
+c) criteria om de resultaten te evalueren;
+
+d) een besluit over verdere acties naarmate nodig is.
+
+De organisatie kan geautomatiseerde instrumenten inzetten zoals instrumenten om codes te analyseren of om op kwetsbaarheden te scannen, en behoort het herstel van beveiligingsgerelateerde tekortkomingen te verifiëren.
+
+Voor interne ontwikkelactiviteiten behoren dergelijke tests in eerste instantie te worden uitgevoerd door het ontwikkelteamervolgens behoren onafhankelijke tests te worden uitgevoerd om te bewerkstelligen dat het systeem uitsluitend werkt zoals voorzien (zie 5et volgende behoort te worden overwogen:
+
+a) het uitvoeren van activiteiten om code te beoordelen als relevant element voor het testen op zwakke plekken in de beveiliging, met inbegrip van onvoorziene inputs en omstandigheden;
+
+b) het scannen op kwetsbaarheden om onveilige configuraties en kwetsbaarheden in systemen te identificeren;
+
+c) het uitvoeren van penetratietests om onveilige code en ontwerpen te identificeren.
+
+Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervingsprocedure te worden gevolgdn de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen (zie 5)oordat producten en diensten worden gekocht, behoren ze te worden geëvalueerd tegen deze criteria.
+
+Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8).
+
+**Overige informatie**
+
+Er kunnen meer testomgevingen worden opgezet die gebruikt kunnen worden voor verschillende soorten tests (bijvunctionele en prestatietests)eze verschillende omgevingen kunnen virtueel zijn, met individuele configuraties om allerlei verschillende bedrijfsomgevingen te simuleren.
+
+Het testen en monitoren van testomgevingen, -instrumenten en -technologieën behoort ook te worden overwogen om doeltreffend testen te bewerkstelligenezelfde overwegingen gelden voor het monitoren van de monitoringsystemen die worden ingezet in ontwikkel-, test- en productieomgevingenan de hand van de gevoeligheid van de systemen en gegevens behoort te worden beoordeeld hoeveel lagen metatests zinvol zijn.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md
new file mode 100644
index 0000000..b18837e
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten.md
@@ -0,0 +1,66 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=====================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.
+
+
+
+
+**Doel**
+
+Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten speciale toegangsrechten krijgen.
+
+**Richtlijn**
+
+Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5)et volgende behoort te worden overwogen:
+
+a) het identificeren van gebruikers die speciale toegangsrechten nodig hebben voor elk systeem of
+
+proces (bijvesturingssystemen, databasebeheersystemen en toepassingen);
+
+b) het toekennen van speciale toegangsrechten aan gebruikers waar nodig en van gebeurtenis tot gebeurtenis, overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5) (dzlleen aan personen met de nodige competentie om de activiteiten uit te voeren die speciale toegang vereisen en op basis van de minimumeis voor hun functionele rol);
+
+c) een autorisatieproces in stand houden (dzepalen wie speciale toegangsrechten kan goedkeuren, of speciale toegangsrechten pas toekennen als het autorisatieproces is afgerond) en een registratie van alle toegewezen rechten bijhouden;
+
+d) het definiëren en implementeren van eisen voor het vervallen van speciale toegangsrechten;
+
+e) het treffen van maatregelen om te bewerkstelligen dat de gebruikers zich bewust zijn van hun speciale toegangsrechten en wanneer zij zich in de speciale toegangsmodus bevindenogelijke maatregelen zijn onder andere het gebruik van specifieke gebruikersidentiteiten, gebruikersinterface-instellingen of zelfs specifieke apparatuur;
+
+f) de authenticatie-eisen voor speciale toegangsrechten kunnen hoger zijn dan de eisen voor normale toegangsrechtenerauthenticeren of het aanscherpen van het authenticeren kan nodig zijn voordat er werk met speciale toegangsrechten kan worden uitgevoerd;
+
+g) het regelmatig en na elke organisatiewijziging beoordelen van de gebruikers die met speciale toegangsrechten werken om te verifiëren of ze op grond van hun taken, rollen, verantwoordelijkheden en competentie nog altijd in aanmerking komen voor het werken met speciale toegangsrechten (zie 5);
+
+h) het vaststellen van specifieke regels om het gebruik van generieke gebruikersidentificaties voor beheer (zoals 'root') te vermijden, afhankelijk van de configuratiemogelijkheden van de systemenet beheren en beschermen van de authenticatie-informatie van dergelijke identiteiten (zie 5);
+
+i) tijdelijke speciale toegangsrechten slechts verlenen voor het tijdsvenster dat nodig is om goedgekeurde veranderingen of activiteiten te implementeren (bijvoor onderhoudsactiviteiten of bepaalde essentiële veranderingen), in plaats van speciale toegangsrechten permanent te verlenenit wordt vaak aangeduid als een procedure voor noodtoegang, en wordt vaak geautomatiseerd door technologieën voor het beheer van speciale toegangsrechten;
+
+j) het registreren van alle speciale toegang tot systemen voor auditdoeleinden;
+
+
+
+
+k) identiteiten met speciale toegangsrechten niet met meerdere personen delen of aan meerdere personen koppelen, maar aan elke persoon een afzonderlijke identiteit toekennen waarmee specifieke speciale toegangsrechten kunnen worden toegekenddentiteiten kunnen worden gegroepeerd (bijvoor een beheerdersgroep te definiëren) om het beheer van speciale toegangsrechten te vereenvoudigen;
+
+l) het gebruik van identiteiten met speciale toegangsrechten beperken tot het uitvoeren van beheerfuncties en deze identiteiten niet gebruiken voor de dagelijkse algemene taken [dz-mail bekijken, toegang tot internet (gebruikers behoren voor deze activiteiten een afzonderlijke normale netwerkidentiteit te hebben)].
+
+**Overige informatie**
+
+Speciale toegangsrechten zijn toegangsrechten die aan een identiteit, rol of proces worden verleend om activiteiten te kunnen uitvoeren die gewone gebruikers of processen niet kunnen uitvoerenysteembeheerdersrollen vereisen meestal speciale toegangsrechten.
+
+Ongepast gebruik van speciale systeembeheerdersrechten (elke functie of faciliteit van een informatiesysteem die de gebruiker in staat stelt systeem- of toepassingsbeheersmaatregelen op te heffen) is een factor die in grote mate bijdraagt aan storingen van of inbreuken op het systeem.
+
+Meer informatie over toegangsbeheer en het beveiligde beheer van de toegang tot informatie en informatie- en communicatietechnologiemiddelen is te vinden in ISO/IEC 29146.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md
new file mode 100644
index 0000000..0db7c3c
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling.md
@@ -0,0 +1,57 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+==========================================+=====================================================================================================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen #Detecteren | #Systeem-\_en_netwerk- beveiliging #Toepassingsbeveiliging #Beveiliging_in_leveran- ciersrelaties | #Governance_en\_ Ecosysteem #Bescherming |
+| | | | | |
+| #Detectief | | | | |
++------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.
+
+**Doel**
+
+Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen bij uitbestede systeemontwikkeling worden geïmplementeerd.
+
+
+
+
+**Richtlijn**
+
+Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
+
+a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5);
+
+b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8 t/m 8);
+
+c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren;
+
+d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8);
+
+e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen);
+
+f) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de (zowel opzettelijke als onbedoelde) aanwezigheid van kwaadaardige inhoud op het tijdstip van levering;
+
+g) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de aanwezigheid van bekende kwetsbaarheden;
+
+h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leverancier failliet gaat);
+
+i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
+
+j) beveiligingseisen voor de ontwikkelomgeving (zie 8);
+
+k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens).
+
+**Overige informatie**
+
+Verdere informatie over leveranciersrelaties is te vinden in de ISO/IEC 27036-reeks.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md
new file mode 100644
index 0000000..81044a2
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen.md
@@ -0,0 +1,92 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.
+
+**Doel**
+
+De productieomgeving en de gegevens beschermen tegen compromittering door ontwikkel- en testactiviteiten.
+
+
+
+
+**Richtlijn**
+
+Het scheidingsniveau tussen productie-, test- en ontwikkelomgevingen dat nodig is om operationele problemen te voorkomen, behoort te worden geïdentificeerd en geïmplementeerd.
+
+Met de volgende aspecten behoort rekening te worden gehouden:
+
+a) ontwikkel- en productiesystemen in afdoende mate van elkaar scheiden en ze in verschillende
+
+domeinen uitvoeren (bijvn gescheiden virtuele of fysieke omgevingen);
+
+b) regels en autorisaties definiëren, documenteren en implementeren voor het inzetten van software
+
+vanuit de ontwikkel- naar de productiestatus;
+
+c) veranderingen aan productiesystemen en toepassingen in een test- of gefaseerde omgeving testen
+
+voordat ze in productiesystemen worden toegepast (zie 8);
+
+d) niet testen in productieomgevingen behalve in gedefinieerde en goedgekeurde omstandigheden;
+
+e) compilers, editors en andere ontwikkelinstrumenten of systeemhulpmiddelen behoren, indien ze
+
+niet nodig zijn, niet toegankelijk te zijn vanuit productiesystemen;
+
+f) passende milieu-identificatielabels in menu\'s tonen om het risico op fouten te beperken;
+
+g) geen gevoelige informatie naar de ontwikkel- en testsysteemomgevingen kopiëren tenzij er wordt
+
+voorzien in gelijkwaardige beheersmaatregelen voor de ontwikkel- en testsystemen.
+
+In alle gevallen behoren de ontwikkel- en testomgevingen te worden beschermd, waarbij het volgende in aanmerking behoort te worden genomen:
+
+a) het patchen en bijwerken van alle ontwikkelings-, integratie- en testinstrumenten (met inbegrip
+
+van builders, integratie-instrumenten, compilers, configuratiesystemen en bibliotheken);
+
+b) beveiligde configuratie van systemen en software;
+
+c) toegangsbeveiliging voor de omgevingen;
+
+d) monitoren van veranderingen aan de omgeving en de daarin opgeslagen codes;
+
+e) beveiligde monitoring van de omgevingen;
+
+f) back-ups maken van de omgevingen.
+
+Het behoort niet mogelijk te zijn dat één persoon zonder voorafgaande beoordeling en goedkeuring veranderingen aan zowel de ontwikkeling als de productie kan doorvoerenit kan bijvoorbeeld worden bereikt door toegangsrechten te scheiden of door middel van regels die worden gemonitordn uitzonderingssituaties behoren aanvullende maatregelen zoals het bijhouden van gedetailleerde logbestanden en realtimemonitoring te worden geïmplementeerd om veranderingen door onbevoegden te detecteren en er actie op te ondernemen.
+
+**Overige informatie**
+
+Zonder afdoende maatregelen en procedures kunnen ontwikkelaars en testers die toegang hebben tot productiesystemen, aanmerkelijke risico\'s introduceren (bijvngewenste wijziging van bestanden of de systeemomgeving, systeemstoringen, niet-goedgekeurde en niet-geteste code in productiesystemen uitvoeren, openbaarmaking van vertrouwelijke gegevens, en problemen met de integriteit en beschikbaarheid van gegevens)et is nodig een bekende en stabiele omgeving te onderhouden voor
+
+
+
+
+het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot de productieomgeving te voorkomen.
+
+Maatregelen en procedures omvatten zorgvuldig ontworpen rollen in combinatie met het implementeren van eisen met betrekking tot de segmentatie van functies en het beschikken over afdoende monitoringprocessen.
+
+Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een dreiging voor de vertrouwelijkheid van bedrijfsinformatientwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delenet is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, om het risico op onbedoelde verandering of onbevoegde toegang tot productiesoftware en bedrijfsgegevens te verlagen (zie 8 voor het beschermen van testinformatie).
+
+In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieomgevingen opzettelijk worden vervaagd en kan het testen worden uitgevoerd in een ontwikkelomgeving of door middel van beheerste uitrol naar livegebruikers of -servers (bijven kleine groep proefgebruikers)n bepaalde gevallen kan het product worden getest door het livegebruik van het product binnen de organisatieaarnaast, om uitval van live-implementaties te beperken, kunnen twee identieke productieomgevingen worden ondersteund, waarvan er altijd slechts één live is.
+
+Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (8).
+
+Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md
index 6fc1f23..c8dda66 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.32_BT Wijzigingsbeheer.md
@@ -2,3 +2,70 @@
---
Standard: ISO 27002:2022 NL
---
+
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+================================================================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Wijzigingen in informatieverwerkingsfaciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.
+
+**Doel**
+
+De informatiebeveiliging behouden tijdens het uitvoeren van wijzigingen.
+
+**Richtlijn**
+
+Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen behoren volgens overeengekomen regels en een formeel proces van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie te worden geïntroduceerderantwoordelijkheden en procedures voor beheer behoren te worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen.
+
+
+
+
+Procedures voor wijzigingsbeheer behoren te worden gedocumenteerd en gehandhaafd om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in informatieverwerkende faciliteiten en informatiesystemen te garanderen gedurende de gehele ontwikkelcyclus van systemen, vanaf het begin van de ontwerpfase tot en met alle daaropvolgende onderhoudsinspanningen.
+
+Waar mogelijk behoren de procedures voor wijzigingsbeheer voor ICT-infrastructuur en -software te worden geïntegreerd.
+
+De procedures voor wijzigingsbeheer behoren het volgende te omvatten:
+
+a) het plannen en beoordelen van de potentiële impact van wijzigingen, waarbij alle afhankelijkheden
+
+in aanmerking worden genomen;
+
+b) autorisatie van veranderingen;
+
+c) veranderingen aan relevante belanghebbenden communiceren;
+
+d) tests en de aanvaarding van tests voor de veranderingen (zie 8);
+
+e) implementatie van veranderingen met inbegrip van inzetplannen;
+
+f) nood- en voorzorgsoverwegingen, met inbegrip van vangnetprocedures;
+
+g) registraties onderhouden van veranderingen waarin alle bovenstaande punten worden
+
+opgenomen;
+
+h) waarborgen dat bedieningsdocumentatie (zie 5) en gebruikersprocedures indien nodig worden
+
+gewijzigd om ze toepasbaar te houden;
+
+i) bewerkstelligen dat de plannen voor ICT-continuïteit en de respons- en herstelprocedures (zie
+
+5) worden gewijzigd naarmate nodig is om passend te blijven.
+
+**Overige informatie**
+
+Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten en informatiesystemen is een algemene oorzaak van systeem- of beveiligingsfouteneranderingen aan de productieomgeving, in het bijzonder als software wordt gemuteerd van de ontwikkelings- naar de uitvoeringsomgeving, kunnen van invloed zijn op de integriteit en beschikbaarheid van toepassingen.
+
+Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
+
+Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8)ierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
+
+De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md
new file mode 100644
index 0000000..2e2542e
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.33_BT Testgegevens.md
@@ -0,0 +1,46 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+======================+======================+==========================+=====================+
+| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
+| | | | | |
+| | #Integriteit | | | |
++------------------------+----------------------+----------------------+--------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.
