From f80f7fdf36a1f7aeaeed653dc3cfd516471ae068 Mon Sep 17 00:00:00 2001 From: Richard Kranendonk Date: Sat, 2 May 2026 16:25:07 +0200 Subject: [PATCH] Removed legacy property tables, reformatted bold headers as level 3 --- ...eleidsregels-voor-informatiebeveiliging.md | 18 ++------ ...en-andere-gerelateerde-bedrijfsmiddelen.md | 20 ++------ ...a-5.11-Retourneren-van-bedrijfsmiddelen.md | 21 ++------- .../NL/a-5.12-Classificeren-van-informatie.md | 19 ++------ .../27002/NL/a-5.13-Labelen-van-informatie.md | 19 ++------ .../NL/a-5.14-Overdragen-van-informatie.md | 20 ++------ .../27002/NL/a-5.15-Toegangsbeveiliging.md | 20 ++------ .../OST/27002/NL/a-5.16-Identiteitsbeheer.md | 20 ++------ ...17-Beheren-van-authenticatie-informatie.md | 11 ----- .../OST/27002/NL/a-5.18-Toegangsrechten.md | 19 ++------ ...atiebeveiliging-in-leveranciersrelaties.md | 19 ++------ ...ordelijkheden-bij-informatiebeveiliging.md | 18 ++------ ...veiliging-in-leveranciersovereenkomsten.md | 18 ++------ ...n-informatiebeveiliging-in-de-ICT-keten.md | 22 ++------- ...an-wijzigingen-van-leveranciersdiensten.md | 20 ++------ ...ging-voor-het-gebruik-van-clouddiensten.md | 10 ++-- ...er-van-informatiebeveiligingsincidenten.md | 29 ++---------- ...er-informatiebeveiligingsgebeurtenissen.md | 22 ++------- ...ren-op-informatiebeveiligingsincidenten.md | 22 ++------- ...en-van-informatiebeveiligingsincidenten.md | 22 ++------- .../a-5.28-Verzamelen-van-bewijsmateriaal.md | 22 ++------- ...matiebeveiliging-tijdens-een-verstoring.md | 22 ++------- .../OST/27002/NL/a-5.3-Functiescheiding.md | 18 ++------ ...CT-gereedheid-voor-bedrijfscontinuiteit.md | 20 ++------ ...aire-regelgevende-en-contractuele-eisen.md | 21 ++------- .../a-5.32-Intellectuele-eigendomsrechten.md | 22 ++------- .../NL/a-5.33-Beschermen-van-registraties.md | 22 ++------- ...acy-en-bescherming-van-persoonsgegevens.md | 22 ++------- ...e-beoordeling-van-informatiebeveiliging.md | 22 ++------- ...ls-en-normen-voor-informatiebeveiliging.md | 22 ++------- ...37-Gedocumenteerde-bedieningsprocedures.md | 20 ++------ .../a-5.4-Managementverantwoordelijkheden.md | 18 ++------ .../a-5.5-Contact-met-overheidsinstanties.md | 19 ++------ ....6-Contact-met-speciale-belangengroepen.md | 17 ++----- ...-Informatie-en-analyses-over-dreigingen.md | 19 ++------ ...ormatiebeveiliging-in-projectmanagement.md | 19 ++------ ...en-andere-gerelateerde-bedrijfsmiddelen.md | 21 ++------- .../ISO27x/OST/27002/NL/a-6.1-Screening.md | 21 ++------- .../OST/27002/NL/a-6.2-Arbeidsovereenkomst.md | 22 ++------- ...ng-en-training-in-informatiebeveiliging.md | 22 ++------- .../27002/NL/a-6.4-Disciplinaire-procedure.md | 22 ++------- ...ging-of-wijziging-van-het-dienstverband.md | 22 ++------- ...jkheids-of-geheimhoudingsovereenkomsten.md | 22 ++------- .../OST/27002/NL/a-6.7-Werken-op-afstand.md | 18 ++------ ...an-informatiebeveiligingsgebeurtenissen.md | 20 ++------ .../NL/a-7.1-Fysieke-beveiligingszones.md | 20 ++------ .../ISO27x/OST/27002/NL/a-7.10-Opslagmedia.md | 20 ++------ .../OST/27002/NL/a-7.11-Nutsvoorzieningen.md | 22 ++------- .../NL/a-7.12-Beveiligen-van-bekabeling.md | 22 ++------- .../NL/a-7.13-Onderhoud-van-apparatuur.md | 22 ++------- ...wijderen-of-hergebruiken-van-apparatuur.md | 20 ++------ .../NL/a-7.2-Fysieke-toegangsbeveiliging.md | 18 ++------ ...en-van-kantoren-ruimten-en-faciliteiten.md | 18 ++------ ....4-Monitoren-van-de-fysieke-beveiliging.md | 20 ++------ ...en-tegen-fysieke-en-omgevingsdreigingen.md | 20 ++------ .../NL/a-7.6-Werken-in-beveiligde-zones.md | 18 ++------ .../NL/a-7.7-Clear-desk-en-clear-screen.md | 18 ++------ ...8-Plaatsen-en-beschermen-van-apparatuur.md | 18 ++------ ...van-bedrijfsmiddelen-buiten-het-terrein.md | 20 ++------ .../27002/NL/a-8.1-User-endpoint-devices.md | 46 ++----------------- .../27002/NL/a-8.10-Wissen-van-informatie.md | 20 ++------ .../27002/NL/a-8.11-Maskeren-van-gegevens.md | 20 ++------ ...-gegevenslekken-Data-leakage-prevention.md | 22 ++------- .../27002/NL/a-8.13-Back-up-van-informatie.md | 22 ++------- ...-van-informatieverwerkende-faciliteiten.md | 22 ++------- .../ISO27x/OST/27002/NL/a-8.15-Logging.md | 23 ++-------- .../NL/a-8.16-Monitoren-van-activiteiten.md | 22 ++------- .../OST/27002/NL/a-8.17-Kloksynchronisatie.md | 22 ++------- ...ebruik-van-speciale-systeemhulpmiddelen.md | 20 ++------ ...n-van-software-op-operationele-systemen.md | 18 ++------ .../NL/a-8.2-Speciale-toegangsrechten.md | 20 ++------ .../a-8.20-Beveiliging-netwerkcomponenten.md | 22 ++------- .../a-8.21-Beveiliging-van-netwerkdiensten.md | 20 ++------ .../OST/27002/NL/a-8.22-Netwerksegmentatie.md | 20 ++------ .../NL/a-8.23-Toepassen-van-webfilters.md | 20 ++------ .../NL/a-8.24-Gebruik-van-cryptografie.md | 20 ++------ ...5-Beveiligen-tijdens-de-ontwikkelcyclus.md | 20 ++------ .../NL/a-8.26-Toepassingsbeveiligingseisen.md | 30 ++++-------- ...chitectuur-en-technische-uitgangspunten.md | 20 ++------ .../OST/27002/NL/a-8.28-Veilig-coderen.md | 20 ++------ ...ging-tijdens-ontwikkeling-en-acceptatie.md | 20 ++------ .../a-8.3-Beperking-toegang-tot-informatie.md | 20 ++------ .../a-8.30-Uitbestede-systeemontwikkeling.md | 22 ++------- ...n-ontwikkel-test-en-productieomgevingen.md | 20 ++------ .../OST/27002/NL/a-8.32-Wijzigingsbeheer.md | 20 ++------ .../OST/27002/NL/a-8.33-Testgegevens.md | 22 ++------- ...g-van-informatiesystemen-tijdens-audits.md | 20 ++------ .../a-8.4-Toegangsbeveiliging-op-broncode.md | 20 ++------ .../NL/a-8.5-Beveiligde-authenticatie.md | 20 ++------ .../OST/27002/NL/a-8.6-Capaciteitsbeheer.md | 22 ++------- .../NL/a-8.7-Bescherming-tegen-malware.md | 22 ++------- ....8-Beheer-van-technische-kwetsbaarheden.md | 24 ++-------- .../OST/27002/NL/a-8.9-Configuratiebeheer.md | 20 ++------ .../ISO27x/OST/27002/NL/remove_tables.py | 32 +++++++++++++ 94 files changed, 390 insertions(+), 1563 deletions(-) create mode 100644 Corpus/Standards/ISO27x/OST/27002/NL/remove_tables.py diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.1-Beleidsregels-voor-informatiebeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.1-Beleidsregels-voor-informatiebeveiliging.md index c761778..7708c53 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.1-Beleidsregels-voor-informatiebeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.1-Beleidsregels-voor-informatiebeveiliging.md @@ -23,24 +23,15 @@ tags: status: active --- ## 5.1 Beleidsregels voor informatiebeveiliging - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Governance | -| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Veerkracht | - -**Beheersmaatregel** +### Beheersmaatregel Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld. -**Doel** +### Doel De voortdurende geschiktheid, toereikendheid, doeltreffendheid van de sturing en ondersteuning door het management overeenkomstig de bedrijfseisen en de eisen van wet- en regelgeving, statutaire en contractuele eisen bewerkstelligen. -**Richtlijn** +### Richtlijn De organisatie behoort op het hoogste niveau een 'informatiebeveiligingsbeleid' te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar informatiebeveiliging te bereiken. @@ -129,6 +120,5 @@ Tabel 1 illustreert de verschillen tussen informatiebeveiligingsbeleid en onderw | **Detailniveau** | Algemeen of op hoofdlijnen | Specifiek en gedetailleerd | | **Gedocumenteerd en formeel goedgekeurd door** | De directie | Het passende managementniveau | -**Overige informatie** +### Overige informatie -Onderwerpspecifieke beleidsregels kunnen van organisatie tot organisatie verschillen. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.10-Aanvaardbaar-gebruik-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.10-Aanvaardbaar-gebruik-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md index 09c5fb4..86f719e 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.10-Aanvaardbaar-gebruik-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.10-Aanvaardbaar-gebruik-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md @@ -25,26 +25,15 @@ tags: status: active --- ## 5.10 Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen - - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen #Informatiebescherming | -| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming | - -**Beheersmaatregel** +### Beheersmaatregel Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen behoren te worden vastgesteld, gedocumenteerd en geïmplementeerd. -**Doel** +### Doel Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen passend worden beschermd, gebruikt en behandeld. -**Richtlijn** +### Richtlijn Personeel en externe gebruikers die informatie en andere gerelateerde bedrijfsmiddelen van de organisatie gebruiken of er toegang toe hebben, behoren bewust te worden gemaakt van de informatiebeveiligingseisen voor het beschermen van en omgaan met de informatie van de organisatie en andere gerelateerde bedrijfsmiddelenij behoren verantwoordelijk te zijn voor het gebruik dat zij maken van informatieverwerkende faciliteiten. @@ -70,6 +59,5 @@ e) duidelijke markering van alle kopieën van (elektronische of fysieke) opslagm f) autorisatie van het verwijderen van informatie en andere gerelateerde bedrijfsmiddelen en ondersteunde wismethode(n) (zie [8.10](a-8.10-Wissen-van-informatie.md)). -**Overige informatie** +### Overige informatie -Het is mogelijk dat de desbetreffende bedrijfsmiddelen niet direct tot de organisatie behoren, zoals openbare clouddienstenet gebruik van zulke bedrijfsmiddelen van derden en van bedrijfsmiddelen van de organisatie in verband met zulke externe bedrijfsmiddelen (bijv. informatie, software) behoort te worden geïdentificeerd al naargelang de situatie en beheerst, bijvoor middel van overeenkomsten met aanbieders van clouddienstenndien er gebruik wordt gemaakt van een op samenwerking gerichte werkomgeving, behoort er ook zorgvuldig te worden gehandeld. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.11-Retourneren-van-bedrijfsmiddelen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.11-Retourneren-van-bedrijfsmiddelen.md index d0fd457..0df2489 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.11-Retourneren-van-bedrijfsmiddelen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.11-Retourneren-van-bedrijfsmiddelen.md @@ -21,27 +21,15 @@ tags: status: active --- ## 5.11 Retourneren van bedrijfsmiddelen - - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen | -| Beveiligingsdomeinen: | #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel Personeel en andere belanghebbenden, al naargelang de situatie, behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst te retourneren. -**Doel** +### Doel De bedrijfsmiddelen van de organisatie beschermen als onderdeel van de procedure voor het wijzigen of beëindigen van het dienstverband, het contract of de overeenkomst. -**Richtlijn** +### Richtlijn In de wijzigings- of beëindigingsprocedure behoort formeel het retourneren van alle eerder verstrekte fysieke en elektronische bedrijfsmiddelen die het eigendom zijn van of toevertrouwd zijn aan de organisatie, te worden opgenomen. @@ -63,6 +51,5 @@ d) authenticatiehardware (bijv. mechanische sleutels, fysieke tokens en chipkaar e) fysieke kopieën van informatie. -**Overige informatie** +### Overige informatie -Het kan lastig zijn informatie te retourneren die zich bevindt op bedrijfsmiddelen die geen eigendom zijn van de organisatien dergelijke gevallen is het nodig het gebruik van informatie door middel van andere beheersmaatregelen voor informatiebeveiliging, zoals het beheer van toegangsrechten (5.18) of het gebruik van cryptografie (8.24) te beperken. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.12-Classificeren-van-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.12-Classificeren-van-informatie.md index 4d764d9..bfcb8fa 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.12-Classificeren-van-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.12-Classificeren-van-informatie.md @@ -23,25 +23,15 @@ tags: status: active --- ## 5.12 Classificeren van informatie - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Informatiebescherming | -| Beveiligingsdomeinen: | #Bescherming #Verdediging | - -**Beheersmaatregel** +### Beheersmaatregel Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante belanghebbenden. -**Doel** +### Doel Bewerkstelligen dat het identificeren van en het inzicht in de beschermingsbehoeften voor informatie in overeenstemming zijn met het belang ervan voor de organisatie. -**Richtlijn** +### Richtlijn De organisatie behoort een onderwerpspecifiek beleid inzake het classificeren van informatie vast te stellen en aan alle relevante belanghebbenden mee te delen. @@ -61,7 +51,7 @@ Het schema behoort organisatiebreed consistent te zijn en te zijn opgenomen in d Het binnen de organisatie gebruikte classificatieschema kan verschillen van de schema's die andere organisaties gebruiken, zelf als de namen voor niveaus op elkaar lijkenovendien kan de classificatie van informatie die tussen organisaties wordt getransporteerd verschillen, afhankelijk van de context ervan binnen elke organisatie, zelfs als de organisaties dezelfde classificatieschema's gebruiken. Daarom behoren overeenkomsten met andere organisaties waarin het delen van informatie voorkomt, procedures te bevatten voor het identificeren van de classificatie van die informatie en voor het interpreteren van de classificatieniveaus van andere organisaties. De overeenstemming tussen verschillende schema's kan worden vastgesteld door te zoeken naar gelijkwaardigheid in de gerelateerde methoden voor hantering en bescherming. -**Overige informatie** +### Overige informatie Classificatie biedt personen die met informatie omgaan, een beknopte indicatie van hoe deze te behandelen en te beschermen. Het aanmaken van informatiegroepen met gelijksoortige beschermingsbehoeften en het specificeren van informatiebeveiligingsprocedures die gelden voor alle informatie in elke groep, vergemakkelijken diteze aanpak vermindert de behoefte aan afzonderlijke risicobeoordeling en speciaal ontworpen beheersmaatregelen. @@ -72,4 +62,3 @@ Bij wijze van voorbeeld kan een classificatieschema betreffende de vertrouwelijk a) openbaarmaking veroorzaakt geen schade; b) openbaarmaking veroorzaakt geringe reputatieschade of een geringe operationele impact; c) openbaarmaking heeft een kortdurende significante impact op de operationele of bedrijfsdoelstellingen; -d) openbaarmaking heeft een ernstige impact op de langetermijnbedrijfsdoelstellingen of brengt het voortbestaan van de organisatie in gevaar. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.13-Labelen-van-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.13-Labelen-van-informatie.md index a9764ad..e6bc907 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.13-Labelen-van-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.13-Labelen-van-informatie.md @@ -23,25 +23,15 @@ tags: status: active --- ## 5.13 Labelen van informatie - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Informatiebescherming | -| Beveiligingsdomeinen: | #Verdediging #Bescherming | - -**Beheersmaatregel** +### Beheersmaatregel Om informatie te labelen behoort een passende reeks procedures te worden vastgesteld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. -**Doel** +### Doel Het communiceren van de classificatie van informatie mogelijk maken en het automatiseren van informatieverwerking en -beheer ondersteunen. -**Richtlijn** +### Richtlijn Procedures voor het labelen van informatie behoren te gaan over informatie en andere gerelateerde bedrijfsmiddelen in alle formatene labeling behoort in overeenstemming te zijn met het classificatieschema vastgesteld in 5e labels behoren gemakkelijk herkenbaar te zijne procedures behoren richtlijnen te geven over waar en hoe labels zijn bevestigd, rekening houdend met hoe de informatie wordt bereikt of hoe de bedrijfsmiddelen worden gehanteerd afhankelijk van de soorten opslagmediae procedures kunnen het volgende definiëren: @@ -73,7 +63,7 @@ Personeel en andere belanghebbenden behoren op de hoogte te worden gebracht van Output van systemen die informatie bevatten die is geclassificeerd als gevoelig of essentieel, behoort een passend classificatielabel te dragen. -**Overige informatie** +### Overige informatie Het labelen van geclassificeerde informatie is een belangrijke eis voor het delen van informatie. @@ -81,4 +71,3 @@ Andere nuttige metagegevens die aan de informatie kunnen worden gekoppeld, zijn Het labelen van informatie en andere gerelateerde bedrijfsmiddelen kan soms negatieve effecten hebben. Geclassificeerde bedrijfsmiddelen zijn gemakkelijker te identificeren door kwaadwillenden, die daarvan mogelijk misbruik maken. -Bepaalde systemen voorzien individuele bestanden of registraties in databases niet van labels met de classificatie, maar beschermen alle informatie op het hoogste classificatieniveau van de informatie die erin vervat is of mag zijnet is gebruikelijk in dergelijke systemen dat informatie wordt geïdentificeerd en vervolgens gelabeld op het moment van exporteren. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.14-Overdragen-van-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.14-Overdragen-van-informatie.md index 6e0521d..22d1ae9 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.14-Overdragen-van-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.14-Overdragen-van-informatie.md @@ -23,26 +23,15 @@ tags: status: active --- ## 5.14 Overdragen van informatie - - -| Attribuut | Waarde | -| :----------------------------------- | :-------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen #Informatiebescherming | -| Beveiligingsdomeinen: | #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn vastgesteld voor alle soorten van overdracht binnen de organisatie en tussen de organisatie en andere partijen. -**Doel** +### Doel Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe belanghebbende. -**Richtlijn** +### Richtlijn Algemeen @@ -134,5 +123,4 @@ d) behoren te waarborgen dat passende beheersmaatregelen voor de ruimte zijn ge e) gevoelige gesprekken altijd behoren te beginnen met een disclaimer zodat de aanwezigen het classificatieniveau kennen van wat ze gaan horen en eventuele eisen met betrekking tot de omgang ermee. -**Overige informatie** -Geen overige informatie. \ No newline at end of file +### Overige informatie diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.15-Toegangsbeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.15-Toegangsbeveiliging.md index 8737ed6..bbd3a4b 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.15-Toegangsbeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.15-Toegangsbeveiliging.md @@ -21,26 +21,15 @@ tags: status: active --- ## 5.15 Toegangsbeveiliging - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer | -| Beveiligingsdomeinen: | #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen. -**Doel** +### Doel Toegang voor bevoegden bewerkstelligen en toegang voor onbevoegden tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen. -**Richtlijn** +### Richtlijn Eigenaren van informatie en andere gerelateerde bedrijfsmiddelen behoren informatiebeveiligings- en bedrijfseisen met betrekking tot toegangsbeveiliging vast te stellen. Er behoort onderwerpspecifiek beleid inzake toegangsbeveiliging te worden gedefinieerd waarin rekening wordt gehouden met deze eisen en dit behoort naar alle desbetreffende belanghebbenden te worden gecommuniceerd. @@ -80,7 +69,7 @@ c) het in aanmerking nemen van alle soorten beschikbare verbindingen in gedistri d) het overwegen hoe elementen of factoren die relevant zijn voor dynamische toegangsbeveiliging kunnen worden weergegeven. -**Overige informatie** +### Overige informatie Er worden vaak overkoepelende principes gebruikt in de toegangsbeveiligingscontext. Twee van de meest gebruikte principes zijn: @@ -102,4 +91,3 @@ Regels voor toegangsbeveiliging behoren te worden ondersteund door formele proce Er zijn diverse manieren om toegangsbeveiliging te implementeren, waaronder MAC ('mandatory access control' - verplichte toegangsbeveiliging), DAC ('discretionary access control' - discretionaire toegangsbeveiliging), RBAC ('role-based access control' - op rollen gebaseerde toegangsbeveiliging) en ABAC ('attribute-based access control' - op attributen gebaseerde toegangsbeveiliging). -Regels voor toegangsbeveiliging kunnen ook dynamische elementen bevatten (bijv. een functie die toegangsinstanties uit het verleden of specifieke omgevingswaarden beoordeelt). Regels voor toegangsbeveiliging kunnen met verschillende granulariteit worden geïmplementeerd, uiteenlopend van het afdekken van volledige netwerken of systemen tot specifieke gegevensvelden, en hierbij kunnen ook eigenschappen zoals de locatie van de gebruiker of het soort netwerkverbinding dat voor de toegang wordt gebruikt, in aanmerking worden genomeneze principes, evenals de wijze waarop granulaire toegangsbeveiliging wordt gedefinieerd, kunnen een aanmerkelijk kosteneffect hebbentrengere regels en meer granulariteit leiden doorgaans tot hogere kostenan de hand van bedrijfseisen en risico-overwegingen behoort te worden gedefinieerd welke regels voor toegangsbeveiliging worden toegepast en welke granulariteit vereist is. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.16-Identiteitsbeheer.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.16-Identiteitsbeheer.md index b715341..ace9c97 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.16-Identiteitsbeheer.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.16-Identiteitsbeheer.md @@ -21,26 +21,15 @@ tags: status: active --- ## 5.16 Identiteitsbeheer - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer | -| Beveiligingsdomeinen: | #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel De volledige levenscyclus van identiteiten behoort te worden beheerd. -**Doel** +### Doel De unieke identificatie van personen en systemen die toegang hebben tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, en een juiste toewijzing van toegangsrechten mogelijk maken. -**Richtlijn** +### Richtlijn De processen die worden gebruikt in de context van identiteitsbeheer, behoren te bewerkstelligen dat: @@ -60,7 +49,7 @@ De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omg Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie [5.19](a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md)) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie [5.17](a-5.17-Beheren-van-authenticatie-informatie.md)) omvatten. -**Overige informatie** +### Overige informatie Het verlenen of intrekken van toegang tot informatie en andere gerelateerde bedrijfsmiddelen is doorgaans een meerstapsprocedure: @@ -72,4 +61,3 @@ c) het vaststellen van een identiteit; d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen van gerelateerde authenticatiediensten; -e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie [5.18](a-5.18-Toegangsrechten.md)). \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.17-Beheren-van-authenticatie-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.17-Beheren-van-authenticatie-informatie.md index b57b830..8f8eb04 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.17-Beheren-van-authenticatie-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.17-Beheren-van-authenticatie-informatie.md @@ -21,16 +21,6 @@ tags: status: active --- ## 5.17 Beheren van authenticatie-informatie - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer | -| Beveiligingsdomeinen: | #Bescherming | - ### Beheersmaatregel De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het informeren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt. ### Doel @@ -104,4 +94,3 @@ Wachtwoorden of wachtzinnen zijn een algemeen gebruikt type authenticatie-inform Verplichten dat wachtwoorden vaak worden gewijzigd kan een probleem zijn, aangezien gebruikers geïrriteerd kunnen raken door de frequente wijzigingen, nieuwe wachtwoorden kunnen vergeten, ze op onveilige plaatsen kunnen noteren, of onveilige wachtwoorden kunnen kiezen. Als 'Single Sign On' (SSO) of andere authenticatiebeheerinstrumenten (bijv. wachtwoordkluizen) beschikbaar worden gesteld, vermindert dat de hoeveelheid authenticatie-informatie die gebruikers moeten beschermen, waardoor de doeltreffendheid van deze beheersmaatregel kan toenemen. Echter, deze instrumenten kunnen ook de impact van openbaarmaking van authenticatie-informatie vergroten. -Bepaalde toepassingen vereisen dat wachtwoorden voor gebruikers door een onafhankelijke instantie worden toegewezen. In dergelijke gevallen zijn de punten a), c) en d) van 'Systeem voor wachtwoordbeheer' niet van toepassing. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.18-Toegangsrechten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.18-Toegangsrechten.md index 815287e..abfa672 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.18-Toegangsrechten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.18-Toegangsrechten.md @@ -21,25 +21,15 @@ tags: status: active --- ## 5.18 Toegangsrechten - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer | -| Beveiligingsdomeinen: | #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel Toegangsrechten met betrekking tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. -**Doel** +### Doel Bewerkstelligen dat de toegang tot informatie en andere gerelateerde bedrijfsmiddelen wordt vastgesteld en goedgekeurd overeenkomstig de bedrijfseisen. -**Richtlijn** +### Richtlijn Verlenen en intrekken van toegangsrechten @@ -101,7 +91,7 @@ c) de waarde van de bedrijfsmiddelen die op dat moment toegankelijk zijn. -**Overige informatie** +### Overige informatie @@ -117,4 +107,3 @@ Ingeval het management de beëindiging van het dienstverband heeft geïnitieerd, -Klonen is een doelmatige manier waarop organisaties toegang aan gebruikers kunnen toewijzenit behoort echter met zorg te gebeuren, op basis van door de organisatie vastgestelde onderscheiden rollen, in plaats van een identiteit met alle gerelateerde toegangsrechten zomaar te klonenan het klonen is het inherente risico verbonden dat het leidt tot buitensporige toegangsrechten tot informatie en andere gerelateerde bedrijfsmiddelen. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md index 60e0cad..649a991 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.19-Informatiebeveiliging-in-leveranciersrelaties.md @@ -23,25 +23,15 @@ tags: status: active --- ## 5.19 Informatiebeveiliging in leveranciersrelaties - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties | -| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheren. -**Doel** +### Doel Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden. -**Richtlijn** +### Richtlijn De organisatie behoort een onderwerpspecifiek beleid inzake leveranciersrelaties vast te stellen en aan alle relevante belanghebbenden mee te delen. @@ -91,7 +81,7 @@ n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt ver Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijvls gevolg van een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende producten of diensten te voorkomen (bijvoor van tevoren een alternatieve leverancier aan te wijzen of altijd gebruik te maken van alternatieve leveranciers). -**Overige informatie** +### Overige informatie In gevallen waarin het voor een organisatie niet mogelijk is eisen te stellen aan een leverancier, behoort de organisatie: @@ -108,4 +98,3 @@ Ander voorbeeld vormen risico\'s voor de bescherming van persoonlijke gegevens a Risico\'s kunnen ook worden veroorzaakt door ontoereikende beheersmaatregelen van door leveranciers geleverde ICT-infrastructuurcomponenten of -dienstenomponenten of diensten met storingen of kwetsbaarheden kunnen inbreuken op de informatiebeveiliging in de organisatie of voor een andere entiteit veroorzaken. Ze kunnen bijvoorbeeld besmetting met malware, aanvallen of andere schade aan andere entiteiten dan de organisatie veroorzaken. -Zie ISO/IEC 27036-2 voor nadere details. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.2-Rollen-en-verantwoordelijkheden-bij-informatiebeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.2-Rollen-en-verantwoordelijkheden-bij-informatiebeveiliging.md index ee2692a..3e9cb03 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.2-Rollen-en-verantwoordelijkheden-bij-informatiebeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.2-Rollen-en-verantwoordelijkheden-bij-informatiebeveiliging.md @@ -24,24 +24,15 @@ tags: status: active --- ## 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Governance | -| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming #Veerkracht | - -**Beheersmaatregel** +### Beheersmaatregel Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie. -**Doel** +### Doel Een gedefinieerde, goedgekeurde en duidelijk te begrijpen structuur voor de implementatie, uitvoering en het beheer van informatiebeveiliging binnen de organisatie inrichten. -**Richtlijn** +### Richtlijn Het toewijzen van de rollen en verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met het beleid voor informatiebeveiliging en onderwerpspecifieke beleidsregels (zie [5.1](a-5.1-Beleidsregels-voor-informatiebeveiliging.md)). De organisatie behoort verantwoordelijkheden te definiëren en te beheren voor: @@ -57,10 +48,9 @@ Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedet Elk beveiligingsgebied waarvoor personen verantwoordelijk zijn, behoort te worden gedefinieerd, gedocumenteerd en gecommuniceerdutorisatieniveaus behoren te worden gedefinieerd en gedocumenteerdersonen die een specifieke rol op het gebied van informatiebeveiliging op zich nemen, behoren competent te zijn wat betreft de kennis en vaardigheden die de rol vereist en behoren te worden ondersteund bij het op de hoogte blijven van de ontwikkelingen die verband houden met de rol en die vereist zijn om aan de verantwoordelijkheden van de rol te kunnen voldoen. -**Overige informatie** +### Overige informatie Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van risico\'s en beperkende beheersmaatregelen te ondersteunen. Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managersen gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan. -Afhankelijk van de omvang en de middelen van een organisatie kan informatiebeveiliging door speciale rollen of door functies die naast bestaande rollen worden uitgevoerd, worden afgedekt. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.20-Adresseren-van-informatiebeveiliging-in-leveranciersovereenkomsten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.20-Adresseren-van-informatiebeveiliging-in-leveranciersovereenkomsten.md index f9ebef0..287c57d 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.20-Adresseren-van-informatiebeveiliging-in-leveranciersovereenkomsten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.20-Adresseren-van-informatiebeveiliging-in-leveranciersovereenkomsten.md @@ -23,24 +23,15 @@ tags: status: active --- ## 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties | -| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming | - -**Beheersmaatregel** +### Beheersmaatregel Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen. -**Doel** +### Doel Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden. -**Richtlijn** +### Richtlijn Leveranciersovereenkomsten behoren te worden vastgesteld en gedocumenteerd om te waarborgen dat er tussen de organisatie en de leverancier duidelijkheid bestaat ten aanzien van de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen. @@ -100,9 +91,8 @@ z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere levera De organisatie behoort een register van afspraken met externe partijen (bijv. contracten, een memorandum van overeenstemming, overeenkomsten voor het delen van informatie) op te stellen en te onderhouden om bij te houden waar haar informatie naartoe gaate organisatie behoort ook haar overeenkomsten met externe partijen regelmatig te beoordelen, te valideren en bij te werken om te garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules over informatiebeveiliging bevatten. -**Overige informatie** +### Overige informatie De overeenkomsten kunnen voor de verschillende organisaties en de verschillende soorten leveranciers aanzienlijk variërenerhalve behoort erop te worden toegezien dat alle relevante eisen voor het oppakken van informatiebeveiligingsrisico's erin worden opgenomen. Voor gegevens over overeenkomsten met leveranciers, zie de ISO/IEC 27036-reeks. Voor gegevens over overeenkomsten voor clouddiensten, zie de ISO/IEC 19086-reeks. - diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.21-Beheren-van-informatiebeveiliging-in-de-ICT-keten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.21-Beheren-van-informatiebeveiliging-in-de-ICT-keten.md index da1bf34..3d341c0 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.21-Beheren-van-informatiebeveiliging-in-de-ICT-keten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.21-Beheren-van-informatiebeveiliging-in-de-ICT-keten.md @@ -23,28 +23,15 @@ tags: status: active --- ## 5.21 Beheren van informatiebeveiliging in de ICT-keten - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties | -| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming | - - - - - -**Beheersmaatregel** +### Beheersmaatregel Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten en -diensten te beheren. -**Doel** +### Doel Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden. -**Richtlijn** +### Richtlijn In aanvulling op de algemene informatiebeveiligingseisen voor leveranciersrelaties behoren de volgende informatiebeveiligingsonderwerpen in aanmerking te worden genomen binnen de beveiliging van de ITC-toeleveringsketen: @@ -76,7 +63,7 @@ l) regels definiëren voor het delen van informatie met betrekking tot de toelev m) specifieke processen implementeren voor het beheren van de levenscyclus en beschikbaarheid van ICT-componenten en gerelateerde beveiligingsrisico\'s. Dit omvat het beheren van de risico\'s dat onderdelen niet langer beschikbaar zijn omdat leveranciers hun bedrijf hebben gestaakt of deze onderdelen als gevolg van technologische ontwikkelingen niet meer aanbieden. Het identificeren van een alternatieve leverancier en het proces om software en competentie naar de alternatieve leverancier over te brengen behoren te worden overwogen. -**Overige informatie** +### Overige informatie De specifieke risicobeheerpraktijken betreffende de ICT-toeleveringsketen komen boven op de algemene praktijken van informatiebeveiliging, kwaliteit, projectmanagement en systeemengineering, maar vervangen deze niet. @@ -94,4 +81,3 @@ c) hostingdiensten, waar de aanbieder op externe servicebalies vertrouwt, met in Zie ISO/IEC 27036-3 voor nadere details met inbegrip van richtlijnen voor risicobeoordeling. -Software-identificatietags (SWID) kunnen ook bijdragen aan betere informatiebeveiliging in de toeleveringsketen, door informatie te geven over de herkomst van software. Zie ISO/IEC 19770-2 voor nadere details. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.22-Monitoren-beoordelen-en-het-beheren-van-wijzigingen-van-leveranciersdiensten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.22-Monitoren-beoordelen-en-het-beheren-van-wijzigingen-van-leveranciersdiensten.md index f4cf0a6..59a08a2 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.22-Monitoren-beoordelen-en-het-beheren-van-wijzigingen-van-leveranciersdiensten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.22-Monitoren-beoordelen-en-het-beheren-van-wijzigingen-van-leveranciersdiensten.md @@ -25,26 +25,15 @@ tags: status: active --- ## 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten - - -| Attribuut | Waarde | -| :----------------------------------- | :---------------------------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Beveiliging_in_leveranciersrelaties #Borging_van_informatiebeveiliging | -| Beveiligingsdomeinen: | #Governance_en_Eco-systeem #Bescherming #Verdediging | - - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort de informatiebeveiligingspraktijken en de leveranciersdiensten regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren. -**Doel** +### Doel Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven. -**Richtlijn** +### Richtlijn Het monitoren en beoordelen van, en het beheren van veranderingen aan, leveranciersdiensten behoort te bewerkstelligen dat aan de informatiebeveiligingsvoorwaarden van de overeenkomsten wordt voldaan, informatiebeveiligingsincidenten en -problemen naar behoren worden beheerd en veranderingen in leveranciersdiensten of de bedrijfsstatus niet van invloed zijn op de dienstverlening. @@ -92,6 +81,5 @@ m)regelmatig te evalueren of de leveranciers afdoende informatiebeveiligingsnive De verantwoordelijkheid voor het beheer van leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of teamm te monitoren dat de eisen van de overeenkomst, in het bijzonder de informatiebeveiligingseisen, worden nagekomen, behoren voldoende technische vaardigheden en middelen beschikbaar te worden gesteldls tekortkomingen in de dienstverlening worden waargenomen behoren passende maatregelen te worden getroffen. -**Overige informatie** +### Overige informatie -Zie ISO/IEC 27036-3 voor nadere details. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.23-Informatiebeveiliging-voor-het-gebruik-van-clouddiensten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.23-Informatiebeveiliging-voor-het-gebruik-van-clouddiensten.md index 2e45f35..c68e817 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.23-Informatiebeveiliging-voor-het-gebruik-van-clouddiensten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.23-Informatiebeveiliging-voor-het-gebruik-van-clouddiensten.md @@ -23,16 +23,15 @@ tags: status: active --- ## 5.23 Informatiebeveiliging voor het gebruik van clouddiensten - -**Beheersmaatregel** +### Beheersmaatregel Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld. -**Doel** +### Doel Informatiebeveiliging voor het gebruik van clouddiensten specificeren en beheren. -**Richtlijn** +### Richtlijn De organisatie behoort een onderwerpspecifiek beleid inzake het gebruik van clouddiensten vast te stellen en aan alle relevante belanghebbenden mee te delen. @@ -97,9 +96,8 @@ c) het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers De organisatie die clouddiensten gebruikt, behoort nauw contact te onderhouden met haar aanbieders van de clouddiensteneze contacten maken wederzijdse uitwisseling mogelijk van informatie over informatiebeveiliging voor het gebruik van de clouddiensten, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie, in haar rol van afnemer van de clouddiensten, om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden. -**Overige informatie** +### Overige informatie Deze beheersmaatregel bekijkt cloudbeveiliging vanuit het oogpunt van de afnemer van de clouddienst(en). Aanvullende informatie met betrekking tot clouddiensten is te vinden in ISO/IEC 17788, ISO/IEC 17789 en ISO/IEC 22123-1. Specifieke informatie met betrekking tot clouds en overdraagbaarheid bij exitstrategieën is te vinden in ISO/IEC 19941. Specifieke informatie met betrekking tot informatiebeveiliging en publieke clouddiensten wordt beschreven in ISO/IEC 27017. Specifieke informatie met betrekking tot de bescherming van persoonsgegevens in publieke clouds die als verwerker van persoonsgegevens fungeren, wordt beschreven in ISO/IEC 27018. Leveranciers- relaties voor clouddiensten worden behandeld in ISO/IEC 27036-4 en clouddienstovereenkomsten en de inhoud ervan worden behandeld in de ISO/IEC 19086-reeks, waarbij ISO/IEC 19086-4 specifiek ingaat op beveiliging en privacy. - diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md index bf50611..a5e9e25 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md @@ -25,35 +25,15 @@ tags: status: active --- ## 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Corrigerend | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Reageren | -| Operationele capaciteiten: | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | -| Beveiligingsdomeinen: | #Verdediging | - - -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+====================================================================+=====================+ -| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Governance #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -| | | | | | -| | | #Herstellen | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren. -**Doel** +### Doel Een snelle, doeltreffende, consistente en geordende reactie op informatiebeveiligingsincidenten, met inbegrip van communicatie over informatiebeveiligingsgebeurtenissen, bewerkstelligen. -**Richtlijn** +### Richtlijn Rollen en verantwoordelijkheden @@ -131,8 +111,7 @@ Bij het implementeren van procedures voor incidentenbeheer behoren externe eisen -**Overige informatie** +### Overige informatie Informatiebeveiligingsincidenten kunnen de grenzen van organisaties en landen overschrijdenm op dergelijke incidenten te kunnen reageren is het nuttig om indien van toepassing opvolging te coördineren en informatie over deze incidenten te delen met externe organisaties. -De ISO/IEC 27035-reeks biedt gedetailleerde richtlijnen over het beheer van informatiebeveiligingsincidenten. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.25-Beoordelen-van-en-besluiten-over-informatiebeveiligingsgebeurtenissen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.25-Beoordelen-van-en-besluiten-over-informatiebeveiligingsgebeurtenissen.md index 2cc9fde..5f54ce4 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.25-Beoordelen-van-en-besluiten-over-informatiebeveiligingsgebeurtenissen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.25-Beoordelen-van-en-besluiten-over-informatiebeveiligingsgebeurtenissen.md @@ -23,28 +23,15 @@ tags: status: active --- ## 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -| | | | | | -| | | #Reageren | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten. -**Doel** +### Doel Doeltreffende categorisering en prioritering van informatiebeveiligingsgebeurtenissen bewerkstelligen. -**Richtlijn** +### Richtlijn Er behoort een categoriserings- en prioriteringsschema voor informatiebeveiligingsincidenten te worden overeengekomen voor het identificeren van de gevolgen en prioriteit van een incidentet schema behoort de criteria te omvatten voor het als informatiebeveiligingsincident categoriseren van gebeurtenissenet contactpunt behoort elke informatiebeveiligingsgebeurtenis aan de hand van het overeengekomen schema te beoordelen. @@ -52,6 +39,5 @@ Personeel dat verantwoordelijk is voor het coördineren van en reageren op infor Resultaten van de beoordeling en het besluit behoren in detail te worden geregistreerd ten behoeve van toekomstige raadpleging en verificatie. -**Overige informatie** +### Overige informatie -De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.26-Reageren-op-informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.26-Reageren-op-informatiebeveiligingsincidenten.md index c20eb26..09e5dab 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.26-Reageren-op-informatiebeveiligingsincidenten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.26-Reageren-op-informatiebeveiligingsincidenten.md @@ -23,28 +23,15 @@ tags: status: active --- ## 5.26 Reageren op informatiebeveiligingsincidenten - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Reageren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -| | | | | | -| | | #Herstellen | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures. -**Doel** +### Doel Een doelmatige en doeltreffende reactie op informatiebeveiligingsincidenten bewerkstelligen. -**Richtlijn** +### Richtlijn De organisatie behoort procedures voor het reageren op informatiebeveiligingsincidenten op te stellen en aan alle relevante belanghebbenden mee te delen. @@ -85,6 +72,5 @@ wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures (zie 5.2 j) kwetsbaarheden en zwakke punten in de informatiebeveiliging, onder andere met betrekking tot beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen, identificeren en beheren. -**Overige informatie** +### Overige informatie -De ISO/IEC 27035-reeks geeft verdere richtlijnen over het beheer van incidenten. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.27-Leren-van-informatiebeveiligingsincidenten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.27-Leren-van-informatiebeveiligingsincidenten.md index 3a0454c..695022a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.27-Leren-van-informatiebeveiligingsincidenten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.27-Leren-van-informatiebeveiligingsincidenten.md @@ -23,28 +23,15 @@ tags: status: active --- ## 5.27 Leren van informatiebeveiligingsincidenten - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -| | | | | | -| | | #Beschermen | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren. -**Doel** +### Doel De waarschijnlijkheid of de gevolgen van toekomstige incidenten verminderen. -**Richtlijn** +### Richtlijn De organisatie behoort procedures op te stellen om de soorten, volumes en kosten van informatiebeveiligingsincidenten te kwantificeren en te monitoren. @@ -60,6 +47,5 @@ c) de bewustwording en training van gebruikers (zie 6.3) te verbeteren door voor van wat er kan gebeuren, hoe te reageren op dergelijke incidenten en hoe ze in de toekomst kunnen worden vermeden. -**Overige informatie** +### Overige informatie -De ISO/IEC 27035-reeks geeft verdere richtlijnen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.28-Verzamelen-van-bewijsmateriaal.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.28-Verzamelen-van-bewijsmateriaal.md index c163e22..271ac3c 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.28-Verzamelen-van-bewijsmateriaal.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.28-Verzamelen-van-bewijsmateriaal.md @@ -23,28 +23,15 @@ tags: status: active --- ## 5.28 Verzamelen van bewijsmateriaal - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -| | | | | | -| | | #Reageren | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen. -**Doel** +### Doel In het kader van disciplinaire en gerechtelijke stappen consistent en doeltreffend beheer bewerkstelligen van bewijsmateriaal in verband met informatiebeveiligingsincidenten. -**Richtlijn** +### Richtlijn Bij het in het kader van disciplinaire en gerechtelijke stappen omgaan met bewijs met betrekking tot informatiebeveiligingsgebeurtenissen behoren interne procedures te worden ontwikkeld en gevolgde eisen van verschillende rechtsgebieden behoren in aanmerking te worden genomen om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden. @@ -62,7 +49,7 @@ Indien beschikbaar, behoort certificatie of andere relevante methoden om persone Digitaal bewijs kan grenzen van organisaties of rechtsgebieden overschrijdenn zulke gevallen behoort te worden gewaarborgd dat de organisatie het recht heeft de vereiste informatie als digitaal bewijs te verzamelen. -**Overige informatie** +### Overige informatie Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet altijd duidelijk of de gebeurtenis zal leiden tot gerechtelijke stappenet gevaar bestaat dan ook dat noodzakelijk bewijs bewust of toevallig wordt vernietigd voordat de ernst van het incident wordt onderkendet is raadzaam om vroegtijdig juridisch advies of de rechtshandhavers in te schakelen als gerechtelijke stappen worden overwogen en advies in te winnen over het vereiste bewijs. @@ -71,4 +58,3 @@ Direct na het ontdekken van een informatiebeveiligingsgebeurtenis is het niet al ISO/IEC 27037 biedt definities en richtlijnen voor het identificeren, verzamelen, verkrijgen en bewaren van digitaal bewijs. -De ISO/IEC 27050-reeks behandelt elektronische ontdekking, hetgeen gepaard gaat met het als bewijsmiddel verwerken van elektronisch opgeslagen informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md index d08aff1..e604ce5 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md @@ -27,28 +27,15 @@ tags: status: active --- ## 5.29 Informatiebeveiliging tijdens een verstoring - -+------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+====================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Continuïteit | #Bescherming | -| | | | | | -| #Corrigerend | | #Reageren | | #Veerkracht | -+------------------------+----------------------------------------------------+----------------------+--------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring. -**Doel** +### Doel Informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring beschermen. -**Richtlijn** +### Richtlijn De organisatie behoort haar eisen vast te stellen voor het tijdens een verstoring aanpassen van beheersmaatregelen voor informatiebeveiligingnformatiebeveiligingseisen behoren te worden opgenomen in de processen voor bedrijfscontinuïteitsbeheer van de organisatie. @@ -68,11 +55,10 @@ c) compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebevei tijdens een verstoring niet kunnen worden gehandhaafd. -**Overige informatie** +### Overige informatie In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandighedenls onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen bedrijfscontinuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioriteerd. -Informatie over systemen voor bedrijfscontinuïteitsbeheer is te vinden in ISO 22301 en ISO 22313erdere richtlijnen voor bedrijfsimpactanalyse (BIA) zijn te vinden in ISO/TS 22317. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.3-Functiescheiding.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.3-Functiescheiding.md index 1592aa4..5a307a0 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.3-Functiescheiding.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.3-Functiescheiding.md @@ -23,26 +23,15 @@ tags: status: active --- ## 5.3 Functiescheiding - - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen | -| Operationele capaciteiten: | #Governance #Identiteits-_en_toegangsbeheer | -| Beveiligingsdomeinen: | #Governance_en_Ecosysteem | - - -**Beheersmaatregel** +### Beheersmaatregel Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden. -**Doel** +### Doel Het risico op fraude, fouten en het omzeilen van beheersmaatregelen voor informatiebeveiliging verminderen. -**Richtlijn** +### Richtlijn De functiescheiding en verantwoordelijkheidszones hebben tot doel conflicterende functies te scheiden en onder verschillende personen te verdelen om te voorkomen dat mogelijk conflicterende functies door één persoon alleen worden uitgevoerd. @@ -68,4 +57,3 @@ Bij het gebruik van op functies gebaseerde toegangsbeveiligingssystemen behoort **Overige informatie** -Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md index 53b7e50..be89cd2 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md @@ -18,26 +18,15 @@ tags: status: active --- ## 5.30 ICT-gereedheid voor bedrijfscontinuïteit - - -| Attribuut | Waarde | -| :----------------------------------- | :--------------- | -| Type beheersmaatregel: | #Corrigerend | -| Informatiebeveiligingseigenschappen: | #Beschikbaarheid | -| Cybersecurityconcepten: | #Reageren | -| Operationele capaciteiten: | #Continuïteit | -| Beveiligingsdomeinen: | #Veerkracht | - - -**Beheersmaatregel** +### Beheersmaatregel De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen. -**Doel** +### Doel De beschikbaarheid van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring waarborgen. -**Richtlijn** +### Richtlijn De ICT-gereedheid voor bedrijfscontinuïteit is een belangrijk onderdeel van bedrijfscontinuïteitsbeheer en informatiebeveiligingsbeheer om te bewerkstelligen dat ook tijdens een verstoring aan de doelstellingen van de organisatie kan blijven worden voldaan. @@ -65,7 +54,7 @@ c) ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten: 3) de RPO van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om de informatie te herstellen. -**Overige informatie** +### Overige informatie Het beheer van de ICT-continuïteit vormt een essentieel onderdeel van de bedrijfscontinuïteitseisen met betrekking tot beschikbaarheid om in staat te zijn: @@ -79,4 +68,3 @@ Verdere richtlijnen over de ICT-gereedheid voor bedrijfscontinuïteit zijn te vi Verdere richtlijnen over een systeem voor bedrijfscontinuïteitsbeheer zijn te vinden in ISO 22301 en ISO 22313. -Verdere richtlijnen over BIA zijn te vinden in ISO/TS 22317. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.31-Wettelijke-statutaire-regelgevende-en-contractuele-eisen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.31-Wettelijke-statutaire-regelgevende-en-contractuele-eisen.md index 4d6de5d..f4aef5f 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.31-Wettelijke-statutaire-regelgevende-en-contractuele-eisen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.31-Wettelijke-statutaire-regelgevende-en-contractuele-eisen.md @@ -23,29 +23,15 @@ tags: status: active --- ## 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen - -+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+==============================+============================================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ Ecosysteem #Bescherming | -+------------------------+----------------------------------------------------+----------------------+------------------------------+--------------------------------------------+ - - - - -**Beheersmaatregel** +### Beheersmaatregel Eisen van wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen behoren te worden vastgesteld, gedocumenteerd en actueel gehouden. -**Doel** +### Doel De naleving bewerkstelligen van wettelijke, statutaire, regelgevende en contractuele eisen in verband met informatiebeveiliging. -**Richtlijn** +### Richtlijn Algemeen @@ -130,4 +116,3 @@ b) contracten met leveranciers (zie 5.20); c) verzekeringscontracten. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.32-Intellectuele-eigendomsrechten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.32-Intellectuele-eigendomsrechten.md index bf54a01..29c554f 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.32-Intellectuele-eigendomsrechten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.32-Intellectuele-eigendomsrechten.md @@ -21,31 +21,18 @@ tags: status: active --- ## 5.32 Intellectuele-eigendomsrechten - -+------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+==============================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance | #Governance_en\_ | -| | | | | | -| | | | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort passende procedures te implementeren om intellectuele eigendomsrechten te beschermen. -**Doel** +### Doel De naleving bewerkstelligen van eisen van wet- en regelgeving, statutaire en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van gepatenteerde producten. -**Richtlijn** +### Richtlijn De volgende richtlijnen behoren in overweging te worden genomen om materiaal dat kan worden beschouwd als intellectuele eigendom te beschermen: @@ -87,7 +74,7 @@ k) niet dupliceren, naar een ander formaat converteren of een uittreksel maken v l) geen normen (bijvnternationale normen van ISO/IEC), boeken, artikelen, rapporten of andere documenten geheel of ten dele kopiëren, tenzij dit auteursrechtelijk of volgens de licenties die van toepassing zijn, is toegestaan. -**Overige informatie** +### Overige informatie Onder intellectuele-eigendomsrechten vallen auteursrechten op software of documenten, ontwerprechten, handelsmerken, patenten en broncodelicenties. @@ -104,4 +91,3 @@ Eisen van wet- en regelgeving, statutaire en contractuele eisen kunnen beperking tot gerechtelijke stappen, die kunnen resulteren in een geldboete of een strafproces. -Afgezien van het feit dat het nodig is dat de organisatie voldoet aan haar verplichtingen wat betreft de intellectuele-eigendomsrechten van derden, behoren de risico\'s dat personeel en derden de eigen intellectuele-eigendomsrechten van de organisatie niet behartigen ook te worden beheerst. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.33-Beschermen-van-registraties.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.33-Beschermen-van-registraties.md index 02910e1..90241f0 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.33-Beschermen-van-registraties.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.33-Beschermen-van-registraties.md @@ -26,28 +26,15 @@ tags: status: active --- ## 5.33 Beschermen van registraties - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+======================================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Beheer_van_bedrijfs- middelen #Informatiebescher- ming | #Verdediging | -| | | | | | -| | | #Beschermen | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave. -**Doel** +### Doel De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen, alsmede gemeenschaps- of maatschappelijke verwachtingen, met betrekking tot de bescherming en beschikbaarheid van registraties. -**Richtlijn** +### Richtlijn De organisatie behoort de volgende stappen te ondernemen om de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van registraties te beschermen, aangezien de bedrijfscontext en de eisen voor het beheer ervan na verloop van tijd veranderen: @@ -74,7 +61,7 @@ Als elektronische opslagmedia worden gekozen behoren procedures te worden vastge Procedures voor het bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van fabrikanten van opslagmediar behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren, in kwaliteit achteruitgaan. -**Overige informatie** +### Overige informatie Registraties documenteren individuele gebeurtenissen of transacties of kunnen samenvoegingen zijn van gegevens die ervoor zijn opgezet om arbeidsprocessen, activiteiten of functies te documenterene vormen het bewijs van zowel bedrijfsactiviteiten als van informatiebedrijfsmiddelenlke informatieverzameling, ongeacht structuur of vorm, kan als registratie worden beheerdit omvat informatie in de vorm van een document, een verzameling gegevens of andere soorten digitale of analoge informatie die in het kader van de bedrijfsvoering worden aangemaakt, vastgelegd en beheerd. @@ -82,4 +69,3 @@ In het kader van het beheren van registraties zijn metagegevens gegevens die de Het kan nodig zijn sommige registraties veilig te bewaren om te voldoen aan eisen van wet- en regelgeving, statutaire en contractuele eisen, en om essentiële bedrijfsactiviteiten te ondersteunene bewaartermijn en de soort informatie die behoort te worden bewaard, kunnen zijn vastgelegd in nationale wet- of regelgevingerdere informatie over beheer van registraties is te vinden in -ISO 15489. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.34-Privacy-en-bescherming-van-persoonsgegevens.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.34-Privacy-en-bescherming-van-persoonsgegevens.md index bf9fb5a..db4a508 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.34-Privacy-en-bescherming-van-persoonsgegevens.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.34-Privacy-en-bescherming-van-persoonsgegevens.md @@ -25,28 +25,15 @@ tags: status: active --- ## 5.34 Privacy en bescherming van persoonsgegevens - -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+============================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Informatiebescherming | #Bescherming | -| | | | | | -| | | #Beschermen | #Juridisch_en_compliance | | -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen. -**Doel** +### Doel De naleving bewerkstelligen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot de informatiebeveiligingsaspecten voor de bescherming van persoonsgegevens. -**Richtlijn** +### Richtlijn De organisatie behoort een onderwerpspecifiek beleid inzake privacy en bescherming van persoonsgegevens vast te stellen en aan alle relevante belanghebbenden mee te delen. @@ -58,7 +45,7 @@ Verantwoordelijkheid voor het omgaan met persoonsgegevens behoort met inachtnemi Er behoren passende technische en organisatorische maatregelen te worden geïmplementeerd om persoonsgegevens te beschermen. -**Overige informatie** +### Overige informatie Een aantal landen heeft wetgeving ingevoerd waardoor er beheersmaatregelen zijn ingesteld voor het verzamelen, verwerken, verzenden en wissen van persoonsgegevensfhankelijk van de respectieve nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan personen die persoonsgegevens verzamelen, verwerken en verspreiden, en kunnen zij ook de bevoegdheid voor het versturen van persoonsgegevens naar andere landen beperken. @@ -67,4 +54,3 @@ ISO/IEC 29100 voorziet in een kader op hoog niveau voor de bescherming van perso -ISO/IEC 29134 geeft richtlijnen voor privacy-effectbeoordelingen (PIA) en een voorbeeld van de structuur en inhoud van een PIA-rapportn vergelijking met ISO/IEC 27005 is dit toegespitst op het verwerken van persoonsgegevens en is het relevant voor die organisaties die persoonsgegevens verwerkenit kan helpen bij het identificeren van privacyrisico\'s en mogelijke beperkende maatregelen om deze risico\'s tot een aanvaardbaar niveau terug te brengen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.35-Onafhankelijke-beoordeling-van-informatiebeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.35-Onafhankelijke-beoordeling-van-informatiebeveiliging.md index ac983ff..9245be6 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.35-Onafhankelijke-beoordeling-van-informatiebeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.35-Onafhankelijke-beoordeling-van-informatiebeveiliging.md @@ -25,28 +25,15 @@ tags: status: active --- ## 5.35 Onafhankelijke beoordeling van informatiebeveiliging - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Borging_van_infor- matiebeveiliging | #Governance_en\_ | -| | | | | | -| #Corrigerend | | #Beschermen | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld. -**Doel** +### Doel Waarborgen dat de organisatie continu een geschikte, toereikende en doeltreffende aanpak voor het beheer van informatiebeveiliging hanteert. -**Richtlijn** +### Richtlijn De organisatie behoort te beschikken over processen om onafhankelijke beoordelingen uit te voeren. @@ -75,6 +62,5 @@ gebruikt(e) product of dienst wijzigt; e) de organisatie de beheersmaatregelen en procedures voor informatiebeveiliging significant wijzigt. -**Overige informatie** +### Overige informatie -ISO/IEC 27007 en ISO/IEC TS 27008 voorzien in richtlijnen voor het uitvoeren van onafhankelijke beoordelingen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.36-Naleving-van-beleid-regels-en-normen-voor-informatiebeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.36-Naleving-van-beleid-regels-en-normen-voor-informatiebeveiliging.md index 5c96912..238c500 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.36-Naleving-van-beleid-regels-en-normen-voor-informatiebeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.36-Naleving-van-beleid-regels-en-normen-voor-informatiebeveiliging.md @@ -25,28 +25,15 @@ tags: status: active --- ## 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+===================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Juridisch_en_com- pliance #Borging_van_infor- matiebeveiliging | #Governance_en\_ | -| | | | | | -| | | #Beschermen | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoort regelmatig te worden beoordeeld. -**Doel** +### Doel Bewerkstelligen dat informatiebeveiliging in overeenstemming met het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en normen van de organisatie wordt geïmplementeerd en uitgevoerd. -**Richtlijn** +### Richtlijn Managers of de eigenaren van diensten, producten of informatie behoren vast te stellen op welke manier wordt beoordeeld of aan informatiebeveiligingseisen zoals gedefinieerd in het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels, normen en andere toepasselijke regelgeving, wordt nageleefdoor een doeltreffende regelmatige beoordeling behoort te worden overwogen om automatische meet- en rapportage-instrumenten in te zetten. @@ -71,6 +58,5 @@ Resultaten van door managers of de eigenaren van diensten, producten of informat Corrigerende maatregelen behoren tijdig te worden voltooid, naarmate passend is gezien het risicondien deze maatregelen niet voor de volgende geplande beoordeling zijn voltooid, behoren de vorderingen in ieder geval als onderdeel van die beoordeling te worden behandeld. -**Overige informatie** +### Overige informatie -Operationele monitoring van het gebruik van systemen wordt behandeld in 8, 8, 8. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.37-Gedocumenteerde-bedieningsprocedures.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.37-Gedocumenteerde-bedieningsprocedures.md index 8f4cd5a..551b86c 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.37-Gedocumenteerde-bedieningsprocedures.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.37-Gedocumenteerde-bedieningsprocedures.md @@ -37,31 +37,18 @@ tags: status: active --- ## 5.37 Gedocumenteerde bedieningsprocedures - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=========================================================================================================================================================================================================================+=========================================================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs\_ middelen #Fysieke_beveiliging #Systeem- \_en_netwerkbeveiliging #Toepassingsbeveili- ging #Veilige_configuratie #Identiteits- \_en_toegangsbeheer #Beheer_van_dreigin- gen_en_kwetsbaar- heden | #Governance_en\_ Ecosysteem #Bescherming #Verdediging | -| | | | | | -| #Corrigerend | | #Herstellen | #Continuïteit #Beheer_van_infor- matiebeveiligings- gebeurtenissen | | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft. -**Doel** +### Doel De correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen. -**Richtlijn** +### Richtlijn Er behoren gedocumenteerde procedures te worden opgesteld voor de operationele activiteiten van de organisatie die verband houden met informatiebeveiliging, bijvoorbeeld: @@ -112,4 +99,3 @@ Gedocumenteerde bedieningsprocedures behoren te worden beoordeeld en zo nodig bi -# 6 Mensgerichte beheersmaatregelen diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.4-Managementverantwoordelijkheden.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.4-Managementverantwoordelijkheden.md index 0c14052..5472d01 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.4-Managementverantwoordelijkheden.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.4-Managementverantwoordelijkheden.md @@ -21,26 +21,15 @@ tags: status: active --- ## 5.4 Managementverantwoordelijkheden - - - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------ | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Governance | -| Beveiligingsdomeinen: | #Governance_en_Ecosysteem | - -**Beheersmaatregel** +### Beheersmaatregel Het management behoort van al het personeel te eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie. -**Doel** +### Doel Bewerkstelligen dat het management zijn rol bij informatiebeveiliging begrijpt en maatregelen neemt om ervoor te zorgen dat al het personeel zich bewust is van zijn verantwoordelijkheden op het gebied van informatiebeveiliging en deze ook nakomt. -**Richtlijn** +### Richtlijn Het management behoort er blijk van te geven dat het het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels, procedures en beheersmaatregelen voor informatiebeveiliging ondersteunt. @@ -66,4 +55,3 @@ h) voldoende middelen en tijd voor projectplanning krijgen voor het implementere Geen overige informatie. -\*) Nederlandse voetnoot: Anders geformuleerd dan in de brontekst, diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.5-Contact-met-overheidsinstanties.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.5-Contact-met-overheidsinstanties.md index a66d138..9191da5 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.5-Contact-met-overheidsinstanties.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.5-Contact-met-overheidsinstanties.md @@ -29,21 +29,11 @@ tags: status: active --- ## 5.5 Contact met overheidsinstanties - - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------- | -| Type beheersmaatregel: | #Preventief #Corrigerend | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren #Beschermen #Reageren #Herstellen | -| Operationele capaciteiten: | #Governance | -| Beveiligingsdomeinen: | #Verdediging #Veerkracht | - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort contact met de relevante instanties te leggen en te onderhouden. -**Doel** +### Doel Een passende stroom van informatie met betrekking tot informatiebeveiliging tussen de organisatie en relevante juridische, regelgevende en toezichthoudende instanties bewerkstelligen. @@ -51,14 +41,13 @@ Een passende stroom van informatie met betrekking tot informatiebeveiliging tuss **27** -**Richtlijn** +### Richtlijn De organisatie behoort aan te geven wanneer en door wie contact behoort te worden opgenomen met overheidsinstanties (bijvolitie, regelgevende organen, toezichthouders) en hoe geïdentificeerde informatiebeveiligingsincidenten tijdig behoren te worden gemeld. Contacten met overheidsinstanties behoren ook te worden gebruikt om inzicht mogelijk te maken in de bestaande en toekomstige verwachtingen van deze instanties (bijvoepasselijke regelgeving met betrekking tot informatiebeveiliging). -**Overige informatie** +### Overige informatie Organisaties die worden aangevallen, kunnen instanties verzoeken om actie te ondernemen tegen de aanvaller. -Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie [5.24](a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md) t/m [5.28](a-5.28-Verzamelen-van-bewijsmateriaal.md)) of de noodplan- en bedrijfscontinuïteitsprocessen (zie [5.29](a-5.29-Informatiebeveiliging-tijdens-een-verstoring.md) en [5.30](a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md)). Contacten met regelgevende organen zijn ook nuttig om te anticiperen op en voorbereidingen te treffen voor komende veranderingen in relevante wet- en regelgeving die op de organisatie van invloed zijn. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties [bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur)]. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.6-Contact-met-speciale-belangengroepen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.6-Contact-met-speciale-belangengroepen.md index 51e0fbc..1d62640 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.6-Contact-met-speciale-belangengroepen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.6-Contact-met-speciale-belangengroepen.md @@ -26,25 +26,15 @@ tags: status: active --- ## 5.6 Contact met speciale belangengroepen - - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------- | -| Type beheersmaatregel: | #Preventief #Corrigerend | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Beschermen #Reageren #Herstellen | -| Operationele capaciteiten: | #Governance | -| Beveiligingsdomeinen: | #Verdediging | - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen te leggen en te onderhouden. -**Doel** +### Doel Een passende stroom van informatie met betrekking tot informatiebeveiliging bewerkstelligen. -**Richtlijn** +### Richtlijn Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om: @@ -61,4 +51,3 @@ e) informatie over nieuwe technologieën, producten, diensten, dreigingen of kwe f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie [5.24](a-5.24-Plannen-en-voorbereiden-van-het-beheer-van-informatiebeveiligingsincidenten.md) t/m [5.28](a-5.28-Verzamelen-van-bewijsmateriaal.md)). **Overige informatie** -Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.7-Informatie-en-analyses-over-dreigingen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.7-Informatie-en-analyses-over-dreigingen.md index 105973d..f9163cd 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.7-Informatie-en-analyses-over-dreigingen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.7-Informatie-en-analyses-over-dreigingen.md @@ -29,25 +29,15 @@ tags: status: active --- ## 5.7 Informatie en analyses over dreigingen - - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------- | -| Type beheersmaatregel: | #Preventief #Detectief #Corrigerend | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren #Detecteren #Reageren | -| Operationele capaciteiten: | #Beheer_van_dreigingen_en_kwetsbaarheden | -| Beveiligingsdomeinen: | #Veerkracht | - -**Beheersmaatregel** +### Beheersmaatregel Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd om informatie en analyses over dreigingen te produceren. -**Doel** +### Doel Bewustwording bieden van de mogelijke dreigingen voor de organisatie zodat de passende mitigerende maatregelen kunnen worden getroffen. -**Richtlijn** +### Richtlijn Informatie over bestaande of opkomende dreigingen wordt verzameld en geanalyseerd teneinde: @@ -97,10 +87,9 @@ c) als input voor de processen en technieken voor het testen van de informatiebe De organisatie behoort informatie en analyses over dreigingen op wederzijdse basis met andere organisaties te delen om de algemene informatie en analyses over dreigingen te verbeteren. -**Overige informatie** +### Overige informatie Organisaties kunnen informatie en analyses over dreigingen gebruiken om dreigingen te voorkomen, detecteren of erop te reagerenrganisaties kunnen zelf informatie en analyses over dreigingen produceren, maar het is gebruikelijker dat ze informatie en analyses over dreigingen ontvangen en gebruiken die door andere bronnen wordt geproduceerd. Informatie en analyses over dreigingen worden vaak verstrekt door onafhankelijke aanbieders of adviseurs, overheidsinstanties of groepen die gezamenlijk informatie over dreigingen verzamelen en analyseren. -De doeltreffendheid van beheersmaatregelen zoals 5.25, 8.7, 8.16 of 8.23 is afhankelijk van de kwaliteit van de beschikbare informatie en analyses over dreigingen. \ No newline at end of file diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.8-Informatiebeveiliging-in-projectmanagement.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.8-Informatiebeveiliging-in-projectmanagement.md index 9e19ef5..00fd8f6 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.8-Informatiebeveiliging-in-projectmanagement.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.8-Informatiebeveiliging-in-projectmanagement.md @@ -25,25 +25,15 @@ tags: status: active --- ## 5.8 Informatiebeveiliging in projectmanagement - - -| Attribuut | Waarde | -| :----------------------------------- | :------------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren #Beschermen | -| Operationele capaciteiten: | #Governance | -| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming | - -**Beheersmaatregel** +### Beheersmaatregel Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement. -**Doel** +### Doel Ervoor zorgen dat informatiebeveiligingsrisico's binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt. -**Richtlijn** +### Richtlijn Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement om ervoor te zorgen dat informatiebeveiligingsrisico\'s in het kader van projectmanagement worden aangepaktit kan worden toegepast op elk type project ongeacht de complexiteit, omvang, duur, discipline of het toepassingsgebied (bijv. een project voor een proces voor kernactiviteiten, IT, 'facility management' of andere ondersteunende processen). @@ -85,8 +75,7 @@ h) naleving van de wettelijke, statutaire, regelgevende en contractuele omgeving i) het vereiste niveau van vertrouwen of zekerheid dat derden zullen voldoen aan het informatiebeveiligingsbeleid en de onderwerpspecifieke beleidsregels van de organisatie, met inbegrip van relevante beveiligingsclausules in overeenkomsten of contracten. -**Overige informatie** +### Overige informatie De projectontwikkelaanpak, zoals de Waterfall-levenscyclus of de Agile-levenscyclus, behoort gestructureerde informatiebeveiliging te ondersteunen die kan worden aangepast aan de volgens een beoordeling vastgestelde informatiebeveiligingsrisico's, aansluitend bij het karakter van het projectet vroegtijdig nadenken over informatiebeveiligingseisen voor het product of de dienst (bijvijdens de plannings- en ontwerpfasen) kan leiden tot doeltreffender en kostenefficiëntere oplossingen voor kwaliteits- en informatiebeveiliging. ISO 21500 en ISO 21502 geven richtlijnen voor projectmanagementconcepten en -processen die belangrijk zijn voor de prestaties van projecten. -ISO/IEC 27005 geeft richtlijnen voor het gebruik van risicobeheerprocessen om beheersmaatregelen te identificeren die aan informatiebeveiligingseisen voldoen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md index 99d8ccb..869dc6a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-5.9-Inventarisatie-van-informatie-en-andere-gerelateerde-bedrijfsmiddelen.md @@ -23,27 +23,15 @@ tags: status: active --- ## 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen - - - -| Attribuut | Waarde | -| :----------------------------------- | :----------------------------------------------- | -| Type beheersmaatregel: | #Preventief | -| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | -| Cybersecurityconcepten: | #Identificeren | -| Operationele capaciteiten: | #Beheer_van_bedrijfsmiddelen | -| Beveiligingsdomeinen: | #Governance_en_Ecosysteem #Bescherming | - - -**Beheersmaatregel** +### Beheersmaatregel Er behoort een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden. -**Doel** +### Doel De informatie en andere gerelateerde bedrijfsmiddelen van de organisatie identificeren om de informatiebeveiliging ervan te behouden en passend eigenaarschap toe te wijzen. -**Richtlijn** +### Richtlijn [Inventarislijst] @@ -89,7 +77,7 @@ h) hij betrokken is bij het identificeren en het beheer van de risico\'s in verb i) hij het personeel ondersteunt dat de rollen en de verantwoordelijkheden heeft voor het beheren van zijn informatie. -**Overige informatie** +### Overige informatie Inventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen zijn vaak nodig om de doeltreffende bescherming van informatie zeker te stellen en kunnen voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële redenennventarislijsten van informatie en andere gerelateerde bedrijfsmiddelen ondersteunen ook risicobeheer, auditactiviteiten, kwetsbaarhedenbeheer, incidentrespons- en herstelplanning. @@ -97,4 +85,3 @@ Taken en verantwoordelijkheden kunnen worden gedelegeerd (bijvan een beheerder d Het kan nuttig zijn om groepen van informatie en andere gerelateerde bedrijfsmiddelen aan te wijzen die samen een bepaalde dienst verlenenn dat geval is de eigenaar van deze dienst verantwoordelijk voor het leveren van de dienst, met inbegrip van de werking van de bedrijfsmiddelen die de dienst verzorgen. -Zie ISO/IEC 19770-1 voor aanvullende informatie over het beheer van IT-bedrijfsmiddelenie ISO 55001 voor aanvullende informatie over het beheer van bedrijfsmiddelen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.1-Screening.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.1-Screening.md index 559e316..8c12ffa 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.1-Screening.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.1-Screening.md @@ -20,7 +20,6 @@ tags: - iso27002/2022/EN status: active --- ---- notetype: sourcetext standard: ISO 27002 version: 2022 @@ -43,28 +42,15 @@ tags: status: active --- ## 6.1 Screening - -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+============================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ | -| | | | | | -| | | | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De achtergrond van alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaaldierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving, voorschriften en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico\'s. -**Doel** +### Doel Bewerkstelligen dat al het personeel in aanmerking komt en geschikt is voor de functies waarvoor zij worden overwogen en dat zij hiervoor gedurende hun dienstverband in aanmerking blijven komen en geschikt blijven. -**Richtlijn** +### Richtlijn Al het personeel, met inbegrip van voltijd-, deeltijd- en tijdelijk personeel, behoort te worden gescreendndien deze personen via dienstverleners worden ingehuurd, behoren screeningeisen te worden opgenomen in de contractuele afspraken tussen de organisatie en de dienstverleners. @@ -113,4 +99,3 @@ d) beëindiging van het dienstverband. Deze controles behoren op gezette tijden te worden herhaald om te bevestigen dat personeel nog altijd geschikt is, afhankelijk van hoe essentieel de rol van een persoon is. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.2-Arbeidsovereenkomst.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.2-Arbeidsovereenkomst.md index 9ad3f03..5bc6136 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.2-Arbeidsovereenkomst.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.2-Arbeidsovereenkomst.md @@ -21,31 +21,18 @@ tags: status: active --- ## 6.2 Arbeidsovereenkomst - -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+============================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ | -| | | | | | -| | | | | ecosysteem | -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging. -**Doel** +### Doel Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging voor de rollen waarvoor zij mogelijk in aanmerking komen. -**Richtlijn** +### Richtlijn In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld: @@ -65,7 +52,7 @@ De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5) -**Overige informatie** +### Overige informatie Er kan een gedragscode worden gebruikt die de verantwoordelijkheden van het personeel in het kader van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, bescherming van persoonsgegevens, ethiek, passend gebruik van de informatie en andere gerelateerde @@ -73,4 +60,3 @@ bedrijfsmiddelen van de organisatie, alsmede ten aanzien van door de organisatie Een externe partij waarmee personeel van leveranciers is verbonden, kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken. -Indien de organisatie geen rechtspersoon is en geen werknemers heeft, kan het equivalent van een contractuele overeenkomst en van contractuele voorwaarden in aanmerking worden genomen, overeenkomstig de richtlijnen van deze beheersmaatregel. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.3-Bewustwording-van-opleiding-en-training-in-informatiebeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.3-Bewustwording-van-opleiding-en-training-in-informatiebeveiliging.md index 96a8825..f28fbd5 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.3-Bewustwording-van-opleiding-en-training-in-informatiebeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.3-Bewustwording-van-opleiding-en-training-in-informatiebeveiliging.md @@ -21,28 +21,15 @@ tags: status: active --- ## 6.3 Bewustwording van, opleiding en training in informatiebeveiliging - -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+============================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ | -| | | | | | -| | | | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Personeel van de organisatie en relevante belanghebbenden behoren een passend(e) bewustwording van, opleiding, training en bijscholing in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen. -**Doel** +### Doel Ervoor zorgen dat personeel en relevante belanghebbenden zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen. -**Richtlijn** +### Richtlijn Algemeen @@ -85,8 +72,7 @@ stand houden van het vereiste beveiligingsniveau voor apparaten, systemen, toepa Voor het opleidings- en trainingsprogramma behoren verschillende vormen te worden overwogen [bijvessen of zelfstudie, begeleiding door deskundig personeel of consultants (training in de praktijk), het rouleren van personeelsleden om verschillende activiteiten te volgen, mensen met de juiste vaardigheden werven en consultants inhuren]it kan via verschillende middelen worden geleverd, bijvlassikaal, via afstandsonderwijs, via internet, in eigen tempoechnisch personeel behoort zijn kennis op peil te houden door zich te abonneren op nieuwsbrieven en tijdschriften of door conferenties en evenementen te bezoeken die zich richten op technische en professionele verbetering. -**Overige informatie** +### Overige informatie Bij het opstellen van een bewustwordingsprogramma is het belangrijk niet alleen de aandacht te richten op het 'wat' en 'hoe', maar ook op het 'waarom', indien mogelijket is belangrijk dat personeel het doel van informatiebeveiliging en de mogelijke uitwerking, positief en negatief, van het eigen gedrag op de organisatie begrijpt. -Bewustwording van, opleiding en training in informatiebeveiliging kunnen onderdeel zijn van, of worden gegeven in combinatie met andere activiteiten, bijvoorbeeld algemene informatiemanagement-, ICT-, beveiligings-, privacy- of veiligheidstraining. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.4-Disciplinaire-procedure.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.4-Disciplinaire-procedure.md index 1c24060..2af3027 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.4-Disciplinaire-procedure.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.4-Disciplinaire-procedure.md @@ -25,28 +25,15 @@ tags: status: active --- ## 6.4 Disciplinaire procedure - -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+============================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en\_ | -| | | | | | -| #Corrigerend | | #Reageren | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid. -**Doel** +### Doel Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen begrijpen van schending van het informatiebeveiligingsbeleid, personeel en andere relevante belanghebbenden ervan weerhouden zich schuldig te maken aan een schending, en personeel en andere relevante belanghebbenden die zich schuldig hebben gemaakt aan een schending op de juiste manier aanpakken. -**Richtlijn** +### Richtlijn De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1). @@ -62,8 +49,7 @@ d) of de overtreder al dan niet naar behoren was opgeleid. Bij de reactie behoort rekening te worden gehouden met relevante eisen van wet- en regelgeving, statutaire, contractuele en bedrijfseisen evenals andere factoren voor zover vereiste disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat personeel en andere relevante belanghebbenden het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures voor informatiebeveiliging overtredenpzettelijke schendingen van het informatiebeveiligingsbeleid kunnen onmiddellijke maatregelen vereisen. -**Overige informatie** +### Overige informatie Indien mogelijk behoort de identiteit van personen tegen wie disciplinaire actie wordt ondernomen overeenkomstig de toepasselijke eisen te worden beschermd. -Wanneer personen blijk hebben gegeven van uitstekend gedrag met betrekking tot informatiebeveiliging, kunnen ze worden beloond om de informatiebeveiliging te bevorderen en goed gedrag te stimuleren. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.5-Verantwoordelijkheden-na-beeindiging-of-wijziging-van-het-dienstverband.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.5-Verantwoordelijkheden-na-beeindiging-of-wijziging-van-het-dienstverband.md index 4d54a24..4ff8045 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.5-Verantwoordelijkheden-na-beeindiging-of-wijziging-van-het-dienstverband.