+
+**Doel**
+
+De relevantie van het testen en de bescherming van operationele gegevens die voor het testen worden gebruikt, waarborgen.
+
+**Richtlijn**
+
+Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8).
+
+De volgende richtlijnen behoren te worden toegepast om de exemplaren of kopieën van operationele gegevens, wanneer deze worden gebruikt voor testdoeleinden, te beschermen, ongeacht of de testomgeving lokaal is gebouwd of zich op een clouddienst bevindt:
+
+a) de toegangsbeveiligingsprocedures die worden toegepast op operationele omgevingen, ook op testomgevingen toepassen;
+
+b) voor elke keer dat besturingsgegevens naar een testomgeving worden gekopieerd, een afzonderlijke autorisatie verkrijgen;
+
+c) logbestanden van het kopiëren en gebruiken van besturingsgegevens bijhouden om in een audittraject te voorzien;
+
+d) gevoelige gegevens beschermen door deze te verwijderen of te maskeren (zie 8) bij gebruik voor testen;
+
+e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8) onmiddellijk nadat het testen is afgerond om zo gebruik van testgegevens door onbevoegden te voorkomen.
+
+Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt.
+
+**Overige informatie**
+
+Systeem- en acceptatietests kunnen substantiële hoeveelheden testgegevens vereisen die een zo getrouw mogelijke weergave zijn van operationele gegevens.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md
new file mode 100644
index 0000000..d5bedb3
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits.md
@@ -0,0 +1,1502 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------+--------------------------------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=============================================================+============================================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_netwerk- beveiliging #Informatiebescherming | #Governance_en\_ Ecosysteem #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------+--------------------------------------------+
+
+**Beheersmaatregel**
+
+Audits en andere borgingsactiviteiten waarbij operationele systemen worden beoordeeld behoren te worden gepland en overeengekomen tussen de tester en het verantwoordelijke management.
+
+**Doel**
+
+De impact van audit- en andere borgingsactiviteiten op operationele systemen en bedrijfsprocessen tot een minimum beperken.
+
+**Richtlijn**
+
+De volgende richtlijnen behoren te worden overwogen:
+
+a) verzoeken voor toegang tot systemen en gegevens in het kader van audits met de juiste managers overeenkomen;
+
+b) de reikwijdte van de technische audits overeenkomen en beheersen;
+
+c) audits beperken tot alleen-lezentoegang tot software en gegevensndien er geen alleen- lezentoegang beschikbaar is om de nodige informatie te verkrijgen, de test laten uitvoeren door een ervaren beheerder die namens de auditor over de nodige toegangsrechten beschikt;
+
+d) indien toegang wordt verleend, de beveiligingseisen (bijv. antivirus en patching) voor de apparatuur die wordt gebruikt voor toegang tot de systemen (bijvaptops of tablets), vaststellen en verifiëren voordat toegang wordt verleend;
+
+e) toegang anders dan 'alleen lezen' alleen toelaten voor geïsoleerde kopieën van systeembestanden, deze wissen als de audit is uitgevoerd of ze voldoende beschermen indien het verplicht is deze bestanden bij de vereiste auditdocumenten te bewaren;
+
+f) verzoeken om speciale of extra verwerking, zoals het gebruik van auditinstrumenten, identificeren en hierover overeenstemming bereiken;
+
+g) audits die de beschikbaarheid van systemen kunnen beïnvloeden, buiten werkuren laten plaatsvinden;
+
+h) alle toegang voor audit- en testdoeleinden monitoren en in logbestanden registreren.
+
+**Overige informatie**
+
+Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en testsystemen, waarbij deze tests bijvoorbeeld gevolgen kunnen hebben voor de integriteit van code of ertoe kunnen leiden dat in die omgevingen bewaarde gevoelige informatie openbaar wordt gemaakt.
+
+
+# Bijlage A (informatief)
+
+**Attributen gebruiken**
+
+**AAlgemeen**
+
+Deze bijlage geeft een tabel die laat zien hoe attributen kunnen worden gebruikt om verschillende overzichten van de beheersmaatregelen te realiserene vijf voorbeelden van het gebruik van deze attributen zijn (zie 4:
+
+a) Typen beheersmaatregel (#Preventief, #Detectief, #Corrigerend)
+
+b) Informatiebeveiligingseigenschappen (#Vertrouwelijkheid, #Integriteit, #Beschikbaarheid)
+
+c) Cybersecurityconcepten (#Identificeren, #Beschermen, #Detecteren, #Reageren, #Herstellen)
+
+d) Operationele capaciteiten (#Governance, #Beheer_van_bedrijfsmiddelen, #Informatiebescherming, #Personeelsbeveiliging, #Fysieke_beveiliging, #Systeem-\_en_netwerkbeveiliging, #Toepassingsbeveiliging, #Veilige_configuratie, #Identiteits-\_en_toegangsbeheer, #Beheer_van_dreigingen_en_kwetsbaarheden, #Continuïteit, #Beveiliging_in_leveranciersrelaties, #Juridisch_en_compliance, #Beheer_van_informatiebeveiligingsgebeurtenissen, #Borging_van_informatiebeveiliging)
+
+e) Beveiligingsdomeinen (#Governance_en_Ecosysteem, #Bescherming, #Verdediging, #Veerkracht)
+
+Tabel Abevat een matrix van alle beheersmaatregelen in dit document met de bijbehorende attribuutwaarden.
+
+De matrix kan worden gefilterd of gesorteerd met behulp van een hulpmiddel zoals een eenvoudige spreadsheet of een database, die nog meer informatie kan bevatten zoals teksten voor beheersmaatregelen, richtlijnen, organisatiespecifieke richtlijnen of attributen (zie A.
+
+**Tabel A--- Matrix van beheersmaatregelen en attribuutwaarden**
+
++----------------------+-----------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+--------------------+--------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=================================================================+=====================+========================================================+======================+====================+========================================================+
+| 5 | Beleidsregels voor informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en \_Ecosysteem #Veerkracht |
++----------------------+-----------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+--------------------+--------------------------------------------------------+
+| 5 | Rollen en verantwoorde- lijkheden bij informatiebe- veiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en \_Ecosysteem #Bescherming #Veerkracht |
++----------------------+-----------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+--------------------+--------------------------------------------------------+
+
+
+
+
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=================================================================================+=======================================+========================================================+====================================================+==========================================================+============================================+
+| 5 | Functie- scheiding | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Governance #Identiteits- \_en_toegangs- beheer | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Management- verantwoorde- lijkheden | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Contact met overheids- instanties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | #Veerkracht |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Contact met speciale belangen- groepen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Informatie en analyses over dreigingen | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Detecteren #Reageren | #Beheer_van\_ dreigingen_en\_ kwetsbaar- heden | #Verdediging |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Informatie- beveiliging in project- management | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Governance | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Inventarisatie van informatie en andere gerelateerde bedrijfsmid- delen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beheer_van\_ bedrijfsmid- delen | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmid- delen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van_be drijfsmiddelen #Informatie- bescherming | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Retourneren van bedrijfsmid- delen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmid- delen | #Bescherming |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+| 5 | Classificeren | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | van informatie | | | | | #Verdediging |
++----------------------+---------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------+--------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===================================================================================+=====================+========================================================+======================+===================================================================================+=========================================================+
+| 5 | Labelen van informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Informatie- bescherming | #Verdediging |
+| | | | | | | |
+| | | | | | | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Overdragen van informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmid- delen #Informatie- bescherming | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Toegangs- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Identiteits- beheer | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Beheren van authenticatie- informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Toegangs- rechten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Informatiebe- veiliging in leveranciers- relaties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Adresseren van informatiebe- veiliging in leve- ranciersover- eenkomsten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Beheren van informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | in de ICT-keten | | | | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciers- diensten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beveiliging_in\_ leveranciers- relaties #Borging_van\_ informatie- beveiliging | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Informatiebe- veiliging voor het gebruik van clouddiensten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------+---------------------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===================================================================================+=====================+========================================================+======================+========================================================================================+============================================+
+| 5 | Plannen en voorbereiden van het beheer van informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Governance #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Beoordelen van en besluiten over informatie- beveiligings- gebeurtenissen | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Reageren | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Reageren op informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Leren van informatie- beveiligings- incidenten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Verzamelen van bewijsmateriaal | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Reageren | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Informatie- beveiliging tijdens een verstoring | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Continuïteit | #Bescherming |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | ICT-gereedheid voor bedrijfs- continuïteit | #Corrigerend | #Beschikbaar- heid | #Reageren | #Continuïteit | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Wettelijke, statutaire, regel- gevende en con- tractuele eisen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | | | | compliance | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Intellectuele- eigendoms- rechten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ | #Governance_en |
+| | | | | | | |
+| | | | | | compliance | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Beschermen van registraties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ compliance #Beheer_van\_ bedrijfsmidde- len #Informatie- bescherming | #Verdediging |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+| 5 | Privacy en bescherming van persoons- gegevens | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Informatie- bescherming #Juridisch_en\_ compliance | #Bescherming |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+--------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=======================================================================+=====================+========================================================+======================+=============================================================================================================================================================================================================================================================================================================+=========================================================+
+| 5 | Onafhankelijke beoordeling van informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Borging_van\_ informatie- beveiliging | #Governance_en |
+| | | | | | | |
+| | | #Corrigerend | | #Beschermen | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Naleving van beleid, regels en normen voor informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Juridisch_en\_ compliance #Borging_van\_ informatie- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | #Beschermen | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 5 | Gedocumen- teerde bedienings- procedures | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Fysieke\_ beveiliging #Systeem-\_en\_ netwerkbeveili- ging #Toepas- singsbeveiliging #Veilige_confi- guratie #Identi- teits-\_en_toe- gangsbeheer #Beheer_van\_ dreigingen_en\_ kwetsbaarhe- den #Continuï- teit #Beheer\_ van_informatie- beveiligings- gebeurtenissen | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Screening | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Arbeids- overeenkomst | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Bewustwording van, opleiding en training in informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Disciplinaire | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | procedure | #Corrigerend | | #Reageren | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+
+
+
+
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===============================================================================+=====================+========================================================+======================+=========================================================================================================================+=====================+
+| 6 | Verantwoorde- lijkheden na beëindiging of wijziging van het dienst- verband | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeelsbe- veiliging #Beheer_van\_ bedrijfsmidde- len | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 6 | Vertrouwelijk- heids- of geheimhou- dingsovereen- komsten | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Personeels- beveiliging #Informatie- bescherming #Leveranciers- relaties | #Governance_en |
+| | | | | | | |
+| | | | | | | \_Ecosysteem |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 6 | Werken op afstand | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Informatie- bescherming #Fysieke_bevei- liging #Sys- teem-\_en_net- werkbeveiliging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 6 | Melden van informatie- beveiligings- gebeurtenissen | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Fysieke beveiligings- zones | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Fysieke toegangs- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Identi- teits-\_en_toe- gangsbeheer | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Beveiligen van kantoren, ruimten en faciliteiten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Monitoren van de fysieke beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | #Verdediging |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Beschermen tegen fysieke en omgevings- dreigingen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+| 7 | Werken in beveiligde zones | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+-------------------------------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+========================================================+=====================+========================================================+======================+=========================================================================================+=====================+
+| 7 | 'Clear desk' en 'clear screen' | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Plaatsen en beschermen van apparatuur | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Beveiligen van bedrijfsmidde- len buiten het terrein | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_beveili ging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Opslagmedia | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Nuts- voorzieningen | #Preventief | #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Beveiligen van bekabeling | #Preventief | #Vertrouwelijk- heid #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Onderhoud van apparatuur | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 7 | Veilig verwijderen of hergebruiken van apparatuur | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Fysieke_bevei- liging #Beheer\_ van_bedrijfs- middelen | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | 'User endpoint devices' | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Informatie- bescherming | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | Speciale | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
+| | | | | | | |
+| | toegangsrechten | | | | | |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beperking toegang tot informatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+| 8 | Toegangs- beveiliging op broncode | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer #Toepassings- beveiliging #Veilige_confi- guratie | #Bescherming |
++----------------------+--------------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+==========================================================+=======================================+========================================================+==========================================+================================================================+=========================================================+
+| 8 | Beveiligde | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Identiteits- \_en_toegangs- beheer | #Bescherming |
+| | | | | | | |
+| | authenticatie | | | | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Capaciteits- beheer | #Preventief | #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Detecteren | #Continuïteit | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | #Detectief | | | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Bescherming | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | tegen malware | | | #Detecteren | | #Verdediging |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Beheer van technische kwetsbaar- heden | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Beheer_van\_ dreigingen_en\_ kwetsbaarhe- den | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
+| | | | | | | |
+| | | | | #Beschermen | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Configuratie- beheer | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Veilige_confi- guratie | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Wissen van informatie | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Informatie- bescherming #Juridisch_en\_ compliance | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Maskeren van gegevens | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Informatie- bescherming | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Voorkomen van gegevenslekken (Data leakage prevention) | #Preventief | #Vertrouwelijk- heid | #Beschermen | #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | #Verdediging |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Back-up van informatie | #Corrigerend | #Integriteit #Beschikbaar- heid | #Herstellen | #Continuïteit | #Bescherming |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Redundantie van informatie- verwerkende faciliteiten | #Preventief | #Beschikbaar- heid | #Beschermen | #Continuïteit #Beheer_van\_ bedrijfsmidde- len | #Bescherming |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Logging | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Bescherming |
+| | | | | | | |
+| | | | | | | #Verdediging |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Monitoren van activiteiten | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | |
++----------------------+----------------------------------------------------------+---------------------------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------+---------------------------------------------------------+
+
+
+
+
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+=====================================================+=====================+========================================================+======================+========================================================================================+=====================+
+| 8 | Kloksynchroni- satie | #Detectief | #Integriteit | #Beschermen | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Bescherming |
+| | | | | | | |
+| | | | | #Detecteren | | #Verdediging |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Gebruik van speciale systeemhulp- middelen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Veilige_configu ratie #Toepas- singsbeveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Installeren van software op operationele systemen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Veilige_confi- guratie #Toepassings- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beveiliging netwerk- componenten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
+| | | | | | | |
+| | | #Detectief | | #Detecteren | | |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beveiliging van netwerk- diensten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Netwerk- segmentatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Toepassen van webfilters | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Gebruik van cryptografie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Veilige_confi- guratie | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Beveiligen tijdens de ontwikkelcyclus | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+| 8 | Toepassings- beveiligings- eisen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
+| | | | | | | |
+| | | | | | | #Verdediging |
++----------------------+-----------------------------------------------------+---------------------+--------------------------------------------------------+----------------------+----------------------------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+================================================================+=====================+========================================================+==========================================+==========================================================================================================+============================================+
+| 8 | Veilige systeem- architectuur en technische uitgangspunten | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Veilig coderen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Toepassings- beveiliging #Borging_van\_ informatiebe- veiliging #Sys- teem-\_en_net- werkbeveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Uitbestede systeem- ontwikkeling | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Detecteren | #Systeem- \_en_netwerk- beveiliging #Toepassings- beveiliging #Beveiliging_in\_ leveranciers- relaties | #Governance_en \_Ecosysteem #Bescherming |
+| | | | | | | |
+| | | #Detectief | | | | |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Scheiding van ontwikkel-, test- en productie- omgevingen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Wijzigings- beheer | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Toepassings- beveiliging #Systeem- \_en_netwerk- beveiliging | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Testgegevens | #Preventief | #Vertrouwelijk- heid #Integriteit | #Beschermen | #Informatie- bescherming | #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+| 8 | Bescherming van informatie- systemen tijdens audits | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatie- bescherming | #Governance_en \_Ecosysteem #Bescherming |
++----------------------+----------------------------------------------------------------+---------------------+--------------------------------------------------------+------------------------------------------+----------------------------------------------------------------------------------------------------------+--------------------------------------------+
+
+In tabel Ais een voorbeeld te zien van hoe een overzicht kan worden aangemaakt door te filteren op een bepaalde attribuutwaarde, in dit geval #Corrigerend.
+
+
+
+
+**Tabel A--- Overzicht van #Corrigerende beheersmaatregelen**
+
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+===================================================================================+=======================================+========================================================+====================================================+======================================================================+=====================+
+| 5 | Contact met overheids- instanties | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Contact met speciale belangen- groepen | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen #Reageren #Herstellen | #Governance | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Informatie en analyses over dreigingen | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren #Detecteren #Reageren | #Beheer_van\_ dreigingen_en\_ kwetsbaar- heden | #Verdediging |
+| | | | | | | |
+| | | | | | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Plannen en voorbereiden van het beheer van informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Governance #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Reageren op informatie- beveiligings- incidenten | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Reageren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Herstellen | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Verzamelen van bewijsmateriaal | #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | | | #Reageren | | |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Informatie- beveiliging tijdens een verstoring | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Continuïteit | #Bescherming |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | ICT-gereedheid voor bedrijfs- continuïteit | #Corrigerend | #Beschikbaar- heid | #Reageren | #Continuïteit | #Veerkracht |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+| 5 | Onafhankelijke beoordeling van informatie- beveiliging | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Identificeren | #Borging_van\_ informatie- beveiliging | #Governance_en |
+| | | | | | | |
+| | | #Corrigerend | | #Beschermen | | \_Ecosysteem |
++----------------------+-----------------------------------------------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------------------------------------+----------------------------------------------------------------------+---------------------+
+
+
+
+
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| **Identificatie-** | **Naam beheers-** | **Type beheers-** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | | | |
+| **code beheers-** | **maatregel** | **maatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | | | |
+| **maatregel** | | | **eigenschappen** | | | |
+| | | | | | | |
+| **ISO/IEC 27002:** | | | | | | |
+| | | | | | | |
+| ## 2022** | | | | | | |
++======================+============================================+=======================================+========================================================+======================+=============================================================================================================================================================================================================================================================================================================+=========================================================+
+| 5 | Gedocumen- teerde bedienings- procedures | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Beheer_van\_ bedrijfsmidde- len #Fysieke\_ beveiliging #Systeem-\_en\_ netwerkbeveili- ging #Toepas- singsbeveiliging #Veilige_confi- guratie #Identi- teits-\_en_toe- gangsbeheer #Beheer_van\_ dreigingen_en\_ kwetsbaarhe- den #Continuï- teit #Beheer\_ van_informatie- beveiligings- gebeurtenissen | #Governance_en \_Ecosysteem #Bescherming #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Herstellen | | |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 6 | Disciplinaire | #Preventief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Personeels- beveiliging | #Governance_en |
+| | | | | | | |
+| | procedure | #Corrigerend | | #Reageren | | \_Ecosysteem |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Bescherming | #Preventief #Detectief #Corrigerend | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatie- bescherming | #Bescherming |
+| | | | | | | |
+| | tegen malware | | | #Detecteren | | #Verdediging |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Back-up van informatie | #Corrigerend | #Integriteit #Beschikbaar- heid | #Herstellen | #Continuïteit | #Bescherming |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+| 8 | Monitoren van activiteiten | #Detectief | #Vertrouwelijk- heid #Integriteit #Beschikbaar- heid | #Detecteren | #Beheer_van\_ informatie- beveiligings- gebeurtenissen | #Verdediging |
+| | | | | | | |
+| | | #Corrigerend | | #Reageren | | |
++----------------------+--------------------------------------------+---------------------------------------+--------------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+
+
+**AOrganisatieoverzichten**
+
+Aangezien attributen worden gebruikt om verschillende overzichten van beheersmaatregelen te creëren, kunnen organisaties de voorbeelden van attributen die in dit document worden voorgesteld, verwijderen en hun eigen attributen met verschillende waarden creëren om in te gaan op specifieke behoeften in de organisatieaarnaast kunnen de waarden die aan elk attribuut worden toegekend, verschillen tussen organisaties, aangezien organisaties verschillende opvattingen kunnen hebben over het gebruik of de toepasbaarheid van de beheersmaatregel of van de waarden die aan het attribuut
+
+zijn gekoppeld (wanneer de waarden specifiek zijn voor de context van de organisatie)e eerste stap is inzicht verwerven in waarom een organisatiespecifiek attribuut wenselijk isls een organisatie bijvoorbeeld haar plannen voor risicobehandeling [zie ISO/IEC 27001:2013, 63 e)] op basis van gebeurtenissen heeft opgebouwd, wil zij mogelijk aan elke beheersmaatregel in dit document een risicoscenarioattribuut koppelen.
+
+
+
+
+Het voordeel van zo\'n attribuut is dat hiermee sneller aan de eis van ISO/IEC 27001 met betrekking tot risicobehandeling kan worden voldaanit betreft het vergelijken van de via het proces van risicobehandeling vastgestelde beheersmaatregelen (die worden aangeduid als 'noodzakelijke' beheersmaatregelen) met de beheersmaatregelen in ISO/IEC 27001:2013, bijlage A (die de basis vormen voor de beheersmaatregelen in dit document) om te garanderen dat er geen noodzakelijke beheersmaatregel over het hoofd is gezien.
+
+Zodra het doel en de voordelen bekend zijn, is het vaststellen van de attribuutwaarden de volgende stape organisatie zou bijvoorbeeld 9 gebeurtenissen kunnen identificeren:
+
+1) verlies of diefstal van een mobiel apparaat;
+
+2) verlies of diefstal in het gebouw en/of op het terrein van de organisatie;
+
+3) overmacht, vandalisme en terrorisme;
+
+4) storingen in software, hardware, voeding, internet en communicatie;
+
+5) fraude;
+
+6) hacken;
+
+7) openbaarmaking;
+
+8) overtreding van de wet;
+
+9) 'social engineering'.
+
+De tweede stap kan dan worden verwezenlijkt door aan elke gebeurtenis een identificatiecode toe te kennen (bijv1, E2, \, E9).
+
+De derde stap is het naar een spreadsheet of database kopiëren van de identificatiecodes en de namen van de beheersmaatregelen uit dit document en de attribuutwaarden met elke beheersmaatregel koppelen, in het besef dat elke beheersmaatregel meer dan één attribuutwaarde kan hebben.
+
+De laatste stap is het sorteren van de spreadsheet of het doorzoeken van de database om de vereiste informatie te extraheren.
+
+Andere voorbeelden van organisatiespecifieke attributen (en mogelijke waarden) zijn onder andere:
+
+a) volwassenheid (waarden uit de ISO/IEC 33000-reeks of andere modellen voor volwassenheid);
+
+b) staat van implementatie (nog te doen, in uitvoering, deels geïmplementeerd, volledig
+
+geïmplementeerd);
+
+c) prioriteit (1, 2, 3 enz
+
+d) betrokken gebieden van de organisatie (beveiliging, ICT, personeelszaken, directie enz
+
+e) gebeurtenissen;
+
+f) betrokken bedrijfsmiddelen;
+
+e)[\*)] bouwen en uitvoeren, om onderscheid te maken tussen de beheersmaatregelen die in de
+
+verschillende stappen van de levenscyclus van de dienst worden gebruikt;
+
+g) overige kaders waarmee de organisatie werkt of vanwaaruit zij kan overstappen.
+
+\*) Nederlandse voetnoot: Nummering als in de brontekst.
+
+
+
+
+# Bijlage B (informatief)
+
+**Overeenstemming van ISO/IEC 27002:2022 (dit document) met**
+
+**ISO/IEC 27002:2013**
+
+Het doel van deze bijlage is om achterwaartse compatibiliteit met ISO/IEC 27002:2013 te bieden aan organisaties die momenteel die norm gebruiken en nu naar deze editie willen overstappen.
+
+Tabel Blaat zien hoe de in hoofdstuk 5 t/m 8 gespecificeerde beheersmaatregelen corresponderen met de beheersmaatregelen in ISO/IEC 27002:2013.
+
+**Tabel B--- Overeenstemming tussen beheersmaatregelen in dit document en**
+
+**beheersmaatregelen in ISO/IEC 27002:2013**
+
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+===============================================================================+
+| 5 | 051, 052 | Beleidsregels voor informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 061 | Rollen en verantwoordelijkheden bij informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 062 | Functiescheiding |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 071 | Managementverantwoordelijkheden |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 063 | Contact met overheidsinstanties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 064 | Contact met speciale belangengroepen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | Nieuw | Informatie en analyses over dreigingen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 065, 141 | Informatiebeveiliging in projectmanagement |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 081, 082 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 083, 083 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 084 | Retourneren van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 081 | Classificeren van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 082 | Labelen van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 131, 132, 133 | Overdragen van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 091, 092 | Toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 091 | Identiteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 094, 091, 093 | Beheren van authenticatie-informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 092, 095, 096 | Toegangsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 5 | 151 | Informatiebeveiliging in leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+=================================================================================+
+| 5 | 152 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 153 | Beheren van informatiebeveiliging in de ICT-keten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 151, 152 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | Nieuw | Informatiebeveiliging voor het gebruik van clouddiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 161 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 164 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 165 | Reageren op informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 166 | Leren van informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 167 | Verzamelen van bewijsmateriaal |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 171, 172, 173 | Informatiebeveiliging tijdens een verstoring |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | Nieuw | ICT-gereedheid voor bedrijfscontinuïteit |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 181, 185 | Wettelijke, statutaire, regelgevende en contractuele eisen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 182 | Intellectuele-eigendomsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 183 | Beschermen van registraties |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 184 | Privacy en bescherming van persoonsgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 181 | Onafhankelijke beoordeling van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 182, 183 | Naleving van beleid, regels en normen voor informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 5 | 121 | Gedocumenteerde bedieningsprocedures |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 071 | Screening |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 072 | Arbeidsovereenkomst |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 072 | Bewustwording van, opleiding en training in informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 073 | Disciplinaire procedure |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 071 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 134 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 062 | Werken op afstand |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 6 | 162, 163 | Melden van informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 7 | 111 | Fysieke beveiligingszones |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 7 | 112, 116 | Fysieke toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+| 7 | 113 | Beveiligen van kantoren, ruimten en faciliteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+==========================================================+
+| 7 | Nieuw | Monitoren van de fysieke beveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 114 | Beschermen tegen fysieke en omgevingsdreigingen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 115 | Werken in beveiligde gebieden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 119 | 'Clear desk' en 'clear screen' |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 111 | Plaatsen en beschermen van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 116 | Beveiligen van bedrijfsmiddelen buiten het terrein |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 081, 082, | Opslagmedia |
+| | | |
+| | 083, 115 | |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 112 | Nutsvoorzieningen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 113 | Beveiligen van bekabeling |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 114 | Onderhoud van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 7 | 117 | Veilig verwijderen of hergebruiken van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 061, 118 | 'User endpoint devices' |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 093 | Speciale toegangsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 091 | Beperking toegang tot informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 095 | Toegangsbeveiliging op broncode |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 092 | Beveiligde authenticatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 123 | Capaciteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121 | Bescherming tegen malware |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121, 183 | Beheer van technische kwetsbaarheden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Configuratiebeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Wissen van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Maskeren van gegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Voorkomen van gegevenslekken (Data leakage prevention) |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121 | Back-up van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 171 | Redundantie van informatieverwerkende faciliteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121, 122, 123 | Logging |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | Nieuw | Monitoren van activiteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 124 | Kloksynchronisatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 094 | Gebruik van speciale systeemhulpmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+| 8 | 121, 122 | Installeren van software op operationele systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2022** |
++==============================================================+==============================================================+================================================================+
+| 8 | 131 | Beveiliging netwerkcomponenten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 132 | Beveiliging van netwerkdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 133 | Netwerksegmentatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | Nieuw | Toepassen van webfilters |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 101, 102 | Gebruik van cryptografie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 141 | Beveiligen tijdens de ontwikkelcyclus |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 142, 143 | Toegangsbeveiligingseisen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 145 | Veilige systeemarchitectuur en technische uitgangspunten |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | Nieuw | Veilig coderen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 148, 149 | Testen van de beveiliging tijdens ontwikkeling en acceptatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 147 | Uitbestede systeemontwikkeling |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 124, 146 | Scheiding van ontwikkel-, test- en productieomgevingen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 122, 142, | Wijzigingsbeheer |
+| | | |
+| | 143, 144 | |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 141 | Testgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+| 8 | 121 | Bescherming van informatiesystemen tijdens audits |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------+
+
+Tabel Btoont de overeenstemming tussen de in ISO/IEC 27002:2013 en in dit document gespecificeerde beheersmaatregelen.