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.5-Verantwoordelijkheden-na-beeindiging-of-wijziging-van-het-dienstverband.md @@ -23,28 +23,15 @@ tags: status: active --- ## 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband - -+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+===========================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging #Beheer_van_be- drijfsmiddelen | #Governance_en\_ | -| | | | | | -| | | | | Ecosysteem | -+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden. -**Doel** +### Doel De belangen van de organisatie beschermen als onderdeel van de wijzigings- of beëindigingsprocedure van dienstverband of contracten. -**Richtlijn** +### Richtlijn Het proces voor het beheer van een beëindiging of verandering van dienstverband behoort te definiëren welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging na de beëindiging of verandering behoren te blijven geldenit kan onder meer betrekking hebben op de vertrouwelijkheid van informatie, intellectuele eigendom en andere kennis die wordt verkregen, alsmede op de verantwoordelijkheden die deel uitmaken van andere geheimhoudingsovereenkomsten (zie 6.6). Verantwoordelijkheden en taken die na beëindiging van het dienstverband of contract nog altijd van kracht zijn, behoren te worden opgenomen in de arbeidsovereenkomst, het contract of de overeenkomst van de persoon (zie 6.2). Andere contracten of overeenkomsten die na het einde van het dienstverband van de persoon nog een bepaalde tijd doorlopen, kunnen ook verantwoordelijkheden @@ -60,11 +47,10 @@ Het proces voor het beëindigen of wijzigen van een dienstverband behoort ook te op extern personeel (dzeveranciers) wanneer een dienstverband van personeel, het contract of de functie bij de organisatie wordt beëindigd of wanneer er een verandering van functie binnen de organisatie is. -**Overige informatie** +### Overige informatie In veel organisaties is de afdeling personeelszaken doorgaans verantwoordelijk voor de totale beëindigingsprocedure en werkt deze afdeling samen met de direct leidinggevende van de persoon die -overstapt om de informatiebeveiligingsaspecten van de relevante procedures af te handelenls het gaat om personeel dat is ingehuurd via een externe partij (bijvia een leverancier), dan wordt deze beëindigingsprocedure uitgevoerd door de externe partij in overeenstemming met het contract tussen de organisatie en de externe partij. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.6-Vertrouwelijkheids-of-geheimhoudingsovereenkomsten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.6-Vertrouwelijkheids-of-geheimhoudingsovereenkomsten.md index dd42c12..28927bb 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.6-Vertrouwelijkheids-of-geheimhoudingsovereenkomsten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.6-Vertrouwelijkheids-of-geheimhoudingsovereenkomsten.md @@ -21,28 +21,15 @@ tags: status: active --- ## 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten - -+------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele capaciteiten** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+=======================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Personeelsbeveiliging #Informatiebescherming #Leveranciersrelaties | #Governance_en\_ | -| | | | | | -| | | | | Ecosysteem | -+------------------------+----------------------+----------------------+-----------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden. -**Doel** +### Doel De vertrouwelijkheid van informatie waartoe personeel of externe partijen toegang hebben handhaven. -**Richtlijn** +### Richtlijn Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren de eis van bescherming van vertrouwelijke informatie te behandelen binnen juridisch afdwingbare voorwaardenertrouwelijkheids- of geheimhoudingsovereenkomsten zijn van toepassing op belanghebbenden en personeel van de organisatiep basis van de informatiebeveiligingseisen van een organisatie behoren de voorwaarden in de overeenkomsten te worden vastgesteld door te kijken naar de soort informatie waarmee de belanghebbenden of het personeel zullen omgaan, het classificatieniveau en het gebruik ervan en de toegestane toegang door de andere partijij het vaststellen van eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten, behoren de volgende elementen in overweging te worden genomen: @@ -87,6 +74,5 @@ De organisatie behoort het voldoen aan vertrouwelijkheids- en geheimhoudingsover Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen. -**Overige informatie** +### Overige informatie -Vertrouwelijkheids- en geheimhoudingsovereenkomsten beschermen informatie van de organisatie en informeren de ondertekenaars over hun verantwoordelijkheid om informatie op een verantwoordelijke en bevoegde manier te beschermen, te gebruiken en openbaar te maken. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.7-Werken-op-afstand.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.7-Werken-op-afstand.md index 81525f1..610d161 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.7-Werken-op-afstand.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.7-Werken-op-afstand.md @@ -25,26 +25,15 @@ tags: status: active --- ## 6.7 Werken op afstand - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+===================================================================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescher- ming #Fysieke_beveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen. -**Doel** +### Doel De beveiliging van informatie waarborgen wanneer personeel op afstand werkt. -**Richtlijn** +### Richtlijn Er is sprake van werken op afstand telkens wanneer personeel van de organisatie vanaf een locatie buiten het gebouw en/of terrein van de organisatie werkt en toegang maakt tot informatie, hetzij in gedrukte vorm of elektronisch via ICT-apparatuurmgevingen voor werken op afstand zijn onder andere omgevingen die worden aangeduid als 'telewerken', 'teleforenzen', 'flexibele werkplek', 'virtuele werkomgevingen' en 'onderhoud op afstand'. @@ -118,4 +107,3 @@ k) intrekking van bevoegdheid en toegangsrechten en het inleveren van apparatuur van de werkactiviteiten op afstand. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.8-Melden-van-informatiebeveiligingsgebeurtenissen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.8-Melden-van-informatiebeveiligingsgebeurtenissen.md index 9c02b66..8ebe8c6 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-6.8-Melden-van-informatiebeveiligingsgebeurtenissen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-6.8-Melden-van-informatiebeveiligingsgebeurtenissen.md @@ -21,26 +21,15 @@ tags: status: active --- ## 6.8 Melden van informatiebeveiligingsgebeurtenissen - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden. -**Doel** +### Doel Tijdige, consistente en doeltreffende melding ondersteunen van informatiebeveiligingsgebeurtenissen die door personeel kunnen worden geïdentificeerd. -**Richtlijn** +### Richtlijn Al het personeel en alle gebruikers behoren bewust te worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te melden om het effect van informatiebeveiligingsincidenten te voorkomen of tot het minimum te beperkenij behoren ook te worden geïnformeerd over de procedure voor het melden van informatiebeveiligingsgebeurtenissen en het contactpunt waar de gebeurtenissen behoren te worden gemeldet meldmechanisme behoort zo eenvoudig, toegankelijk en beschikbaar mogelijk te zijnnformatiebeveiligingsgebeurtenissen zijn onder andere incidenten, inbreuken en kwetsbaarheden. @@ -73,8 +62,7 @@ j) vermoedelijke besmetting door malware. Personeel en gebruikers behoort te worden geadviseerd niet te proberen om de vermeende aanwezigheid van kwetsbaarheden op het gebied van informatiebeveiliging aan te tonenet testen op kwetsbaarheden kan worden uitgelegd als potentieel misbruik van het systeem en kan ook schade veroorzaken aan het informatiesysteem en het kan digitaal bewijs corrumperen of aan het oog onttrekkeniteindelijk kan dit leiden tot wettelijke aansprakelijkheid voor de persoon die de tests uitvoert. -**Overige informatie** +### Overige informatie Zie de ISO/IEC 27035-reeks voor aanvullende informatie. -# 7 Fysieke beheersmaatregelen diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.1-Fysieke-beveiligingszones.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.1-Fysieke-beveiligingszones.md index 235c08a..0d9309e 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.1-Fysieke-beveiligingszones.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.1-Fysieke-beveiligingszones.md @@ -21,29 +21,18 @@ tags: status: active --- ## 7.1 Fysieke beveiligingszones - -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiëren en te gebruiken. -**Doel** +### Doel Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie voorkomen. -**Richtlijn** +### Richtlijn Voor zover van toepassing behoren de volgende richtlijnen voor fysieke beveiligingszones te worden overwogen: @@ -55,8 +44,7 @@ b) beschikken over fysiek solide buitengrenzen voor een gebouw of locatie met in c) alle branddeuren die deel uitmaken van een beveiligingszone, van alarmsystemen voorzien en ze in combinatie met de muren monitoren en testen om vast te stellen of ze het vereiste weerstandsniveau, overeenkomstig geschikte normen, biedene behoren faalveilig te werken. -**Overige informatie** +### Overige informatie Fysieke bescherming kan worden verkregen door een of meer fysieke barrières rond het gebouw en/of terrein en de informatieverwerkende faciliteiten van de organisatie aan te brengen. -Een beveiligd gebied kan een afsluitbaar kantoor zijn of diverse ruimten omgeven door een ononderbroken interne fysieke beveiligingsbarrièreussen zones met verschillende beveiligingseisen binnen de beveiligingszone kunnen extra barrières en buitengrenzen nodig zijn om fysieke toegang te beheersene organisatie behoort te overwegen fysieke beveiligingsmaatregelen in te voeren die tijdens situaties waar er sprake is van een verhoogd dreigingsniveau kunnen worden versterkt. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.10-Opslagmedia.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.10-Opslagmedia.md index 6179ad9..65f6825 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.10-Opslagmedia.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.10-Opslagmedia.md @@ -23,29 +23,18 @@ tags: status: active --- ## 7.10 Opslagmedia - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie. -**Doel** +### Doel Uitsluitend geoorloofde openbaarmaking, wijziging, verwijdering of vernietiging van informatie op opslagmedia bewerkstelligen. -**Richtlijn** +### Richtlijn Verwijderbare opslagmedia @@ -112,6 +101,5 @@ waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden. Er behoort een risicobeoordeling te worden uitgevoerd van beschadigde apparatuur die gevoelige gegevens bevat om vast te stellen of de media fysiek behoren te worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 7.14). -**Overige informatie** +### Overige informatie -Als vertrouwelijke informatie op opslagmedia niet versleuteld is, behoort aanvullende fysieke bescherming van de opslagmedia te worden overwogen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.11-Nutsvoorzieningen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.11-Nutsvoorzieningen.md index 2b598a8..f1150b0 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.11-Nutsvoorzieningen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.11-Nutsvoorzieningen.md @@ -24,28 +24,15 @@ tags: status: active --- ## 7.11 Nutsvoorzieningen - -+------------------------+---------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+=====================+======================+========================+=====================+ -| #Preventief | #Integriteit | #Beschermen | #Fysieke_beveiliging | #Bescherming | -| | | | | | -| #Detectief | #Beschikbaarheid | #Detecteren | | | -+------------------------+---------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Informatieverwerkende faciliteiten behoren te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen. -**Doel** +### Doel Verlies, schade of compromittering van informatie en andere gerelateerde bedrijfsmiddelen of onderbreking van de bedrijfsvoering van de organisatie vanwege verstoring en ontregeling van ondersteunende nutsvoorzieningen voorkomen. -**Richtlijn** +### Richtlijn Organisaties zijn afhankelijk van nutsvoorzieningen (bijvlektriciteit, telecommunicatie, water, gas, riolering, ventilatie en airconditioning) om hun informatieverwerkende faciliteiten te ondersteunenaarom behoort de organisatie: @@ -78,6 +65,5 @@ wijze en slechts wanneer dat nodig is met het internet wordt verbonden. Noodverlichting en communicatiemiddelen behoren aanwezig te zijnabij nooduitgangen of ruimten waar apparatuur aanwezig is, behoren noodschakelaars en knoppen te zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeldontactgegevens voor noodgevallen behoren te worden geregistreerd en bij uitval ter beschikking van het personeel te staan. -**Overige informatie** +### Overige informatie -Redundantie voor netwerkverbinding kan worden verkregen via meerdere routes vanaf meer dan één aanbieder. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.12-Beveiligen-van-bekabeling.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.12-Beveiligen-van-bekabeling.md index 598e021..d48d8f2 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.12-Beveiligen-van-bekabeling.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.12-Beveiligen-van-bekabeling.md @@ -20,28 +20,15 @@ tags: status: active --- ## 7.12 Beveiligen van bekabeling - -+------------------------+----------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+========================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming | -| | | | | | -| | #Beschikbaarheid | | | | -+------------------------+----------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen onderschepping, interferentie of beschadiging. -**Doel** +### Doel Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie in verband met voedings- en communicatiekabels voorkomen. -**Richtlijn** +### Richtlijn Met de volgende richtlijnen voor beveiligen van bekabeling behoort rekening te worden gehouden: @@ -78,6 +65,5 @@ bestemming om fysieke identificatie en inspectie van de kabel mogelijk te maken. Specialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit incidenten met of disfunctioneren van kabels. -**Overige informatie** +### Overige informatie -Soms worden voedings- en telecommunicatiekabels door meer dan één organisatie op één locatie gedeeld. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.13-Onderhoud-van-apparatuur.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.13-Onderhoud-van-apparatuur.md index 07114e7..9cdca37 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.13-Onderhoud-van-apparatuur.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.13-Onderhoud-van-apparatuur.md @@ -25,28 +25,15 @@ tags: status: active --- ## 7.13 Onderhoud van apparatuur - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | -| | | | | | -| | | | | #Veerkracht | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Apparatuur behoort op de juiste wijze te worden onderhouden om de beschikbaarheid, integriteit en betrouwbaarheid van informatie te garanderen. -**Doel** +### Doel Verlies, schade, diefstal of compromittering van informatie en andere gerelateerde bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie door gebrekkig onderhoud voorkomen. -**Richtlijn** +### Richtlijn De volgende richtlijnen voor onderhoud van apparatuur behoren in aanmerking te worden genomen: @@ -83,6 +70,5 @@ k) maatregelen toepassen voor het veilig verwijderen of hergebruiken van apparat indien wordt vastgesteld dat het nodig is apparatuur te verwijderen. -**Overige informatie** +### Overige informatie -Apparatuur omvat technische componenten van informatieverwerkende faciliteiten, UPS, batterijen en accu's, stroomgeneratoren, wisselstroomgeneratoren en vermogensomzetters, fysieke inbraakdetectiesystemen en -alarmen, rookmelders, brandblussers, airconditioning en liften. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.14-Veilig-verwijderen-of-hergebruiken-van-apparatuur.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.14-Veilig-verwijderen-of-hergebruiken-van-apparatuur.md index ef34515..af54d02 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.14-Veilig-verwijderen-of-hergebruiken-van-apparatuur.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.14-Veilig-verwijderen-of-hergebruiken-van-apparatuur.md @@ -20,26 +20,15 @@ tags: status: active --- ## 7.14 Veilig verwijderen of hergebruiken van apparatuur - -+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | -+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt. -**Doel** +### Doel Het lekken van informatie via af te voeren of te hergebruiken apparatuur voorkomen. -**Richtlijn** +### Richtlijn Voorafgaand aan verwijdering of hergebruik behoort te worden gecontroleerd of apparatuur opslagmedia bevat. @@ -58,7 +47,7 @@ b) het minimaliseren van het risico dat systemen met gevoelige informatie erop w c) de mogelijkheid om de beheersmaatregelen in de volgende faciliteit opnieuw te gebruiken. -**Overige informatie** +### Overige informatie Voor beschadigde apparatuur die opslagmedia bevat, kan een risicobeoordeling nodig zijn om vast te stellen of het desbetreffende onderdeel van de apparatuur fysiek behoort te worden vernietigd in plaats van te worden gerepareerd of verwijderdnformatie kan worden gecompromitteerd door onzorgvuldige verwijdering of door hergebruik van apparatuur. @@ -85,4 +74,3 @@ Zie ISO/IEC 27040 voor nadere informatie over methoden om opslagmedia leeg te ma -# 8 Technologische beheersmaatregelen diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.2-Fysieke-toegangsbeveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.2-Fysieke-toegangsbeveiliging.md index 439b332..9483720 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.2-Fysieke-toegangsbeveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.2-Fysieke-toegangsbeveiliging.md @@ -23,29 +23,18 @@ tags: status: active --- ## 7.2 Fysieke toegangsbeveiliging - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+==========================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Identiteits- \_en_toegangsbeheer | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Beveiligde zones behoren te worden beschermd door passende toegangscontroles en toegangspunten. -**Doel** +### Doel Bewerkstelligen dat er alleen bevoegde fysieke toegang tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie plaatsvindt. -**Richtlijn** +### Richtlijn Algemeen @@ -144,4 +133,3 @@ g) inkomende leveringen inspecteren op bewijs van manipulatie onderwegndien verv ontdekt, behoort dit direct aan beveiligingspersoneel te worden gemeld. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.3-Beveiligen-van-kantoren-ruimten-en-faciliteiten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.3-Beveiligen-van-kantoren-ruimten-en-faciliteiten.md index 18e60e6..fecef96 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.3-Beveiligen-van-kantoren-ruimten-en-faciliteiten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.3-Beveiligen-van-kantoren-ruimten-en-faciliteiten.md @@ -23,29 +23,18 @@ tags: status: active --- ## 7.3 Beveiligen van kantoren, ruimten en faciliteiten - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en geïmplementeerd. -**Doel** +### Doel Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en andere gerelateerde bedrijfsmiddelen van de organisatie in kantoren, ruimten en faciliteiten voorkomen. -**Richtlijn** +### Richtlijn Bij het beveiligen van kantoren, ruimten en faciliteiten behoren de volgende richtlijnen in aanmerking te worden genomen: @@ -59,4 +48,3 @@ c) faciliteiten zo configureren dat wordt voorkomen dat vertrouwelijke informati d) ervoor zorgen dat adreslijsten, interne telefoongidsen en online toegankelijke plattegronden met daarop de locaties van faciliteiten waar vertrouwelijke informatie wordt verwerkt, niet gemakkelijk beschikbaar zijn voor onbevoegden. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.4-Monitoren-van-de-fysieke-beveiliging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.4-Monitoren-van-de-fysieke-beveiliging.md index c8bc506..498802a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.4-Monitoren-van-de-fysieke-beveiliging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.4-Monitoren-van-de-fysieke-beveiliging.md @@ -27,28 +27,15 @@ tags: status: active --- ## 7.4 Monitoren van de fysieke beveiliging - -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming | -| | | | | | -| #Detectief | | #Detecteren | | #Verdediging | -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Het gebouw en terrein behoort voortdurend te worden gemonitord op onbevoegde fysieke toegang. -**Doel** +### Doel Onbevoegde fysieke toegang detecteren en ontmoedigen. -**Richtlijn** +### Richtlijn Fysieke terreinen en gebouwen behoren te worden bewaakt door bewakingssystemen die kunnen bestaan uit bewakers, inbraakalarmen, videobewakingssystemen zoals gesloten televisiecircuits en software voor het beheer van informatie over fysieke beveiliging die intern of door een aanbieder van bewakingsdiensten wordt beheerd. @@ -85,4 +72,3 @@ Het bedieningspaneel van het alarmsysteem behoort in een met een alarm beveiligd Elk monitoring- en opnamemechanisme behoort te worden gebruikt met inachtneming van de plaatselijke wet- en regelgeving, met inbegrip van de wetgeving inzake gegevensbescherming en de bescherming van persoonsgegevens, met name wat betreft het monitoren van werknemers en de bewaringstermijnen voor video-opnamen. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.5-Beschermen-tegen-fysieke-en-omgevingsdreigingen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.5-Beschermen-tegen-fysieke-en-omgevingsdreigingen.md index 8b2ab29..b1104c4 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.5-Beschermen-tegen-fysieke-en-omgevingsdreigingen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.5-Beschermen-tegen-fysieke-en-omgevingsdreigingen.md @@ -21,26 +21,15 @@ tags: status: active --- ## 7.5 Beschermen tegen fysieke en omgevingsdreigingen - -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen van de infrastructuur, te worden ontworpen en geïmplementeerd. -**Doel** +### Doel De gevolgen van gebeurtenissen die voortvloeien uit fysieke en omgevingsdreigingen, voorkomen of beperken. -**Richtlijn** +### Richtlijn Risicobeoordelingen om de potentiële gevolgen van fysieke en omgevingsdreigingen te identificeren, behoren voorafgaand aan kritische activiteiten op een fysieke locatie en met regelmatige tussenpozen te worden uitgevoerde nodige voorzorgsmaatregelen behoren te worden getroffen en veranderingen in de dreigingen behoren te worden gemonitordpecialistisch advies behoort te worden ingewonnen over het beheren van risico\'s die voortvloeien uit fysieke en omgevingsdreigingen, zoals brand, overstroming, aardbeving, explosie, oproer, toxisch afval, uitstoot van milieubelastende stoffen en andere vormen van natuurrampen of door personen veroorzaakte rampen. @@ -67,8 +56,7 @@ c) stroompieken: systemen die zowel server- als clientinformatiesystemen tegen s d) explosieven en wapens: steekproefsgewijze inspecties verrichten naar de aanwezigheid van explosieven of wapens bij personeel, in voertuigen of in goederen die faciliteiten binnenkomen waar gevoelige informatie wordt verwerkt. -**Overige informatie** +### Overige informatie Kluizen en andere vormen van beveiligde opslagvoorzieningen kunnen de daarin opgeslagen informatie beschermen tegen rampen zoals brand, aardbeving, overstroming of explosie. -Organisaties kunnen de concepten van criminaliteitspreventie door het ontwerp van de omgeving in overweging nemen bij het ontwerpen van de beheersmaatregelen om hun omgeving te beveiligen en dreigingen die inherent zijn aan stedelijke omgevingen, te beperkenn plaats van verkeerspalen te gebruiken, kunnen bijvoorbeeld standbeelden of waterpartijen als decoratie en als fysieke barrière fungeren. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.6-Werken-in-beveiligde-zones.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.6-Werken-in-beveiligde-zones.md index 339ed87..b41416a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.6-Werken-in-beveiligde-zones.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.6-Werken-in-beveiligde-zones.md @@ -21,26 +21,15 @@ tags: status: active --- ## 7.6 Werken in beveiligde zones - -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Voor het werken in beveiligde zones behoren beveiligingsmaatregelen te worden ontwikkeld en geïmplementeerd. -**Doel** +### Doel Informatie en andere gerelateerde bedrijfsmiddelen in beveiligde zones beschermen tegen schade en onbevoegde verstoring door personeel dat in deze zones aan het werk is. -**Richtlijn** +### Richtlijn De beveiligingsmaatregelen voor het werken in beveiligde gebieden behoren van toepassing te zijn op al het personeel en behoren alle activiteiten te bestrijken die in de beveiligde zone plaatsvinden. @@ -69,4 +58,3 @@ behoren beheersen; f) noodprocedures duidelijk zichtbaar en toegankelijk ophangen. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.7-Clear-desk-en-clear-screen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.7-Clear-desk-en-clear-screen.md index 942caaf..8e26197 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.7-Clear-desk-en-clear-screen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.7-Clear-desk-en-clear-screen.md @@ -18,26 +18,15 @@ tags: status: active --- ## 7.7 ‘Clear desk’ en ‘clear screen’ - -+------------------------+----------------------+----------------------+------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+========================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging | #Bescherming | -+------------------------+----------------------+----------------------+------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoren 'clear desk'-regels voor papieren documenten en verwijderbare opslagmedia en 'clear screen'-regels voor informatieverwerkende faciliteiten te worden gedefinieerd en op passende wijze ten uitvoer worden gebracht. -**Doel** +### Doel De risico\'s op onbevoegde toegang tot, verlies van en schade aan informatie op bureaus, schermen en op andere toegankelijke plaatsen tijdens en buiten de gebruikelijke werkuren beperken. -**Richtlijn** +### Richtlijn De organisatie behoort een onderwerpspecifiek beleid inzake 'clear desk' en 'clear screen' vast te stellen en aan alle relevante belanghebbenden mee te delen. @@ -68,4 +57,3 @@ niet meer nodig is. De organisatie behoort te beschikken over procedures voor het ontruimen van faciliteiten, waaronder een laatste doorzoeking voorafgaand aan vertrek om te garanderen dat er geen bedrijfsmiddelen van de organisatie worden achtergelaten (bijvocumenten die achter laden of meubilair zijn gevallen). -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.8-Plaatsen-en-beschermen-van-apparatuur.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.8-Plaatsen-en-beschermen-van-apparatuur.md index 2ce8b14..b760160 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.8-Plaatsen-en-beschermen-van-apparatuur.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.8-Plaatsen-en-beschermen-van-apparatuur.md @@ -23,26 +23,15 @@ tags: status: active --- ## 7.8 Plaatsen en beschermen van apparatuur - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Apparatuur behoort veilig te worden geplaatst en beschermd. -**Doel** +### Doel De risico\'s op fysieke en omgevingsdreigingen en op toegang door onbevoegden en schade beperken. -**Richtlijn** +### Richtlijn Om apparatuur te beschermen behoren de volgende richtlijnen in overweging te worden genomen: @@ -79,4 +68,3 @@ i) informatieverwerkende faciliteiten die worden beheerd door de organisatie fys informatieverwerkende faciliteiten die niet door de organisatie worden beheerd. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.9-Beveiligen-van-bedrijfsmiddelen-buiten-het-terrein.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.9-Beveiligen-van-bedrijfsmiddelen-buiten-het-terrein.md index a26ddea..b4a114c 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-7.9-Beveiligen-van-bedrijfsmiddelen-buiten-het-terrein.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-7.9-Beveiligen-van-bedrijfsmiddelen-buiten-het-terrein.md @@ -23,26 +23,15 @@ tags: status: active --- ## 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd. -**Doel** +### Doel Verlies, schade, diefstal of compromittering van bedrijfsmiddelen buiten het gebouw en/of terrein en onderbreking van de bedrijfsvoering van de organisatie voorkomen. -**Richtlijn** +### Richtlijn Het is nodig apparatuur die buiten het gebouw en/of terrein van de organisatie wordt gebruikt en waarop informatie wordt opgeslagen of verwerkt (bijven mobiel apparaat), met inbegrip van apparaten die eigendom zijn van de organisatie en apparaten die particulier eigendom zijn en gebruikt worden namens de organisatie ['bring your own device (BYOD)'], te beschermenet gebruik van deze apparaten behoort door het management te worden goedgekeurd. @@ -83,6 +72,5 @@ c) fysieke toegangsbeveiligingsmaatregelen en beheersmaatregelen om manipuleren d) logische toegangsbeveiligingsmaatregelen. -**Overige informatie** +### Overige informatie -Meer informatie over andere aspecten van de bescherming van apparatuur waarop informatie wordt opgeslagen en verwerkt, en 'endpoint devices' van gebruikers is te vinden in 8en 6 diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.1-User-endpoint-devices.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.1-User-endpoint-devices.md index 14956dc..1bbf510 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.1-User-endpoint-devices.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.1-User-endpoint-devices.md @@ -22,53 +22,16 @@ tags: - iso27002/2022/EN status: active --- ---- -notetype: sourcetext -standard: ISO 27002 -version: 2022 -language: NL -type: control -id: "8.1" -title: "‘User endpoint devices’" -theme: Technological -control_type: [Preventive] -information_security_properties: - - Confidentiality - - Integrity - - Availability -cybersecurity_concepts: [Protect] -operational_capabilities: - - Asset_management - - Information_protection -security_domains: [Protection] -tags: - - iso27002/2022/NL - - iso27002/2022/EN -status: active ---- ## 8.1 ‘User endpoint devices’ - - - -+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=========================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescherming | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via 'user endpoint devices' behoort te worden beschermd. -**Doel** +### Doel Informatie beschermen tegen de risico\'s als gevolg van het gebruik van 'user endpoint devices'. -**Richtlijn** +### Richtlijn Algemeen @@ -170,10 +133,9 @@ b) het gebruik van draadloze of bedrade verbindingen met passende bandbreedte ov relevante onderwerpspecifieke beleidsregels (bijvmdat back-ups of software-updates nodig zijn). -**Overige informatie** +### Overige informatie Beheersmaatregelen voor het beschermen van informatie op 'user endpoint devices' zijn afhankelijk van of het 'endpoint device' van de gebruiker alleen binnen het beveiligde gebouw en terrein en de beveiligde netwerkverbindingen van de organisatie wordt gebruikt of dat het wordt blootgesteld aan meer fysieke en netwerkgerelateerde dreigingen buiten de organisatie. De draadloze verbindingen van 'user endpoint devices' zijn gelijksoortig aan andere vormen van netwerkverbindingen, maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelenr kan met name soms iets fout gaan bij het maken van back-ups van informatie die op 'user endpoint devices' is opgeslagen indien de bandbreedte van het netwerk beperkt is of 'user endpoint devices' niet zijn aangesloten op de tijden waarop de back-ups zijn gepland. -Voor bepaalde USB-poorten, zoals USB-C, is het niet mogelijk de USB-poort uit te schakelen, omdat deze voor andere doelen (bijvoeding of als uitgang voor een weergavescherm) in gebruik is. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.10-Wissen-van-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.10-Wissen-van-informatie.md index 70a9f18..f49cdc8 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.10-Wissen-van-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.10-Wissen-van-informatie.md @@ -20,26 +20,15 @@ tags: status: active --- ## 8.10 Wissen van informatie - -+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+=======================================================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming #Juridisch_en_com- pliance | #Bescherming | -+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer nodig is. -**Doel** +### Doel Onnodige openbaarmaking van gevoelige informatie voorkomen en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voor het wissen van informatie voldoen. -**Richtlijn** +### Richtlijn Algemeen @@ -88,6 +77,5 @@ De in 7 beschreven beheersmaatregelen behoren te worden toegepast om het opslaga Een officiële registratie van het wissen van informatie is nuttig om de oorzaak van een mogelijk lek van informatie te analyseren. -**Overige informatie** +### Overige informatie -Informatie over het wissen van gebruikersgegevens in clouddiensten is te vinden in ISO/IEC 27017nformatie over het wissen van persoonsgegevens is te vinden in ISO/IEC 27555. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.11-Maskeren-van-gegevens.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.11-Maskeren-van-gegevens.md index 1e14677..dec3118 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.11-Maskeren-van-gegevens.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.11-Maskeren-van-gegevens.md @@ -18,26 +18,15 @@ tags: status: active --- ## 8.11 Maskeren van gegevens - -+------------------------+----------------------+----------------------+--------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+==========================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming | -+------------------------+----------------------+----------------------+--------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving. -**Doel** +### Doel De openbaarmaking van gevoelige informatie met inbegrip van persoonsgegevens beperken en aan de eisen van wet- en regelgeving, statutaire en contractuele eisen voldoen. -**Richtlijn** +### Richtlijn Indien de bescherming van gevoelige gegevens (bijversoonsgegevens) een punt van zorg is, behoort de organisatie te overwegen dergelijke gegevens te verbergen door gebruik te maken van technieken als het maskeren, pseudonimiseren of anonimiseren van gegevens. @@ -96,7 +85,7 @@ betrokkene te identificeren; e) de verstrekking en ontvangst van de verwerkte gegevens bijhouden. -**Overige informatie** +### Overige informatie Door anonimisering worden persoonsgegevens dusdanig onomkeerbaar gewijzigd dat de betrokkene niet langer rechtstreeks of indirect kan worden geïdentificeerd. @@ -117,4 +106,3 @@ Persoonsgegevens in identificatiecodes van middelen en de bijbehorende attribute Aanvullende beheersmaatregelen met betrekking tot de bescherming van persoonsgegevens in publieke clouds worden gegeven in ISO/IEC 27018. -Aanvullende informatie over de-identificatietechnieken is te vinden in ISO/IEC 20889. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.12-Voorkomen-van-gegevenslekken-Data-leakage-prevention.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.12-Voorkomen-van-gegevenslekken-Data-leakage-prevention.md index 0bb0817..c93ea89 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.12-Voorkomen-van-gegevenslekken-Data-leakage-prevention.