+
+**Tabel B--- Overeenstemming tussen beheersmaatregelen in ISO/IEC 27002:2013 en**
+
+**beheersmaatregelen in dit document**
+
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+=============================================================+
+| 5 | | Informatiebeveiligingsbeleid |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 5 | | Aansturing door de directie van de informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 51 | 5 | Beleidsregels voor informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 52 | 5 | Beoordeling van het informatiebeveiligingsbeleid |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 6 | | Organiseren van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 6 | | Interne organisatie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+| 61 | 5 | Rollen en verantwoordelijkheden bij informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+============================================================================+
+| 62 | 5 | Scheiding van taken |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 63 | 5 | Contact met overheidsinstanties |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 64 | 5 | Contact met speciale belangengroepen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 65 | 5 | Informatiebeveiliging in projectbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 6 | | Mobiele apparatuur en telewerken |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 61 | 8 | Beleid voor mobiele apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 62 | 6 | Telewerken |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Veilig personeel |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Voorafgaand aan het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 71 | 6 | Screening |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 72 | 6 | Arbeidsvoorwaarden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Tijdens het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 71 | 5 | Directieverantwoordelijkheden |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 72 | 6 | Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 73 | 6 | Disciplinaire procedure |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 7 | | Beëindiging en wijziging van dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 71 | 6 | Beëindiging of wijziging van verantwoordelijkheden van het dienstverband |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Beheer van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Verantwoordelijkheid voor bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 81 | 5 | Inventariseren van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 82 | 5 | Eigendom van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 83 | 5 | Aanvaardbaar gebruik van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 84 | 5 | Teruggeven van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Informatieclassificatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 81 | 5 | Classificatie van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 82 | 5 | Informatie labelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 83 | 5 | Behandelen van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 8 | | Behandelen van media |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 81 | 7 | Beheer van verwijderbare media |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+| 82 | 7 | Verwijderen van media |
++--------------------------------------------------------------+--------------------------------------------------------------+----------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+====================================================================+
+| 83 | 7 | Media fysiek overdragen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Bedrijfseisen voor toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 5 | Beleid voor toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 92 | 5 | Toegang tot netwerken en netwerkdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Beheer van toegangsrechten van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 5 | Registratie en afmelden van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 92 | 5 | Gebruikers toegang verlenen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 93 | 8 | Beheren van speciale toegangsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 94 | 5 | Beheer van geheime authenticatie-informatie van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 95 | 5 | Beoordeling van toegangsrechten van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 96 | 5 | Toegangsrechten intrekken of aanpassen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Verantwoordelijkheden van gebruikers |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 5 | Geheime authenticatie-informatie gebruiken |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 9 | | Toegangsbeveiliging van systeem en toepassing |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 91 | 8 | Beperking toegang tot informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 92 | 8 | Beveiligde inlogprocedures |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 93 | 5 | Systeem voor wachtwoordbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 94 | 8 | Speciale systeemhulpmiddelen gebruiken |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 95 | 8 | Toegangsbeveiliging op programmabroncode |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 10 | | Cryptografie |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 10 | | Cryptografische beheersmaatregelen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 101 | 8 | Beleid inzake het gebruik van cryptografische beheersmaatregelen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 102 | 8 | Sleutelbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 11 | | Fysieke beveiliging en beveiliging van de omgeving |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 11 | | Beveiligde gebieden |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 111 | 7 | Fysieke beveiligingszone |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 112 | 7 | Fysieke toegangsbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 113 | 7 | Kantoren, ruimten en faciliteiten beveiligen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 114 | 7 | Beschermen tegen bedreigingen van buitenaf |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+| 115 | 7 | Werken in beveiligde gebieden |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+=====================================================================+
+| 116 | 7 | Laad- en loslocatie |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 11 | | Apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 111 | 7 | Plaatsing en bescherming van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 112 | 7 | Nutsvoorzieningen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 113 | 7 | Beveiliging van bekabeling |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 114 | 7 | Onderhoud van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 115 | 7 | Verwijdering van bedrijfsmiddelen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 116 | 7 | Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 117 | 7 | Veilig verwijderen of hergebruiken van apparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 118 | 8 | Onbeheerde gebruikersapparatuur |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 119 | 7 | 'Clear desk'- en 'clear screen'-beleid |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Beveiliging bedrijfsvoering |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Bedieningsprocedures en verantwoordelijkheden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 5 | Gedocumenteerde bedieningsprocedures |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 122 | 8 | Wijzigingsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 123 | 8 | Capaciteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 124 | 8 | Scheiding van ontwikkel-, test- en productieomgevingen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Bescherming tegen malware |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Beheersmaatregelen tegen malware |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Back-up |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Back-up van informatie |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Verslaglegging en monitoren |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Gebeurtenissen registreren |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 122 | 8 | Beschermen van informatie in logbestanden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 123 | 8 | Logbestanden van beheerders en operators |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 124 | 8 | Kloksynchronisatie |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Beheersing van operationele software |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Software installeren op operationele systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 12 | | Beheer van technische kwetsbaarheden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 121 | 8 | Beheer van technische kwetsbaarheden |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+| 122 | 8 | Beperkingen voor het installeren van software |
++--------------------------------------------------------------+--------------------------------------------------------------+---------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+=============================================================================+
+| 12 | | Overwegingen betreffende audits van informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 121 | 8 | Beheersmaatregelen betreffende audits van informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 13 | | Communicatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 13 | | Beheer van netwerkbeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 131 | 8 | Beheersmaatregelen voor netwerken |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 132 | 8 | Beveiliging van netwerkdiensten |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 133 | 8 | Scheiding in netwerken |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 13 | | Informatietransport |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 131 | 5 | Beleid en procedures voor informatietransport |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 132 | 5 | Overeenkomsten over informatietransport |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 133 | 5 | Elektronische berichten |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 134 | 6 | Vertrouwelijkheids- of geheimhoudingsovereenkomst |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Acquisitie, ontwikkeling en onderhoud van informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Beveiligingseisen voor informatiesystemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 141 | 5 | Analyse en specificatie van informatiebeveiligingseisen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 142 | 8 | Toepassingen op openbare netwerken beveiligen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 143 | 8 | Transacties van toepassingen beschermen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Beveiliging in ontwikkelings- en ondersteunende processen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 141 | 8 | Beleid voor beveiligd ontwikkelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 142 | 8 | Procedures voor wijzigingsbeheer met betrekking tot systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 143 | 8 | Technische beoordeling van toepassingen na wijzigingen besturingsplatform |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 144 | 8 | Beperkingen op wijzigingen aan softwarepakketten |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 145 | 8 | Principes voor engineering van beveiligde systemen |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 146 | 8 | Beveiligde ontwikkelomgeving |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 147 | 8 | Uitbestede systeemontwikkeling |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 148 | 8 | Testen van systeembeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 149 | 8 | Systeemacceptatietests |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 14 | | Testgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 141 | 8 | Bescherming van testgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+| 15 | | Leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-----------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+===============================================================================+
+| 15 | | Informatiebeveiliging in leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 151 | 5 | Informatiebeveiligingsbeleid voor leveranciersrelaties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 152 | 5 | Opnemen van beveiligingsaspecten in leveranciersovereenkomsten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 153 | 5 | Toeleveringsketen van informatie- en communicatietechnologie |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 15 | | Beheer van dienstverlening van leveranciers |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 151 | 5 | Monitoring en beoordeling van dienstverlening van leveranciers |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 152 | 5 | Beheer van veranderingen in dienstverlening van leveranciers |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 16 | | Beheer van informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 16 | | Beheer van informatiebeveiligingsincidenten en -verbeteringen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 161 | 5 | Verantwoordelijkheden en procedures |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 162 | 6 | Rapportage van informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 163 | 6 | Rapportage van zwakke plekken in de informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 164 | 5 | Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 165 | 5 | Respons op informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 166 | 5 | Lering uit informatiebeveiligingsincidenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 167 | 5 | Verzamelen van bewijsmateriaal |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 17 | | Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 17 | | Informatiebeveiligingscontinuïteit |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 171 | 5 | Informatiebeveiligingscontinuïteit plannen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 172 | 5 | Informatiebeveiligingscontinuïteit implementeren |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 173 | 5 | Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 17 | | Redundante componenten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 171 | 8 | Beschikbaarheid van informatieverwerkende faciliteiten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 18 | | Naleving |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 18 | | Naleving van wettelijke en contractuele eisen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 181 | 5 | Vaststellen van toepasselijke wetgeving en contractuele eisen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 182 | 5 | Intellectuele-eigendomsrechten |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 183 | 5 | Beschermen van registraties |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 184 | 5 | Privacy en bescherming van persoonsgegevens |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+| 185 | 5 | Voorschriften voor het gebruik van cryptografische beheersmaatregelen |
++--------------------------------------------------------------+--------------------------------------------------------------+-------------------------------------------------------------------------------+
+
+
+
+
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| **Identificatiecode beheersmaatregel ISO/IEC 27002: 2013** | **Identificatiecode beheersmaatregel ISO/IEC 27002: 2022** | **Naam beheersmaatregel volgens ISO/IEC 27002:** |
+| | | |
+| | | ## 2013** |
++==============================================================+==============================================================+========================================================+
+| 18 | | Informatiebeveiligingsbeoordelingen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| 181 | 5 | Onafhankelijke beoordeling van informatiebeveiliging |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| 182 | 5 | Naleving van beveiligingsbeleid en -normen |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+| 183 | 5, 8 | Beoordeling van technische naleving |
++--------------------------------------------------------------+--------------------------------------------------------------+--------------------------------------------------------+
+
+
+
+
+**Bibliografie**
+
+[1] ISO 9000, *Quality management systems* -- *Fundamentals and vocabulary*
+
+[2] ISO 55001, *Asset management -- Management systems -- Requirements*
+
+[3] ISO/IEC 11770 (all parts), *Information security -- Key management*
+
+[4] ISO/IEC 15408 (all parts), *Information technology -- Security techniques -- Evaluation criteria for*
+
+*IT security*
+
+[5] ISO 15489 (all parts), *Information and documentation -- Records management*
+
+[6] ISO/IEC 17788, *Information technology -- Cloud computing -- Overview and vocabulary*
+
+[7] ISO/IEC 17789, *Information technology -- Cloud computing -- Reference architecture*
+
+[8] ISO/IEC 19086 (all parts), *Cloud computing -- Service level agreement (SLA) framework*
+
+[9] ISO/IEC 19770 (all parts), *Information technology -- IT asset management*
+
+[10] ISO/IEC 19941, *Information technology -- Cloud computing -- Interoperability and portability*
+
+[11] ISO/IEC 20889, *Privacy enhancing data de-identification terminology and classification of*
+
+*techniques*
+
+[12] ISO 21500, *Project, programme and portfolio management -- Context and concepts*
+
+[13] ISO 21502, *Project, programme and portfolio management -- Guidance on project management*
+
+[14] ISO 22301, *Security and resilience -- Business continuity management systems -- Requirements*
+
+[15] ISO 22313, *Security and resilience -- Business continuity management systems -- Guidance on the*
+
+*use of ISO 22301*
+
+[16] ISO/TS 22317, *Societal security -- Business continuity management systems -- Guidelines for*
+
+*business impact analysis (BIA)*
+
+[17] ISO 22396, *Security and resilience -- Community resilience -- Guidelines for information exchange*
+
+*between organizations*
+
+[18] ISO/IEC TS 23167, *Information technology -- Cloud computing -- Common technologies and*
+
+*techniques*
+
+[19] ISO/IEC 23751, *Information technology -- Cloud computing and distributed platforms -- Data*
+
+*sharing agreement (DSA) framework*
+
+[20] ISO/IEC 24760 (all parts), *IT Security and Privacy -- A framework for identity management*
+
+[21] ISO/IEC 27001:2013, *Information technology -- Security techniques -- Information security*
+
+*management systems -- Requirements*
+
+[22] ISO/IEC 27005, *Information technology -- Security techniques -- Information security risk*
+
+*management*
+
+
+
+
+[23] ISO/IEC 27007, *Information security, cybersecurity and privacy protection -- Guidelines for*
+
+*information security management systems auditing*
+
+[24] ISO/IEC TS 27008, *Information technology -- Security techniques -- Guidelines for the assessment*
+
+*of information security controls*
+
+[25] ISO/IEC 27011, *Information technology -- Security techniques -- Code of practice for Information*
+
+*security controls based on ISO/IEC 27002 for telecommunications organizations*
+
+[26] ISO/IEC TR 27016, *Information technology -- Security techniques -- Information security*
+
+*management -- Organizational economics*
+
+[27] ISO/IEC 27017, *Information technology -- Security techniques -- Code of practice for information*
+
+*security controls based on ISO/IEC 27002 for cloud services*
+
+[28] ISO/IEC 27018, *Information technology -- Security techniques -- Code of practice for protection of*
+
+*personally identifiable information (PII) in public clouds acting as PII processors*
+
+[29] ISO/IEC 27019, *Information technology -- Security techniques -- Information security controls for*
+
+*the energy utility industry*
+
+[30] ISO/IEC 27031, *Information technology -- Security techniques -- Guidelines for information and*
+
+*communication technology readiness for business continuity*
+
+[31] ISO/IEC 27033 (all parts), *Information technology -- Security techniques -- Network security*
+
+[32] ISO/IEC 27034 (all parts), *Information technology -- Application security*
+
+[33] ISO/IEC 27035 (all parts), *Information technology -- Security techniques -- Information security*
+
+*incident management*
+
+[34] ISO/IEC 27036 (all parts), *Information technology -- Security techniques -- Information security*
+
+*for supplier relationships*
+
+[35] ISO/IEC 27037, *Information technology -- Security techniques -- Guidelines for identification,*
+
+*collection, acquisition and preservation of digital evidence*
+
+[36] ISO/IEC 27040, *Information technology -- Security techniques -- Storage security*
+
+[37] ISO/IEC 27050 (all parts), *Information technology -- Electronic discovery*
+
+[38] ISO/IEC/TS 27110, *Information technology, cybersecurity and privacy protection -- Cybersecurity*
+
+*framework development guidelines*
+
+[39] ISO/IEC 27701, *Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy*
+
+*information management -- Requirements and guidelines*
+
+[40] ISO 27799, *Health informatics -- Information security management in health using ISO/IEC 27002*
+
+[41] ISO/IEC 29100, *Information technology -- Security techniques -- Privacy framework*
+
+[42] ISO/IEC 29115, *Information technology -- Security techniques -- Entity authentication assurance*
+
+*framework*
+
+
+
+
+[43] ISO/IEC 29134, *Information technology -- Security techniques -- Guidelines for privacy impact*
+
+*assessment*
+
+[44] ISO/IEC 29146, *Information technology -- Security techniques -- A framework for access*
+
+*management*
+
+[45] ISO/IEC 29147, *Information technology -- Security techniques -- Vulnerability disclosure*
+
+[46] ISO 30000, *Ships and marine technology -- Ship recycling management systems -- Specifications*
+
+*for management systems for safe and environmentally sound ship recycling facilities*
+
+[47] ISO/IEC 30111, *Information technology -- Security techniques -- Vulnerability handling processes*
+
+[48] ISO 31000:2018, *Risk management -- Guidelines*
+
+[49] IEC 31010, *Risk management -- Risk assessment techniques*
+
+[50] ISO/IEC 22123 (all parts), *Information technology -- Cloud computing*
+
+[51] ISO/IEC 27555, *Information security, cybersecurity and privacy protection -- Guidelines on*
+
+*personally identifiable information deletion*
+
+[52] INFORMATION SECURITY FORUM (ISF)he ISF Standard of Good Practice for Information Security
+
+2020, augustus 2018eschikbaar op https://wwwcurityforumg/tool/standard-of-good- practice-for-information-security-2020/
+
+[53] ITIL® Foundation, ITIL 4 editie, AXELOS, februari 2019, ISBN: 9780113316076
+
+[54] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST)P 800-37, Risk Management
+
+Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, Revision 2ecember 2018 [geraadpleegd op 2020-07-31]eschikbaar op Technische kwetsbaarheden identificeren
+
+De organisatie behoort te beschikken over een nauwkeurige inventarislijst van bedrijfsmiddelen (zie
+
+5t/m 5) als voorwaarde voor een doeltreffend beheer van technische kwetsbaarheden; in de inventarislijst behoren de leverancier en naam van de software, versienummers, de huidige toepassingsstatus (bijvelke software is geïnstalleerd op welke systemen) en de binnen de organisatie voor de software verantwoordelijke persoon of personen te worden opgenomen.
+
+Om technische kwetsbaarheden te identificeren behoort de organisatie het volgende in aanmerking te nemen:
+
+a) het definiëren en vaststellen van de rollen en verantwoordelijkheden in samenhang met het beheer van technische kwetsbaarheden, met inbegrip van het monitoren van de kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden, updaten, het traceren van bedrijfsmiddelen en de vereiste coördinatieverantwoordelijkheden;
+
+b) voor software en andere technologieën (op basis van de inventarislijst van bedrijfsmiddelen, zie
+
+5, informatiemiddelen identificeren die worden gebruikt om relevante technische kwetsbaarheden te identificeren en de bewustwording ervan in stand te houdene lijst met informatiemiddelen bijwerken op basis van veranderingen in de inventarislijst of wanneer er andere nieuwe of nuttige middelen worden gevonden;
+
+c) verlangen dat leveranciers van informatiesystemen (met inbegrip van hun componenten) het melden, afhandelen en bekendmaken van kwetsbaarheden garanderen; met inbegrip van de eisen in desbetreffende contracten (zie 5);
+
+d) gebruikmaken van instrumenten om op kwetsbaarheden te scannen die geschikt zijn voor de gebruikte technologieën om kwetsbaarheden te identificeren en nagaan of het patchen van kwetsbaarheden geslaagd is;
+
+
+
+
+e) competente en bevoegde personen geplande, gedocumenteerde en herhaalbare penetratietests of kwetsbaarheidsbeoordelingen laten uitvoeren ter ondersteuning van het identificeren van kwetsbaarhedenorg betrachten aangezien zulke activiteiten de beveiliging van het systeem in het gedrang kunnen brengen;
+
+f) het gebruik van bibliotheken en broncode van derden met het oog op kwetsbaarheden tracerenit
+
+behoort te worden opgenomen in beveiligde codering (zie 8).
+
+De organisatie behoort procedures en capaciteiten te ontwikkelen om:
+
+a) het bestaan te detecteren van kwetsbaarheden in haar producten en diensten, met inbegrip van alle
+
+externe componenten die in deze producten en diensten worden gebruikt;
+
+b) meldingen over kwetsbaarheden van interne of externe bronnen te ontvangen;
+
+De organisatie behoort te voorzien in een openbaar contactpunt als onderdeel van onderwerpspecifiek beleid inzake het bekendmaken van kwetsbaarheden, zodat onderzoekers en anderen in staat zijn problemen te meldene organisatie behoort procedures voor het melden van kwetsbaarheden op te stellen, online meldformulieren in te richten en gebruik te maken van passende fora voor het delen
+
+van informatie en analyses over dreigingen of andere informatiee organisatie behoort ook na te denken over bug bounty-programma's, waarbij beloningen worden aangeboden als stimulans om organisaties te helpen kwetsbaarheden te identificeren om deze naar behoren te verhelpene organisatie behoort ook informatie met bevoegde vertegenwoordigers van het bedrijfsleven of andere belanghebbenden te delen.
+
+Technische kwetsbaarheden evalueren
+
+Om geïdentificeerde technische kwetsbaarheden te evalueren behoren de volgende richtlijnen te worden overwogen:
+
+a) meldingen analyseren en verifiëren om te bepalen welke respons- en herstelmaatregelen nodig zijn;
+
+b) als er een mogelijke technische kwetsbaarheid is geïdentificeerd, de gerelateerde risico\'s en te treffen maatregelen identificerenet bijwerken van kwetsbare systemen of het toepassen van andere beheersmaatregelen kan onderdeel zijn van die maatregelen.
+
+Passende maatregelen treffen om technische kwetsbaarheden op te pakken
+
+Er behoort een beheerprocedure voor het updaten van software te worden geïmplementeerd om te bewerkstelligen dat de meest recente goedgekeurde patches en toepassingsupdates bij alle goedgekeurde software zijn geïnstalleerdndien de veranderingen noodzakelijk zijn, behoort de originele software te worden bewaard en behoren de veranderingen aan een speciaal daarvoor bestemde kopie te worden aangebrachtlle veranderingen behoren volledig te worden getest en gedocumenteerd zodat ze zo nodig opnieuw kunnen worden toegepast bij toekomstige software- upgradesndien vereist behoren de wijzigingen door een onafhankelijke beoordelingsinstantie te worden getest en gevalideerd.
+
+De volgende richtlijnen behoren in overweging te worden genomen om technische kwetsbaarheden aan te pakken:
+
+a) tijdig passende maatregelen treffen als reactie op geïdentificeerde mogelijke technische kwetsbaarheden; een tijdsbestek definiëren waarin moet worden gereageerd op meldingen van mogelijk relevante technische kwetsbaarheden;
+
+b) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt, de actie ondernemen in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 8) of door reactieprocedures voor informatiebeveiligingsincidenten te volgen (zie 5);
+
+
+
+
+c) alleen updates gebruiken die afkomstig zijn van legitieme bronnen (dit kunnen interne bronnen
+
+binnen de organisatie of externe bronnen buiten de organisatie zijn);
+
+d) updates testen en evalueren alvorens ze te installeren om te garanderen dat ze doeltreffend zijn en geen neveneffecten met zich meebrengen die niet kunnen worden getolereerd [dzndien een update beschikbaar is, de risico\'s in verband met het installeren van de update beoordelen (de risico\'s als gevolg van de kwetsbaarheid behoren te worden vergeleken met het risico dat het installeren van de update met zich meebrengt)];
+
+e) systemen met een hoog risico als eerste aanpakken;
+
+f) herstelmaatregelen ontwikkelen (meestal software-updates of patches);
+
+g) testen om te bevestigen dat de herstel- of beperkende maatregel doeltreffend is;
+
+h) voorzien in mechanismen om de authenticiteit van herstelmaatregelen te verifiëren;
+
+i) indien er geen update beschikbaar is of de update niet kan worden geïnstalleerd, andere
+
+beheersmaatregelen overwegen, zoals:
+
+1) een door de softwareleverancier of andere relevante bronnen voorgesteld alternatief toepassen;
+
+2) diensten of capaciteiten in verband met de kwetsbaarheid uitschakelen;
+
+3) toegangsbeveiligingsmaatregelen aanpassen of toevoegen (bijvirewalls) rond de grenzen van
+
+netwerken (zie 8 t/m 8);
+
+4) kwetsbare systemen, apparaten of toepassingen afschermen tegen aanvallen door passende
+
+verkeersfilters toe te passen (soms aangeduid als virtueel patchen);
+
+5) intensiever monitoren om werkelijke aanvallen te detecteren;
+
+6) bewustwording omtrent de kwetsbaarheid kweken;
+
+Voor aangekochte software geldt dat indien de leveranciers regelmatig informatie over beveiligingsupdates voor hun software vrijgeven en een faciliteit bieden om dergelijke updates automatisch te installeren, de organisatie behoort te beslissen of zij al dan niet gebruikmaakt van de automatische update.
+
+Overige overwegingen
+
+Over alle stappen die in het kader van het beheer van technische kwetsbaarheden zijn ondernomen, behoort een auditlogbestand te worden bijgehouden.
+
+Het beheerproces met betrekking tot de technische kwetsbaarheid behoort regelmatig te worden gemonitord en geëvalueerd om de doeltreffendheid en doelmatigheid ervan te waarborgen.
+
+Om gegevens over kwetsbaarheden te communiceren aan de functie die de verantwoordelijkheid heeft te reageren op het incident en om te voorzien in uit te voeren technische procedures indien zich een incident voordoet, behoort een doeltreffend beheerproces met betrekking tot de technische kwetsbaarheid te worden afgestemd op incidentbeheeractiviteiten.
+
+Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddiensten beschikbaar gestelde clouddienst, behoort het beheer van de technische kwetsbaarheden van de middelen van de aanbieder van clouddiensten door deze aanbieder te worden gegarandeerde verantwoordelijk- heden van de aanbieder van de clouddiensten voor het beheer van technische kwetsbaarheden behoort deel uit te maken van de clouddienstverleningsovereenkomst en dit behoort processen te
+
+
+
+
+omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5)oor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt.
+
+**Overige informatie**
+
+Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8).
+
+Er is een mogelijkheid dat een update het probleem ontoereikend aanpakt en negatieve bijwerkingen heeftok is het in bepaalde gevallen niet gemakkelijk een update na toepassing te de-installeren.
+
+Indien het niet mogelijk is de updates in voldoende mate te testen (bijvanwege de kosten of door een gebrek aan middelen), kan worden overwogen het uitvoeren van een update uit te stellen om de samenhangende risico's te evalueren, op basis van de ervaringen die door andere gebruikers worden gemeldet kan nuttig zijn om ISO/IEC 27031 te raadplegen.
+
+Indien er softwarepatches of -updates worden geproduceerd, kan de organisatie overwegen in een geautomatiseerd updateproces te voorzien waarbij deze updates op de betrokken systemen of producten worden geïnstalleerd zonder dat de klant of de gebruiker iets hoeft te doenndien een geautomatiseerd updateproces wordt aangeboden, kan dit de klant of gebruiker een optie bieden om de automatische update uit te schakelen of controle te hebben over het tijdstip waarop de update wordt geïnstalleerd.
+
+Indien de verkoper een geautomatiseerd updateproces aanbiedt en de updates op getroffen systemen of producten kunnen worden geïnstalleerd zonder dat interventie nodig is, bepaalt de organisatie of zij het geautomatiseerde proces al dan niet toepasten reden om niet voor geautomatiseerde updates te kiezen is dat men zelf de controle wil behouden over wanneer de update wordt uitgevoerden update van software die voor een bedrijfsactiviteit wordt gebruikt, kan bijvoorbeeld pas worden uitgevoerd als de activiteit is afgerond.
+
+Een zwak punt van het scannen op kwetsbaarheden is dat het mogelijk is dat daarbij niet volledig rekening wordt gehouden met 'defence in depth': als tegenmaatregelen altijd na elkaar worden ingeroepen, kunnen kwetsbaarheden in de ene tegenmaatregel aan het oog worden onttrokken door sterke punten van de anderee samengestelde tegenmaatregel is niet kwetsbaar, terwijl een instrument dat wordt gebruikt om op kwetsbaarheden te scannen kan melden dat beide componenten kwetsbaar zijne organisatie behoort derhalve zorgvuldig te werk te gaan bij het beoordelen van en het nemen van maatregelen naar aanleiding van gemelde kwetsbaarheden.
+
+Veel organisaties leveren software, systemen, producten en diensten niet alleen binnen de organisatie, maar ook aan belanghebbenden zoals klanten, partners of andere gebruikerseze software, systemen, producten en diensten kunnen gepaard gaan met informatiebeveiligingskwetsbaarheden die van invloed zijn op de veiligheid van gebruikers.
+
+Organisaties kunnen herstelmaatregelen vrijgeven en informatie over kwetsbaarheden bekendmaken aan gebruikers (doorgaans via een openbaar informatiebericht) en passende informatie verstrekken voor databasediensten voor softwarekwetsbaarheden.
+
+Meer informatie over het beheer van technische kwetsbaarheden bij het gebruik van cloudcomputing is te vinden in de ISO/IEC 19086-reeks en ISO/IEC 27017.
+
+
+
+
+ISO/IEC 29147 geeft gedetailleerde informatie over het ontvangen van meldingen van kwetsbaarheden en het publiceren van adviezen met betrekking tot kwetsbaarhedenSO/IEC 30111 geeft gedetailleerde informatie over het omgaan met en oplossen van gemelde kwetsbaarheden.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md
new file mode 100644
index 0000000..a48c5fb
--- /dev/null
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.9_BT Configuratiebeheer.md
@@ -0,0 +1,110 @@
+#iso27002/2022/NL
+---
+Standard: ISO 27002:2022 NL
+---
+
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** |
+| | | | | |
+| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** |
+| | | | | |
+| | **eigenschappen** | | | |
++========================+====================================================+======================+=========================+=====================+
+| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming |
++------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+
+
+**Beheersmaatregel**
+
+Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
+
+**Doel**
+
+Garanderen dat hardware, software, diensten en netwerken correct met de vereiste beveiligingsinstellingen functioneren en de configuratie niet door ongeautoriseerde of onjuiste wijzigingen wordt gewijzigd.
+
+**Richtlijn**
+
+Algemeen
+
+De organisatie behoort processen en instrumenten te definiëren en te implementeren om de voor zowel nieuw geïnstalleerde systemen als bestaande operationele systemen gedefinieerde configuraties (met inbegrip van beveiligingsconfiguraties) voor hardware, software, diensten (bijvlouddiensten) en netwerken gedurende de levensduur ervan af te dwingen.
+
+Rollen, verantwoordelijkheden en procedures behoren te worden vastgelegd om afdoende beheersing van alle veranderingen aan configuraties te waarborgen.
+
+Standaardsjablonen
+
+Er behoren standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken te worden gedefinieerd:
+
+a) met behulp van openbaar beschikbare richtlijnen (bijvooraf gedefinieerde sjablonen van
+
+verkopers en van onafhankelijke beveiligingsorganisaties);
+
+b) met inachtneming van het beveiligingsniveau dat nodig is om een afdoende beveiligingsniveau vast
+
+te stellen;
+
+c) die het informatiebeveiligingsbeleid van de organisatie, onderwerpspecifieke beleidsregels,
+
+normen en andere beveiligingseisen van de organisatie ondersteunen;
+
+d) waarbij de haalbaarheid en toepasselijkheid van beveiligingsconfiguraties in de context van de
+
+organisatie in overweging worden genomen.
+
+
+
+
+De sjablonen behoren regelmatig te worden beoordeeld en bijgewerkt wanneer nieuwe dreigingen of kwetsbaarheden moeten worden aangepakt, of wanneer er nieuwe software- of hardwareversies worden geïntroduceerd.
+
+Voor het vaststellen van standaardsjablonen voor de beveiligde configuratie van hardware, software, diensten en netwerken behoort het volgende in overweging te worden genomen:
+
+a) het aantal identiteiten met toegangsrechten op speciaal of beheerdersniveau minimaliseren;
+
+b) onnodige, ongebruikte of onbeveiligde identiteiten uitschakelen;
+
+c) onnodige functies en diensten uitschakelen of beperken;
+
+d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
+
+e) klokken synchroniseren;
+
+f) de standaard authenticatie-informatie van de leverancier, zoals standaardwachtwoorden onmiddellijk na de installatie wijzigen en andere belangrijke standaardparameters in verband met de beveiliging beoordelen;
+
+g) time-outvoorzieningen in werking stellen die computerapparatuur na een vooraf vastgestelde
+
+inactiviteitsduur automatisch afmelden;
+
+h) verifiëren dat aan licentie-eisen is voldaan (zie 5).
+
+Configuraties beheren
+
+Vastgestelde configuraties van hardware, software, diensten en netwerken behoren te worden geregistreerd en er behoort een logbestand te worden bijgehouden van alle configuratiewijzigingeneze registraties behoren veilig te worden opgeslagenit kan op verschillende manieren worden bereikt, bijvoorbeeld met configuratiedatabases of configuratiesjablonen.
+
+Wijzigingen aan configuraties behoren het wijzigingsbeheerproces te volgen (zie 8)onfiguratieregistraties kunnen het volgende, indien relevant, bevatten:
+
+a) up-to-date informatie over de eigenaar of het contactpunt voor het bedrijfsmiddel;
+
+b) de datum van de laatste wijziging van de configuratie;
+
+c) de versie van de configuratiesjabloon;
+
+d) de relatie tot configuraties van andere bedrijfsmiddelen.
+
+Configuraties monitoren
+
+Configuraties behoren te worden gemonitord met een uitgebreide verzameling instrumenten voor systeembeheer (bijvoorbeeld onderhoudssysteemhulpmiddelen, ondersteuning op afstand, instrumenten voor bedrijfsbeheer en back-up- en herstelsoftware) en behoren regelmatig te worden beoordeeld om de configuratie-instellingen te verifiëren, de sterkte van wachtwoorden te evalueren en de uitgevoerde activiteiten te beoordelene daadwerkelijke configuraties kunnen worden vergeleken met de gedefinieerde doelsjablonenventuele afwijkingen behoren te worden aangepakt,
+
+door middel van het automatisch afdwingen van de gedefinieerde doelconfiguratie of door handmatige analyse van de afwijking gevolgd door corrigerende maatregelen.
+
+
+
+
+**Overige informatie**
+
+In documentatie voor systemen worden vaak details vastgelegd over de configuratie van zowel hardware als software.
+
+Systeemhardening is een typisch onderdeel van configuratiebeheer.
+
+Configuratiebeheer kan worden geïntegreerd met processen voor het beheer van bedrijfsmiddelen en de bijbehorende instrumenten.
+
+Automatisering is meestal doeltreffender voor het beheren van de beveiligingsconfiguratie (bijvoor gebruik te maken van infrastructuur als code).
+
+Configuratiesjablonen en -doelen kunnen vertrouwelijke informatie zijn en behoren dienovereenkomstig te worden beschermd tegen toegang door onbevoegden.
diff --git a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_Index.md b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_Index.md
index 71dd71a..d5e8cf3 100644
--- a/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_Index.md
+++ b/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_Index.md
@@ -2,113 +2,113 @@
# ISO 27002:2022 NL Index
-| 2022 ID | Maatregel | Brontekst | Normaal |
-| :------ | :---------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- |
-| **3** | **Termen, definities en afgekorte termen** | | |
-| 3.1 | Termen en definities | [[ISO_27002_2022_NL_3.1_BT Termen en definities \|BT]] | [[ISO_27002_2022_NL_NN 3.1 Termen en definities \|NN]] |
-| 3.2 | Afgekorte termen | [BT](ISO_27002_2022_NL_3.2_BT%20Afgekorte%20termen.md) | [[ISO_27002_2022_NL_NN 3.2 Afgekorte termen \|NN]] |
-| **4** | **Structuur van dit document** | _ | |
-| 4.1 | Hoofdstukken | [BT](ISO_27002_2022_NL_4.1_BT%20Hoofdstukken.md) | [[ISO_27002_2022_NL_NN 4.1 Hoofdstukken \|NN]] |
-| 4.2 | Thema's en attributen | [BT](ISO_27002_2022_NL_4.2_BT%20Thema's%20en%20attributen.md) | [[ISO_27002_2022_NL_NN 4.2 Thema's en attributen \|NN]] |
-| 4.3 | Indeling beheersmaatregel | [BT](ISO_27002_2022_NL_4.3_BT%20Indeling%20beheersmaatregel.md) | [[ISO_27002_2022_NL_NN 4.3 Indeling beheersmaatregel \|NN]] |
-| **5** | **Organisatorische beheersmaatregelen** | _ | |
-| 5.1 | Beleidsregels voor informatiebeveiliging | [BT](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md) | [[ISO_27002_2022_NL_NN 5.1 Beleidsregels voor informatiebeveiliging \|NN]] |
-| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | [BT](ISO_27002_2022_NL_5.2_BT%20Rollen%20en%20verantwoordelijkheden%20bij%20informatiebeveiliging.md) | [[ISO_27002_2022_NL_NN 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging \|NN]] |
-| 5.3 | Functiescheiding | [BT](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md) | [[ISO_27002_2022_NL_NN 5.3 Functiescheiding \|NN]] |
-| 5.4 | Managementverantwoordelijkheden | [BT](ISO_27002_2022_NL_5.4_BT%20Managementverantwoordelijkheden.md) | [[ISO_27002_2022_NL_NN 5.4 Managementverantwoordelijkheden \|NN]] |
-| 5.5 | Contact met overheidsinstanties | [BT](ISO_27002_2022_NL_5.5_BT%20Contact%20met%20overheidsinstanties.md) | [[ISO_27002_2022_NL_NN 5.5 Contact met overheidsinstanties \|NN]] |
-| 5.6 | Contact met speciale belangengroepen | [BT](ISO_27002_2022_NL_5.6_BT%20Contact%20met%20speciale%20belangengroepen.md) | [[ISO_27002_2022_NL_NN 5.6 Contact met speciale belangengroepen \|NN]] |
-| 5.7 | Informatie en analyses over dreigingen | [BT](ISO_27002_2022_NL_5.7_BT%20Informatie%20en%20analyses%20over%20dreigingen.md) | [[ISO_27002_2022_NL_NN 5.7 Informatie en analyses over dreigingen \|NN]] |
-| 5.8 | Informatiebeveiliging in projectmanagement | [BT](ISO_27002_2022_NL_5.8_BT%20Informatiebeveiliging%20in%20projectmanagement.md) | [[ISO_27002_2022_NL_NN 5.8 Informatiebeveiliging in projectmanagement \|NN]] |
-| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.9_BT%20Inventarisatie%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) | [[ISO_27002_2022_NL_NN 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen \|NN]] |
-| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) | [[ISO_27002_2022_NL_NN 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen \|NN]] |
-| 5.11 | Retourneren van bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.11_BT%20Retourneren%20van%20bedrijfsmiddelen.md) | [[ISO_27002_2022_NL_NN 5.11 Retourneren van bedrijfsmiddelen \|NN]] |
-| 5.12 | Classificeren van informatie | [BT](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md) | [[ISO_27002_2022_NL_NN 5.12 Classificeren van informatie \|NN]] |
-| 5.13 | Labelen van informatie | [BT](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md) | [[ISO_27002_2022_NL_NN 5.13 Labelen van informatie \|NN]] |
-| 5.14 | Overdragen van informatie | [BT](ISO_27002_2022_NL_5.14_BT%20Overdragen%20van%20informatie.md) | [[ISO_27002_2022_NL_NN 5.14 Overdragen van informatie \|NN]] |
-| 5.15 | Toegangsbeveiliging | [BT](ISO_27002_2022_NL_5.15_BT%20Toegangsbeveiliging.md) | [[ISO_27002_2022_NL_NN 5.15 Toegangsbeveiliging \|NN]] |
-| 5.16 | Identiteitsbeheer | [BT](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md) | [[ISO_27002_2022_NL_NN 5.16 Identiteitsbeheer \|NN]] |
-| 5.17 | Beheren van authenticatie-informatie | [BT](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md) | [[ISO_27002_2022_NL_NN 5.17 Beheren van authenticatie-informatie \|NN]] |
-| 5.18 | Toegangsrechten | [BT](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md) | [[ISO_27002_2022_NL_NN 5.18 Toegangsrechten \|NN]] |
-| 5.19 | Informatiebeveiliging in leveranciersrelaties | [BT](ISO_27002_2022_NL_5.19_BT%20Informatiebeveiliging%20in%20leveranciersrelaties.md) | [[ISO_27002_2022_NL_NN 5.19 Informatiebeveiliging in leveranciersrelaties \|NN]] |
-| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | [BT](ISO_27002_2022_NL_5.20_BT%20Adresseren%20van%20informatiebeveiliging%20in%20leveranciersovereenkomsten.md) | [[ISO_27002_2022_NL_NN 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten \|NN]] |
-| 5.21 | Beheren van informatiebeveiliging in de ICT-keten | [BT](ISO_27002_2022_NL_5.21_BT%20Beheren%20van%20informatiebeveiliging%20in%20de%20ICT-keten.md) | [[ISO_27002_2022_NL_NN 5.21 Beheren van informatiebeveiliging in de ICT-keten \|NN]] |
-| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | [BT](ISO_27002_2022_NL_5.22_BT%20Monitoren,%20beoordelen%20en%20het%20beheren%20van%20wijzigingen%20van%20leveranciersdiensten.md) | [[ISO_27002_2022_NL_NN 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten \|NN]] |
-| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | [BT](ISO_27002_2022_NL_5.23_BT%20Informatiebeveiliging%20voor%20het%20gebruik%20van%20clouddiensten.md) | [[ISO_27002_2022_NL_NN 5.23 Informatiebeveiliging voor het gebruik van clouddiensten \|NN]] |
-| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.24_BT Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten \|NN]] |
-| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | [[ISO_27002_2022_NL_5.25_BT Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen \|BT]] | [[ISO_27002_2022_NL_NN 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen \|NN]] |
-| 5.26 | Reageren op informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.26_BT Reageren op informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.26 Reageren op informatiebeveiligingsincidenten \|NN]] |
-| 5.27 | Leren van informatiebeveiligingsincidenten | [[ISO_27002_2022_NL_5.27_BT Leren van informatiebeveiligingsincidenten \|BT]] | [[ISO_27002_2022_NL_NN 5.27 Leren van informatiebeveiligingsincidenten \|NN]] |
-| 5.28 | Verzamelen van bewijsmateriaal | [[ISO_27002_2022_NL_5.28_BT Verzamelen van bewijsmateriaal \|BT]] | [[ISO_27002_2022_NL_NN 5.28 Verzamelen van bewijsmateriaal \|NN]] |
-| 5.29 | Informatiebeveiliging tijdens een verstoring | [[ISO_27002_2022_NL_5.29_BT Informatiebeveiliging tijdens een verstoring \|BT]] | [[ISO_27002_2022_NL_NN 5.29 Informatiebeveiliging tijdens een verstoring \|NN]] |
-| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | [BT](ISO_27002_2022_NL_5.30_BT%20ICT-gereedheid%20voor%20bedrijfscontinuïteit.md) | [[ISO_27002_2022_NL_NN 5.30 ICT-gereedheid voor bedrijfscontinuïteit \|NN]] |
-| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | [[ISO_27002_2022_NL_5.31_BT Wettelijke, statutaire, regelgevende en contractuele eisen \|BT]] | [[ISO_27002_2022_NL_NN 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen \|NN]] |
-| 5.32 | Intellectuele-eigendomsrechten | [[ISO_27002_2022_NL_5.32_BT Intellectuele-eigendomsrechten \|BT]] | [[ISO_27002_2022_NL_NN 5.32 Intellectuele-eigendomsrechten \|NN]] |
-| 5.33 | Beschermen van registraties | [[ISO_27002_2022_NL_5.33_BT Beschermen van registraties \|BT]] | [[ISO_27002_2022_NL_NN 5.33 Beschermen van registraties \|NN]] |
-| 5.34 | Privacy en bescherming van persoonsgegevens | [[ISO_27002_2022_NL_5.34_BT Privacy en bescherming van persoonsgegevens \|BT]] | [[ISO_27002_2022_NL_NN 5.34 Privacy en bescherming van persoonsgegevens \|NN]] |
-| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | [[ISO_27002_2022_NL_5.35_BT Onafhankelijke beoordeling van informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.35 Onafhankelijke beoordeling van informatiebeveiliging \|NN]] |
-| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | [[ISO_27002_2022_NL_5.36_BT Naleving van beleid, regels en normen voor informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging \|NN]] |
-| 5.37 | Gedocumenteerde bedieningsprocedures | [[ISO_27002_2022_NL_5.37_BT Gedocumenteerde bedieningsprocedures \|BT]] | [[ISO_27002_2022_NL_NN 5.37 Gedocumenteerde bedieningsprocedures \|NN]] |
-| | | | |
-| **6** | **Mensgerichte beheersmaatregelen** | | |
-| 6.1 | Screening | [[ISO_27002_2022_NL_6.1_BT Screening \|BT]] | [[ISO_27002_2022_NL_NN 6.1 Screening \|NN]] |
-| 6.2 | Arbeidsovereenkomst | [[ISO_27002_2022_NL_6.2_BT Arbeidsovereenkomst \|BT]] | [[ISO_27002_2022_NL_NN 6.2 Arbeidsovereenkomst \|NN]] |
-| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | [[ISO_27002_2022_NL_6.3_BT Bewustwording van, opleiding en training in informatiebeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 6.3 Bewustwording van, opleiding en training in informatiebeveiliging \|NN]] |
-| 6.4 | Disciplinaire procedure | [[ISO_27002_2022_NL_6.4_BT Disciplinaire procedure \|BT]] | [[ISO_27002_2022_NL_NN 6.4 Disciplinaire procedure \|NN]] |
-| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | [[ISO_27002_2022_NL_6.5_BT Verantwoordelijkheden na beëindiging of wijziging van het dienstverband \|BT]] | [[ISO_27002_2022_NL_NN 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband \|NN]] |
-| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | [[ISO_27002_2022_NL_6.6_BT Vertrouwelijkheids- of geheimhoudingsovereenkomsten \|BT]] | [[ISO_27002_2022_NL_NN 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten \|NN]] |
-| 6.7 | Werken op afstand | [[ISO_27002_2022_NL_6.7_BT Werken op afstand \|BT]] | [[ISO_27002_2022_NL_NN 6.7 Werken op afstand \|NN]] |
-| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | [[ISO_27002_2022_NL_6.8_BT Melden van informatiebeveiligingsgebeurtenissen \|BT]] | [[ISO_27002_2022_NL_NN 6.8 Melden van informatiebeveiligingsgebeurtenissen \|NN]] |
-| | | | |
-| **7** | **Fysieke beheersmaatregelen** | | |
-| 7.1 | Fysieke beveiligingszones | [[ISO_27002_2022_NL_7.1_BT Fysieke beveiligingszones \|BT]] | [[ISO_27002_2022_NL_NN 7.1 Fysieke beveiligingszones \|NN]] |
-| 7.2 | Fysieke toegangsbeveiliging | [[ISO_27002_2022_NL_7.2_BT Fysieke toegangsbeveiliging \|BT]] | [[ISO_27002_2022_NL_NN 7.2 Fysieke toegangsbeveiliging \|NN]] |
-| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | [[ISO_27002_2022_NL_7.3_BT Beveiligen van kantoren, ruimten en faciliteiten \|BT]] | [[ISO_27002_2022_NL_NN 7.3 Beveiligen van kantoren, ruimten en faciliteiten \|NN]] |
-| 7.4 | Monitoren van de fysieke beveiliging | [[ISO_27002_2022_NL_7.4_BT Monitoren van de fysieke beveiliging \|BT]] | [[ISO_27002_2022_NL_NN 7.4 Monitoren van de fysieke beveiliging \|NN]] |
-| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | [[ISO_27002_2022_NL_7.5_BT Beschermen tegen fysieke en omgevingsdreigingen \|BT]] | [[ISO_27002_2022_NL_NN 7.5 Beschermen tegen fysieke en omgevingsdreigingen \|NN]] |
-| 7.6 | Werken in beveiligde zones | [[ISO_27002_2022_NL_7.6_BT Werken in beveiligde zones \|BT]] | [[ISO_27002_2022_NL_NN 7.6 Werken in beveiligde zones \|NN]] |
-| 7.7 | ‘Clear desk’ en ‘clear screen’ | [[ISO_27002_2022_NL_7.7_BT ‘Clear desk’ en ‘clear screen’ \|BT]] | [[ISO_27002_2022_NL_NN 7.7 ‘Clear desk’ en ‘clear screen’ \|NN]] |
-| 7.8 | Plaatsen en beschermen van apparatuur | [[ISO_27002_2022_NL_7.8_BT Plaatsen en beschermen van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.8 Plaatsen en beschermen van apparatuur \|NN]] |
-| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | [[ISO_27002_2022_NL_7.9_BT Beveiligen van bedrijfsmiddelen buiten het terrein \|BT]] | [[ISO_27002_2022_NL_NN 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein \|NN]] |
-| 7.10 | Opslagmedia | [[ISO_27002_2022_NL_7.10_BT Opslagmedia \|BT]] | [[ISO_27002_2022_NL_NN 7.10 Opslagmedia \|NN]] |
-| 7.11 | Nutsvoorzieningen | [[ISO_27002_2022_NL_7.11_BT Nutsvoorzieningen \|BT]] | [[ISO_27002_2022_NL_NN 7.11 Nutsvoorzieningen \|NN]] |
-| 7.12 | Beveiligen van bekabeling | [[ISO_27002_2022_NL_7.12_BT Beveiligen van bekabeling \|BT]] | [[ISO_27002_2022_NL_NN 7.12 Beveiligen van bekabeling \|NN]] |
-| 7.13 | Onderhoud van apparatuur | [[ISO_27002_2022_NL_7.13_BT Onderhoud van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.13 Onderhoud van apparatuur \|NN]] |
-| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | [[ISO_27002_2022_NL_7.14_BT Veilig verwijderen of hergebruiken van apparatuur \|BT]] | [[ISO_27002_2022_NL_NN 7.14 Veilig verwijderen of hergebruiken van apparatuur \|NN]] |
-| | | | |
-| **8** | **Technologische beheersmaatregelen** | | |
-| 8.1 | ‘User endpoint devices’ | [[ISO_27002_2022_NL_8.1_BT ‘User endpoint devices’ \|BT]] | [[ISO_27002_2022_NL_NN 8.1 ‘User endpoint devices’ \|NN]] |
-| 8.2 | Speciale toegangsrechten | [[ISO_27002_2022_NL_8.2_BT Speciale toegangsrechten \|BT]] | [[ISO_27002_2022_NL_NN 8.2 Speciale toegangsrechten \|NN]] |
-| 8.3 | Beperking toegang tot informatie | [[ISO_27002_2022_NL_8.3_BT Beperking toegang tot informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.3 Beperking toegang tot informatie \|NN]] |
-| 8.4 | Toegangsbeveiliging op broncode | [[ISO_27002_2022_NL_8.4_BT Toegangsbeveiliging op broncode \|BT]] | [[ISO_27002_2022_NL_NN 8.4 Toegangsbeveiliging op broncode \|NN]] |
-| 8.5 | Beveiligde authenticatie | [[ISO_27002_2022_NL_8.5_BT Beveiligde authenticatie \|BT]] | [[ISO_27002_2022_NL_NN 8.5 Beveiligde authenticatie \|NN]] |
-| 8.6 | Capaciteitsbeheer | [[ISO_27002_2022_NL_8.6_BT Capaciteitsbeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.6 Capaciteitsbeheer \|NN]] |
-| 8.7 | Bescherming tegen malware | [[ISO_27002_2022_NL_8.7_BT Bescherming tegen malware \|BT]] | [[ISO_27002_2022_NL_NN 8.7 Bescherming tegen malware \|NN]] |
-| 8.8 | Beheer van technische kwetsbaarheden | [[ISO_27002_2022_NL_8.8_BT Beheer van technische kwetsbaarheden \|BT]] | [[ISO_27002_2022_NL_NN 8.8 Beheer van technische kwetsbaarheden \|NN]] |
-| 8.9 | Configuratiebeheer | [[ISO_27002_2022_NL_8.9_BT Configuratiebeheer \|BT]] | [[ISO_27002_2022_NL_NN 8.9 Configuratiebeheer \|NN]] |
-| 8.10 | Wissen van informatie | [[ISO_27002_2022_NL_8.10_BT Wissen van informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.10 Wissen van informatie \|NN]] |
-| 8.11 | Maskeren van gegevens | [[ISO_27002_2022_NL_8.11_BT Maskeren van gegevens \|BT]] | [[ISO_27002_2022_NL_NN 8.11 Maskeren van gegevens \|NN]] |
-| 8.12 | Voorkomen van gegevenslekken (Data leakage prevention) | [[ISO_27002_2022_NL_8.12_BT Voorkomen van gegevenslekken (Data leakage prevention) \|BT]] | [[ISO_27002_2022_NL_NN 8.12 Voorkomen van gegevenslekken (Data leakage prevention) \|NN]] |
-| 8.13 | Back-up van informatie | [[ISO_27002_2022_NL_8.13_BT Back-up van informatie \|BT]] | [[ISO_27002_2022_NL_NN 8.13 Back-up van informatie \|NN]] |
-| 8.14 | Redundantie van informatieverwerkende faciliteiten | [[ISO_27002_2022_NL_8.14_BT Redundantie van informatieverwerkende faciliteiten \|BT]] | [[ISO_27002_2022_NL_NN 8.14 Redundantie van informatieverwerkende faciliteiten \|NN]] |
-| 8.15 | Logging | [[ISO_27002_2022_NL_8.15_BT Logging \|BT]] | [[ISO_27002_2022_NL_NN 8.15 Logging \|NN]] |
-| 8.16 | Monitoren van activiteiten | [[ISO_27002_2022_NL_8.16_BT Monitoren van activiteiten \|BT]] | [[ISO_27002_2022_NL_NN 8.16 Monitoren van activiteiten \|NN]] |
-| 8.17 | Kloksynchronisatie | [[ISO_27002_2022_NL_8.17_BT Kloksynchronisatie \|BT]] | [[ISO_27002_2022_NL_NN 8.17 Kloksynchronisatie \|NN]] |
-| 8.18 | Gebruik van speciale systeemhulpmiddelen | [[ISO_27002_2022_NL_8.18_BT Gebruik van speciale systeemhulpmiddelen \|BT]] | [[ISO_27002_2022_NL_NN 8.18 Gebruik van speciale systeemhulpmiddelen \|NN]] |
-| 8.19 | Installeren van software op operationele systemen | [[ISO_27002_2022_NL_8.19_BT Installeren van software op operationele systemen \|BT]] | [[ISO_27002_2022_NL_NN 8.19 Installeren van software op operationele systemen \|NN]] |
-| 8.20 | Beveiliging netwerkcomponenten | [[ISO_27002_2022_NL_8.20_BT Beveiliging netwerkcomponenten \|BT]] | [[ISO_27002_2022_NL_NN 8.20 Beveiliging netwerkcomponenten \|NN]] |
-| 8.21 | Beveiliging van netwerkdiensten | [[ISO_27002_2022_NL_8.21_BT Beveiliging van netwerkdiensten \|BT]] | [[ISO_27002_2022_NL_NN 8.21 Beveiliging van netwerkdiensten \|NN]] |
-| 8.22 | Netwerksegmentatie | [[ISO_27002_2022_NL_8.22_BT Netwerksegmentatie \|BT]] | [[ISO_27002_2022_NL_NN 8.22 Netwerksegmentatie \|NN]] |
-| 8.23 | Toepassen van webfilters | [[ISO_27002_2022_NL_8.23_BT Toepassen van webfilters \|BT]] | [[ISO_27002_2022_NL_NN 8.23 Toepassen van webfilters \|NN]] |
-| 8.24 | Gebruik van cryptografie | [BT](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md) | [[ISO_27002_2022_NL_NN 8.24 Gebruik van cryptografie \|NN]] |
-| 8.25 | Beveiligen tijdens de ontwikkelcyclus | [[ISO_27002_2022_NL_8.25_BT Beveiligen tijdens de ontwikkelcyclus \|BT]] | [[ISO_27002_2022_NL_NN 8.25 Beveiligen tijdens de ontwikkelcyclus \|NN]] |
-| 8.26 | Toepassingsbeveiligingseisen | [[ISO_27002_2022_NL_8.26_BT Toepassingsbeveiligingseisen \|BT]] | [[ISO_27002_2022_NL_NN 8.26 Toepassingsbeveiligingseisen \|NN]] |
-| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | [[ISO_27002_2022_NL_8.27_BT Veilige systeemarchitectuur en technische uitgangspunten \|BT]] | [[ISO_27002_2022_NL_NN 8.27 Veilige systeemarchitectuur en technische uitgangspunten \|NN]] |
-| 8.28 | Veilig coderen | [BT](ISO_27002_2022_NL_8.28_BT%20Veilig%20coderen.md) | [[ISO_27002_2022_NL_NN 8.28 Veilig coderen \|NN]] |
-| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | [[ISO_27002_2022_NL_8.29_BT Testen van de beveiliging tijdens ontwikkeling en acceptatie \|BT]] | [[ISO_27002_2022_NL_NN 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie \|NN]] |
-| 8.30 | Uitbestede systeemontwikkeling | [[ISO_27002_2022_NL_8.30_BT Uitbestede systeemontwikkeling \|BT]] | [[ISO_27002_2022_NL_NN 8.30 Uitbestede systeemontwikkeling \|NN]] |
-| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | [[ISO_27002_2022_NL_8.31_BT Scheiding van ontwikkel-, test- en productieomgevingen \|BT]] | [[ISO_27002_2022_NL_NN 8.31 Scheiding van ontwikkel-, test- en productieomgevingen \|NN]] |
-| 8.32 | Wijzigingsbeheer | [BT](ISO_27002_2022_NL_8.32_BT%20Wijzigingsbeheer.md) | [[ISO_27002_2022_NL_NN 8.32 Wijzigingsbeheer \|NN]] |
-| 8.33 | Testgegevens | [[ISO_27002_2022_NL_8.33_BT Testgegevens \|BT]] | [[ISO_27002_2022_NL_NN 8.33 Testgegevens \|NN]] |
-| 8.34 | Bescherming van informatiesystemen tijdens audits | [[ISO_27002_2022_NL_8.34_BT Bescherming van informatiesystemen tijdens audits \|BT]] | [[ISO_27002_2022_NL_NN 8.34 Bescherming van informatiesystemen tijdens audits \|NN]] |
+| 2022 ID | Maatregel | Brontekst |
+| :------ | :---------------------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------- |
+| **3** | **Termen, definities en afgekorte termen** | |
+| 3.1 | Termen en definities | [BT](ISO_27002_2022_NL_3.1_BT%20Termen%20en%20definities.md) |
+| 3.2 | Afgekorte termen | [BT](ISO_27002_2022_NL_3.2_BT%20Afgekorte%20termen.md) |
+| **4** | **Structuur van dit document** | _ |
+| 4.1 | Hoofdstukken | [BT](ISO_27002_2022_NL_4.1_BT%20Hoofdstukken.md) |
+| 4.2 | Thema's en attributen | [BT](ISO_27002_2022_NL_4.2_BT%20Thema's%20en%20attributen.md) |
+| 4.3 | Indeling beheersmaatregel | [BT](ISO_27002_2022_NL_4.3_BT%20Indeling%20beheersmaatregel.md) |
+| **5** | **Organisatorische beheersmaatregelen** | _ |
+| 5.1 | Beleidsregels voor informatiebeveiliging | [BT](ISO_27002_2022_NL_5.1_BT%20Beleidsregels%20voor%20informatiebeveiliging.md) |
+| 5.2 | Rollen en verantwoordelijkheden bij informatiebeveiliging | [BT](ISO_27002_2022_NL_5.2_BT%20Rollen%20en%20verantwoordelijkheden%20bij%20informatiebeveiliging.md) |
+| 5.3 | Functiescheiding | [BT](ISO_27002_2022_NL_5.3_BT%20Functiescheiding.md) |
+| 5.4 | Managementverantwoordelijkheden | [BT](ISO_27002_2022_NL_5.4_BT%20Managementverantwoordelijkheden.md) |
+| 5.5 | Contact met overheidsinstanties | [BT](ISO_27002_2022_NL_5.5_BT%20Contact%20met%20overheidsinstanties.md) |
+| 5.6 | Contact met speciale belangengroepen | [BT](ISO_27002_2022_NL_5.6_BT%20Contact%20met%20speciale%20belangengroepen.md) |
+| 5.7 | Informatie en analyses over dreigingen | [BT](ISO_27002_2022_NL_5.7_BT%20Informatie%20en%20analyses%20over%20dreigingen.md) |
+| 5.8 | Informatiebeveiliging in projectmanagement | [BT](ISO_27002_2022_NL_5.8_BT%20Informatiebeveiliging%20in%20projectmanagement.md) |
+| 5.9 | Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.9_BT%20Inventarisatie%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) |
+| 5.10 | Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.10_BT%20Aanvaardbaar%20gebruik%20van%20informatie%20en%20andere%20gerelateerde%20bedrijfsmiddelen.md) |
+| 5.11 | Retourneren van bedrijfsmiddelen | [BT](ISO_27002_2022_NL_5.11_BT%20Retourneren%20van%20bedrijfsmiddelen.md) |
+| 5.12 | Classificeren van informatie | [BT](ISO_27002_2022_NL_5.12_BT%20Classificeren%20van%20informatie.md) |
+| 5.13 | Labelen van informatie | [BT](ISO_27002_2022_NL_5.13_BT%20Labelen%20van%20informatie.md) |
+| 5.14 | Overdragen van informatie | [BT](ISO_27002_2022_NL_5.14_BT%20Overdragen%20van%20informatie.md) |
+| 5.15 | Toegangsbeveiliging | [BT](ISO_27002_2022_NL_5.15_BT%20Toegangsbeveiliging.md) |
+| 5.16 | Identiteitsbeheer | [BT](ISO_27002_2022_NL_5.16_BT%20Identiteitsbeheer.md) |
+| 5.17 | Beheren van authenticatie-informatie | [BT](ISO_27002_2022_NL_5.17_BT%20Beheren%20van%20authenticatie-informatie.md) |
+| 5.18 | Toegangsrechten | [BT](ISO_27002_2022_NL_5.18_BT%20Toegangsrechten.md) |
+| 5.19 | Informatiebeveiliging in leveranciersrelaties | [BT](ISO_27002_2022_NL_5.19_BT%20Informatiebeveiliging%20in%20leveranciersrelaties.md) |
+| 5.20 | Adresseren van informatiebeveiliging in leveranciersovereenkomsten | [BT](ISO_27002_2022_NL_5.20_BT%20Adresseren%20van%20informatiebeveiliging%20in%20leveranciersovereenkomsten.md) |
+| 5.21 | Beheren van informatiebeveiliging in de ICT-keten | [BT](ISO_27002_2022_NL_5.21_BT%20Beheren%20van%20informatiebeveiliging%20in%20de%20ICT-keten.md) |
+| 5.22 | Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten | [BT](ISO_27002_2022_NL_5.22_BT%20Monitoren,%20beoordelen%20en%20het%20beheren%20van%20wijzigingen%20van%20leveranciersdiensten.md) |
+| 5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | [BT](ISO_27002_2022_NL_5.23_BT%20Informatiebeveiliging%20voor%20het%20gebruik%20van%20clouddiensten.md) |
+| 5.24 | Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten | [BT](ISO_27002_2022_NL_5.24_BT%20Plannen%20en%20voorbereiden%20van%20het%20beheer%20van%20informatiebeveiligingsincidenten.md) |
+| 5.25 | Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen | [BT](ISO_27002_2022_NL_5.25_BT%20Beoordelen%20van%20en%20besluiten%20over%20informatiebeveiligingsgebeurtenissen.md) |
+| 5.26 | Reageren op informatiebeveiligingsincidenten | [BT](ISO_27002_2022_NL_5.26_BT%20Reageren%20op%20informatiebeveiligingsincidenten.md) |
+| 5.27 | Leren van informatiebeveiligingsincidenten | [BT](ISO_27002_2022_NL_5.27_BT%20Leren%20van%20informatiebeveiligingsincidenten.md) |
+| 5.28 | Verzamelen van bewijsmateriaal | [BT](ISO_27002_2022_NL_5.28_BT%20Verzamelen%20van%20bewijsmateriaal.md) |
+| 5.29 | Informatiebeveiliging tijdens een verstoring | [BT](ISO_27002_2022_NL_5.29_BT%20Informatiebeveiliging%20tijdens%20een%20verstoring.md) |
+| 5.30 | ICT-gereedheid voor bedrijfscontinuïteit | [BT](ISO_27002_2022_NL_5.30_BT%20ICT-gereedheid%20voor%20bedrijfscontinuïteit.md) |
+| 5.31 | Wettelijke, statutaire, regelgevende en contractuele eisen | [BT](ISO_27002_2022_NL_5.31_BT%20Wettelijke,%20statutaire,%20regelgevende%20en%20contractuele%20eisen.md) |
+| 5.32 | Intellectuele-eigendomsrechten | [BT](ISO_27002_2022_NL_5.32_BT%20Intellectuele-eigendomsrechten.md) |
+| 5.33 | Beschermen van registraties | [BT](ISO_27002_2022_NL_5.33_BT%20Beschermen%20van%20registraties.md) |
+| 5.34 | Privacy en bescherming van persoonsgegevens | [BT](ISO_27002_2022_NL_5.34_BT%20Privacy%20en%20bescherming%20van%20persoonsgegevens.md) |
+| 5.35 | Onafhankelijke beoordeling van informatiebeveiliging | [BT](ISO_27002_2022_NL_5.35_BT%20Onafhankelijke%20beoordeling%20van%20informatiebeveiliging.md) |
+| 5.36 | Naleving van beleid, regels en normen voor informatiebeveiliging | [BT](ISO_27002_2022_NL_5.36_BT%20Naleving%20van%20beleid,%20regels%20en%20normen%20voor%20informatiebeveiliging.md) |
+| 5.37 | Gedocumenteerde bedieningsprocedures | [BT](ISO_27002_2022_NL_5.37_BT%20Gedocumenteerde%20bedieningsprocedures.md) |
+| | | |
+| **6** | **Mensgerichte beheersmaatregelen** | |
+| 6.1 | Screening | [BT](ISO_27002_2022_NL_6.1_BT%20Screening.md) |
+| 6.2 | Arbeidsovereenkomst | [BT](ISO_27002_2022_NL_6.2_BT%20Arbeidsovereenkomst.md) |
+| 6.3 | Bewustwording van, opleiding en training in informatiebeveiliging | [BT](ISO_27002_2022_NL_6.3_BT%20Bewustwording%20van,%20opleiding%20en%20training%20in%20informatiebeveiliging.md) |
+| 6.4 | Disciplinaire procedure | [BT](ISO_27002_2022_NL_6.4_BT%20Disciplinaire%20procedure.md) |
+| 6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | [BT](ISO_27002_2022_NL_6.5_BT%20Verantwoordelijkheden%20na%20be%C3%ABindiging%20of%20wijziging%20van%20het%20dienstverband.md) |
+| 6.6 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | [BT](ISO_27002_2022_NL_6.6_BT%20Vertrouwelijkheids-%20of%20geheimhoudingsovereenkomsten.md) |
+| 6.7 | Werken op afstand | [BT](ISO_27002_2022_NL_6.7_BT%20Werken%20op%20afstand.md) |
+| 6.8 | Melden van informatiebeveiligingsgebeurtenissen | [BT](ISO_27002_2022_NL_6.8_BT%20Melden%20van%20informatiebeveiligingsgebeurtenissen.md) |
+| | | |
+| **7** | **Fysieke beheersmaatregelen** | |
+| 7.1 | Fysieke beveiligingszones | [BT](ISO_27002_2022_NL_7.1_BT%20Fysieke%20beveiligingszones.md) |
+| 7.2 | Fysieke toegangsbeveiliging | [BT](ISO_27002_2022_NL_7.2_BT%20Fysieke%20toegangsbeveiliging.md) |
+| 7.3 | Beveiligen van kantoren, ruimten en faciliteiten | [BT](ISO_27002_2022_NL_7.3_BT%20Beveiligen%20van%20kantoren,%20ruimten%20en%20faciliteiten.md) |
+| 7.4 | Monitoren van de fysieke beveiliging | [BT](ISO_27002_2022_NL_7.4_BT%20Monitoren%20van%20de%20fysieke%20beveiliging.md) |
+| 7.5 | Beschermen tegen fysieke en omgevingsdreigingen | [BT](ISO_27002_2022_NL_7.5_BT%20Beschermen%20tegen%20fysieke%20en%20omgevingsdreigingen.md) |
+| 7.6 | Werken in beveiligde zones | [BT](ISO_27002_2022_NL_7.6_BT%20Werken%20in%20beveiligde%20zones.md) |
+| 7.7 | ‘Clear desk’ en ‘clear screen’ | [BT](ISO_27002_2022_NL_7.7_BT%20'Clear%20desk'%20en%20'clear%20screen'.md) |
+| 7.8 | Plaatsen en beschermen van apparatuur | [BT](ISO_27002_2022_NL_7.8_BT%20Plaatsen%20en%20beschermen%20van%20apparatuur.md) |
+| 7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | [BT](ISO_27002_2022_NL_7.9_BT%20Beveiligen%20van%20bedrijfsmiddelen%20buiten%20het%20terrein.md) |
+| 7.10 | Opslagmedia | [BT](ISO_27002_2022_NL_7.10_BT%20Opslagmedia.md) |
+| 7.11 | Nutsvoorzieningen | [BT](ISO_27002_2022_NL_7.11_BT%20Nutsvoorzieningen.md) |
+| 7.12 | Beveiligen van bekabeling | [BT](ISO_27002_2022_NL_7.12_BT%20Beveiligen%20van%20bekabeling.md) |
+| 7.13 | Onderhoud van apparatuur | [BT](ISO_27002_2022_NL_7.13_BT%20Onderhoud%20van%20apparatuur.md) |
+| 7.14 | Veilig verwijderen of hergebruiken van apparatuur | [BT](ISO_27002_2022_NL_7.14_BT%20Veilig%20verwijderen%20of%20hergebruiken%20van%20apparatuur.md) |
+| | | |
+| **8** | **Technologische beheersmaatregelen** | |
+| 8.1 | ‘User endpoint devices’ | [BT](ISO_27002_2022_NL_8.1_BT%20'User%20endpoint%20devices'.md) |
+| 8.2 | Speciale toegangsrechten | [BT](ISO_27002_2022_NL_8.2_BT%20Speciale%20toegangsrechten.md) |
+| 8.3 | Beperking toegang tot informatie | [BT](ISO_27002_2022_NL_8.3_BT%20Beperking%20toegang%20tot%20informatie.md) |
+| 8.4 | Toegangsbeveiliging op broncode | [BT](ISO_27002_2022_NL_8.4_BT%20Toegangsbeveiliging%20op%20broncode.md) |
+| 8.5 | Beveiligde authenticatie | [BT](ISO_27002_2022_NL_8.5_BT%20Beveiligde%20authenticatie.md) |
+| 8.6 | Capaciteitsbeheer | [BT](ISO_27002_2022_NL_8.6_BT%20Capaciteitsbeheer.md) |
+| 8.7 | Bescherming tegen malware | [BT](ISO_27002_2022_NL_8.7_BT%20Bescherming%20tegen%20malware.md) |
+| 8.8 | Beheer van technische kwetsbaarheden | [BT](ISO_27002_2022_NL_8.8_BT%20Beheer%20van%20technische%20kwetsbaarheden.md) |
+| 8.9 | Configuratiebeheer | [BT](ISO_27002_2022_NL_8.9_BT%20Configuratiebeheer.md) |
+| 8.10 | Wissen van informatie | [BT](ISO_27002_2022_NL_8.10_BT%20Wissen%20van%20informatie.md) |
+| 8.11 | Maskeren van gegevens | [BT](ISO_27002_2022_NL_8.11_BT%20Maskeren%20van%20gegevens.md) |
+| 8.12 | Voorkomen van gegevenslekken (Data leakage prevention) | [BT](ISO_27002_2022_NL_8.12_BT%20Voorkomen%20van%20gegevenslekken%20%28Data%20leakage%20prevention%29.md) |
+| 8.13 | Back-up van informatie | [BT](ISO_27002_2022_NL_8.13_BT%20Back-up%20van%20informatie.md) |
+| 8.14 | Redundantie van informatieverwerkende faciliteiten | [BT](ISO_27002_2022_NL_8.14_BT%20Redundantie%20van%20informatieverwerkende%20faciliteiten.md) |
+| 8.15 | Logging | [BT](ISO_27002_2022_NL_8.15_BT%20Logging.md) |
+| 8.16 | Monitoren van activiteiten | [BT](ISO_27002_2022_NL_8.16_BT%20Monitoren%20van%20activiteiten.md) |
+| 8.17 | Kloksynchronisatie | [BT](ISO_27002_2022_NL_8.17_BT%20Kloksynchronisatie.md) |
+| 8.18 | Gebruik van speciale systeemhulpmiddelen | [BT](ISO_27002_2022_NL_8.18_BT%20Gebruik%20van%20speciale%20systeemhulpmiddelen.md) |
+| 8.19 | Installeren van software op operationele systemen | [BT](ISO_27002_2022_NL_8.19_BT%20Installeren%20van%20software%20op%20operationele%20systemen.md) |
+| 8.20 | Beveiliging netwerkcomponenten | [BT](ISO_27002_2022_NL_8.20_BT%20Beveiliging%20netwerkcomponenten.md) |
+| 8.21 | Beveiliging van netwerkdiensten | [BT](ISO_27002_2022_NL_8.21_BT%20Beveiliging%20van%20netwerkdiensten.md) |
+| 8.22 | Netwerksegmentatie | [BT](ISO_27002_2022_NL_8.22_BT%20Netwerksegmentatie.md) |
+| 8.23 | Toepassen van webfilters | [BT](ISO_27002_2022_NL_8.23_BT%20Toepassen%20van%20webfilters.md) |
+| 8.24 | Gebruik van cryptografie | [BT](ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md) |
+| 8.25 | Beveiligen tijdens de ontwikkelcyclus | [BT](ISO_27002_2022_NL_8.25_BT%20Beveiligen%20tijdens%20de%20ontwikkelcyclus.md) |
+| 8.26 | Toepassingsbeveiligingseisen | [BT](ISO_27002_2022_NL_8.26_BT%20Toepassingsbeveiligingseisen.md) |
+| 8.27 | Veilige systeemarchitectuur en technische uitgangspunten | [BT](ISO_27002_2022_NL_8.27_BT%20Veilige%20systeemarchitectuur%20en%20technische%20uitgangspunten.md) |
+| 8.28 | Veilig coderen | [BT](ISO_27002_2022_NL_8.28_BT%20Veilig%20coderen.md) |
+| 8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | [BT](ISO_27002_2022_NL_8.29_BT%20Testen%20van%20de%20beveiliging%20tijdens%20ontwikkeling%20en%20acceptatie.md) |
+| 8.30 | Uitbestede systeemontwikkeling | [BT](ISO_27002_2022_NL_8.30_BT%20Uitbestede%20systeemontwikkeling.md) |
+| 8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | [BT](ISO_27002_2022_NL_8.31_BT%20Scheiding%20van%20ontwikkel-,%20test-%20en%20productieomgevingen.md) |
+| 8.32 | Wijzigingsbeheer | [BT](ISO_27002_2022_NL_8.32_BT%20Wijzigingsbeheer.md) |
+| 8.33 | Testgegevens | [BT](ISO_27002_2022_NL_8.33_BT%20Testgegevens.md) |
+| 8.34 | Bescherming van informatiesystemen tijdens audits | [BT](ISO_27002_2022_NL_8.34_BT%20Bescherming%20van%20informatiesystemen%20tijdens%20audits.md) |
diff --git a/Corpus/Standards/MoCs/ISO_27002_2022_8.24_MoC Use of cryptography.md b/Corpus/Standards/MoCs/ISO_27002_2022_8.24_MoC Use of cryptography.md
index 806d30a..1c6c6dc 100644
--- a/Corpus/Standards/MoCs/ISO_27002_2022_8.24_MoC Use of cryptography.md
+++ b/Corpus/Standards/MoCs/ISO_27002_2022_8.24_MoC Use of cryptography.md
@@ -4,4 +4,4 @@
ISO 27002:2013: 10.1.1, 10.1.2
[Brontekst](../ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_BT%20Gebruik%20van%20cryptografie.md)
-[Normaal Nederlands](../ISO-27002-OST/ISO27002-NL-2022/ISO_27002_2022_NL_8.24_NN%20Gebruik%20van%20cryptografie.md)
+[Normaal Nederlands](../../../../iso27DIY-gis/reference/Paraphrased/ISO_27002_2022_NL_8.24_NN%20Gebruik%20van%20cryptografie.md)