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.12-Voorkomen-van-gegevenslekken-Data-leakage-prevention.md @@ -24,28 +24,15 @@ tags: status: active --- ## 8.12 Voorkomen van gegevenslekken (Data leakage prevention) - -+------------------------+----------------------+----------------------+----------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+============================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebe- scherming | #Bescherming | -| | | | | | -| #Detectief | | #Detecteren | | #Verdediging | -+------------------------+----------------------+----------------------+----------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Maatregelen om gegevenslekken te voorkomen behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd. -**Doel** +### Doel Om de ongeoorloofde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen. -**Richtlijn** +### Richtlijn De organisatie behoort het volgende te overwegen om het risico op gegevenslekken te beperken: @@ -86,7 +73,7 @@ Indien er een back-up van gegevens wordt gemaakt, behoort ervoor te worden gezor Het voorkomen van gegevenslekken behoort ook te worden beschouwd als een vorm van bescherming tegen de acties van tegenstanders om vertrouwelijke of geheime informatie (geopolitieke, menselijke, financiële, commerciële, wetenschappelijke of andere informatie) te verkrijgen die van belang kan zijn voor spionage of essentieel kan zijn voor de gemeenschape maatregelen ter voorkoming van het lekken van gegevens behoren erop gericht te zijn verwarring te zaaien wat betreft de beslissingen van de tegenstander, bijvoorbeeld door authentieke informatie te vervangen door valse informatie, hetzij als een eigen maatregel, hetzij als reactie op de acties van de tegenstander om informatie te verzamelenoorbeelden van dergelijke maatregelen zijn omgekeerde 'social engineering' of het gebruik van 'honeypots' om aanvallers te lokken. -**Overige informatie** +### Overige informatie Hulpmiddelen om gegevenslekken te voorkomen, zijn ervoor ontworpen om gegevens te identificeren, het gebruik en de verplaatsing van gegevens te monitoren, en maatregelen te nemen om gegevenslekken te voorkomen (bijvebruikers waarschuwen voor hun risicogedrag en de overdracht van gegevens naar draagbare opslagapparatuur blokkeren). @@ -95,4 +82,3 @@ Een inherent element van het voorkomen van gegevenslekken is toezicht op de comm -Het voorkomen van gegevenslekken kan worden ondersteund door standaardbeheersmaatregelen voor informatiebeveiliging, zoals onderwerpspecifiek beleid inzake toegangscontrole en veilig documentenbeheer (zie 5.15 en 5.37). diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.13-Back-up-van-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.13-Back-up-van-informatie.md index 6583c0f..d9118a9 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.13-Back-up-van-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.13-Back-up-van-informatie.md @@ -20,28 +20,15 @@ tags: status: active --- ## 8.13 Back-up van informatie - -+------------------------+---------------------+----------------------+--------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+=====================+======================+====================+=====================+ -| #Corrigerend | #Integriteit | #Herstellen | #Continuïteit | #Bescherming | -| | | | | | -| | #Beschikbaarheid | | | | -+------------------------+---------------------+----------------------+--------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups. -**Doel** +### Doel Herstel mogelijk maken na verlies van gegevens of systemen. -**Richtlijn** +### Richtlijn Er behoort een onderwerpspecifiek beleid inzake back-ups te worden opgesteld met het oog op de eisen van de organisatie wat betreft het bewaren van gegevens en informatiebeveiliging. @@ -86,6 +73,5 @@ Wanneer de organisatie gebruikmaakt van een clouddienst, behoren er back-ups van Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor het bewaren van archiefkopieëne organisatie behoort na te denken over het wissen van informatie (zie 8.10) in of op opslagmedia zodra de bewaartermijn van de informatie verstrijkt en behoort hierbij de wet- en regelgeving in aanmerking te nemen. -**Overige informatie** +### Overige informatie -Zie voor verdere informatie over beveiligde opslag, met inbegrip van bewaarspecifieke overwegingen, ISO/IEC 27040. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.14-Redundantie-van-informatieverwerkende-faciliteiten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.14-Redundantie-van-informatieverwerkende-faciliteiten.md index 46e3c2b..765d70d 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.14-Redundantie-van-informatieverwerkende-faciliteiten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.14-Redundantie-van-informatieverwerkende-faciliteiten.md @@ -22,31 +22,18 @@ tags: status: active --- ## 8.14 Redundantie van informatieverwerkende faciliteiten - -+------------------------+---------------------+----------------------+------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+=====================+======================+================================================+=====================+ -| #Preventief | #Beschikbaarheid | #Beschermen | #Continuïteit #Beheer_van_be- drijfsmiddelen | #Bescherming | -| | | | | | -| | | | | #Veerkracht | -+------------------------+---------------------+----------------------+------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. -**Doel** +### Doel De ononderbroken werking van informatieverwerkende faciliteiten waarborgen. -**Richtlijn** +### Richtlijn De organisatie behoort eisen te identificeren voor de beschikbaarheid van zakelijke diensten en informatiesystemene organisatie behoort een systeemarchitectuur te ontwerpen en implementeren met passende redundantie om aan deze eisen te voldoen. @@ -74,7 +61,7 @@ in netwerken (bijvirewalls, routers, switches). Indien van toepassing, bij voorkeur in productiebedrijf, behoren redundante informatiesystemen te worden getest om te waarborgen dat de automatische omschakeling van de ene op de andere component bij storing werkt zoals voorzien. -**Overige informatie** +### Overige informatie Er bestaat een sterk verband tussen redundantie en de gereedheid van ICT voor bedrijfscontinuïteit (zie 5.30), vooral indien korte hersteltijden vereist zijneel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. @@ -87,4 +74,3 @@ Redundantie in informatieverwerkende faciliteiten gaat meestal niet in op het ni Met het gebruik van 'public cloud computing' is het mogelijk om meerdere liveversies van informatieverwerkende faciliteiten te hebben, die zich op meerdere afzonderlijke fysieke locaties bevinden met automatische omschakeling bij storingen en onderlinge loadbalancing. -Een aantal technologieën en technieken voor het voorzien in redundantie en automatische omschakeling bij storingen in de context van clouddiensten wordt besproken in ISO/IEC TS 23167. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.15-Logging.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.15-Logging.md index c5b910b..8e05783 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.15-Logging.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.15-Logging.md @@ -22,7 +22,6 @@ tags: - iso27002/2022/EN status: active --- ---- notetype: sourcetext standard: ISO 27002 version: 2022 @@ -47,28 +46,15 @@ tags: status: active --- ## 8.15 Logging - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming | -| | | | | | -| | | | | #Verdediging | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd te worden geproduceerd, opgeslagen, beschermd en geanalyseerd. -**Doel** +### Doel Gebeurtenissen registreren, bewijs genereren, de integriteit van informatie in logbestanden waarborgen, onbevoegde toegang voorkomen, informatiebeveiligingsgebeurtenissen identificeren die tot een informatiebeveiligingsincident kunnen leiden en onderzoeken ondersteunen. -**Richtlijn** +### Richtlijn Algemeen @@ -193,7 +179,7 @@ Vermeende en daadwerkelijke informatiebeveiligingsincidenten behoren te worden g -**Overige informatie** +### Overige informatie Systeemlogbestanden bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiligingm belangrijke gebeurtenissen voor het monitoren in het kader van informatiebeveiliging te helpen identificeren, kan het gebruik van geschikte systeemhulpmiddelen of auditinstrumenten voor het bevragen van bestanden worden overwogen. @@ -203,4 +189,3 @@ Er kan een hulpmiddel voor het beheer van beveiligingsinformatie en -gebeurtenis Er worden openbaar transparante bestanden gebruikt voor het registreren van logbestanden, bijvoorbeeld in systemen voor de transparantie van certificatenergelijke bestanden kunnen een extra detectiemechanisme bieden dat nuttig is ter bescherming tegen manipulatie van logbestanden. -In cloudomgevingen kunnen de afnemer en de leverancier van de clouddienst de verantwoordelijkheden voor het beheer van logbestanden met elkaar delene verantwoordelijkheden variëren afhankelijk van de soort clouddienst die wordt gebruikterdere richtlijnen zijn te vinden in ISO/IEC 27017. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.16-Monitoren-van-activiteiten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.16-Monitoren-van-activiteiten.md index 69c208a..2334ee7 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.16-Monitoren-van-activiteiten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.16-Monitoren-van-activiteiten.md @@ -25,28 +25,15 @@ tags: status: active --- ## 8.16 Monitoren van activiteiten - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+========================================================+=====================+ -| #Detectief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Detecteren | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Verdediging | -| | | | | | -| #Corrigerend | | #Reageren | | | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden genomen om potentiële informatiebeveiligingsincidenten te evalueren. -**Doel** +### Doel Afwijkend gedrag en potentiële informatiebeveiligingsincidenten detecteren. -**Richtlijn** +### Richtlijn De reikwijdte en het niveau van de monitoring behoren te worden bepaald overeenkomstig de bedrijfs- en informatiebeveiligingseisen en met inachtneming van de relevante wet- en regelgevingr behoren registraties van de monitoring te worden bijgehouden gedurende gedefinieerde bewaartermijnen. @@ -121,7 +108,7 @@ zijn om potentiële incidenten accuraat te interpreterenr behoren redundante sys Abnormale gebeurtenissen behoren aan relevante partijen te worden meegedeeld, zodat de volgende activiteiten kunnen worden verbeterd: auditen, evaluatie van de beveiliging, scannen op kwetsbaarheden en monitoren (zie 5.36). Er behoren procedures te zijn ingevoerd om tijdig te reageren op positieve indicatoren van het monitoringsysteem teneinde het effect van nadelige gebeurtenissen op informatiebeveiliging tot het minimum te beperken (zie 5.26). Er behoren ook procedures te worden vastgesteld om valspositieven te identificeren en aan te pakken, waaronder het afstemmen van de monitoringsoftware om het toekomstige aantal valspositieven te beperken. -**Overige informatie** +### Overige informatie Beveiligingsmonitoring kan worden verbeterd door: @@ -143,4 +130,3 @@ Monitoringactiviteiten worden vaak uitgevoerd met behulp van gespecialiseerde so Op afwijkende communicatie monitoren helpt bij het identificeren van botnets (dzen verzameling apparaten onder de kwaadwillige controle van de botneteigenaar, die meestal wordt gebruikt voor het uitvoeren van gedistribueerde denial-of-serviceaanvallen op andere computers van andere organisaties)ndien de computer door een extern apparaat wordt bestuurd, is er communicatie -tussen het besmette en het besturende apparaate organisatie behoort daarom technologieën in te zetten om afwijkende communicatie te monitoren en zo nodig maatregelen te nemen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.17-Kloksynchronisatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.17-Kloksynchronisatie.md index 88624ef..05b484a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.17-Kloksynchronisatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.17-Kloksynchronisatie.md @@ -22,28 +22,15 @@ tags: status: active --- ## 8.17 Kloksynchronisatie - -+------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+=====================+======================+========================================================+=====================+ -| #Detectief | #Integriteit | #Beschermen | #Beheer_van_infor- matiebeveiligings- gebeurtenissen | #Bescherming | -| | | | | | -| | | #Detecteren | | #Verdediging | -+------------------------+---------------------+----------------------+--------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen. -**Doel** +### Doel De correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk maken en onderzoeken bij informatiebeveiligingsincidenten ondersteunen. -**Richtlijn** +### Richtlijn Externe en interne eisen voor weergave, betrouwbare synchronisatie en nauwkeurigheid van tijd behoren te worden gedocumenteerd en geïmplementeerdulke eisen kunnen voortvloeien uit wet- @@ -55,6 +42,5 @@ De organisatie kan twee externe tijdsbronnen tegelijk gebruiken om de betrouwbaa Klokken kunnen lastig te synchroniseren zijn wanneer meerdere clouddiensten worden gebruikt of wanneer zowel cloud- als op locatie gehoste diensten worden gebruiktn dat geval behoort de klok van elke dienst te worden gecontroleerd en het verschil te worden geregistreerd om risico\'s als gevolg van verschillen te verkleinen. -**Overige informatie** +### Overige informatie -De correcte instelling van computerklokken is belangrijk om de nauwkeurigheid van logbestanden van gebeurtenissen te waarborgenit kan nodig zijn voor onderzoeken of als bewijs in juridische en disciplinaire zakennnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van het bewijs schaden. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.18-Gebruik-van-speciale-systeemhulpmiddelen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.18-Gebruik-van-speciale-systeemhulpmiddelen.md index 41dd876..56aba93 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.18-Gebruik-van-speciale-systeemhulpmiddelen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.18-Gebruik-van-speciale-systeemhulpmiddelen.md @@ -24,26 +24,15 @@ tags: status: active --- ## 8.18 Gebruik van speciale systeemhulpmiddelen - -+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd. -**Doel** +### Doel Bewerkstelligen dat het gebruik van systeemhulpmiddelen geen schade toebrengt aan systeem- en toepassingsbeheersmaatregelen voor informatiebeveiliging. -**Richtlijn** +### Richtlijn Voor het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoren de volgende richtlijnen te worden overwogen: @@ -67,6 +56,5 @@ geautoriseerde wijziging); i) registreren van alle gebruik van systeemhulpmiddelen. -**Overige informatie** +### Overige informatie -De meeste informatiesystemen hebben een of meer systeemhulpmiddelen die systeem- en toepassingsbeheersmaatregelen kunnen omzeilen, bijvoorbeeld diagnose-, patching-, antivirus-, schijfdefragmentatie-, probleemdetectie- en probleemoplossings-, back-up- en netwerkhulpmiddelen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.19-Installeren-van-software-op-operationele-systemen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.19-Installeren-van-software-op-operationele-systemen.md index ac9f85e..0aa0665 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.19-Installeren-van-software-op-operationele-systemen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.19-Installeren-van-software-op-operationele-systemen.md @@ -23,26 +23,15 @@ tags: status: active --- ## 8.19 Installeren van software op operationele systemen - -+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+===================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie #Toepassingsbeveili- ging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren. -**Doel** +### Doel De integriteit van operationele systemen garanderen en voorkomen dat misbruik wordt gemaakt van technische kwetsbaarheden. -**Richtlijn** +### Richtlijn De volgende richtlijnen behoren in overweging te worden genomen om wijzigingen en de installatie van software op operationele systemen op beveiligde wijze te beheren: @@ -74,4 +63,3 @@ De organisatie behoort strikte regels te definiëren en ten uitvoer te brengen m Het beginsel van het 'least privilege' (minste voorrechten) behoort te worden toegepast op de installatie van software op operationele systemene organisatie behoort vast te leggen welke soorten software mogen worden geïnstalleerd (bijvpdates en beveiligingspatches voor bestaande software) en welke verboden zijn (bijvoftware uitsluitend voor persoonlijk gebruik en software waarvan de herkomst met betrekking tot de potentiële kwaadaardigheid onbekend of verdacht is)eze voorrechten behoren te worden verleend op basis van de rollen van de betrokken gebruikers. -**Overige informatie** Geen overige informatie. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.2-Speciale-toegangsrechten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.2-Speciale-toegangsrechten.md index 35fd107..0de393a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.2-Speciale-toegangsrechten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.2-Speciale-toegangsrechten.md @@ -21,29 +21,18 @@ tags: status: active --- ## 8.2 Speciale toegangsrechten - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=====================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd. -**Doel** +### Doel Bewerkstelligen dat alleen bevoegde gebruikers, softwarecomponenten en diensten speciale toegangsrechten krijgen. -**Richtlijn** +### Richtlijn Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een autorisatieprocedure die in overeenstemming is met het relevante onderwerpspecifieke beleid inzake toegangsbeveiliging (zie 5.15)et volgende behoort te worden overwogen: @@ -76,10 +65,9 @@ k) identiteiten met speciale toegangsrechten niet met meerdere personen delen of l) het gebruik van identiteiten met speciale toegangsrechten beperken tot het uitvoeren van beheerfuncties en deze identiteiten niet gebruiken voor de dagelijkse algemene taken [dz-mail bekijken, toegang tot internet (gebruikers behoren voor deze activiteiten een afzonderlijke normale netwerkidentiteit te hebben)]. -**Overige informatie** +### Overige informatie Speciale toegangsrechten zijn toegangsrechten die aan een identiteit, rol of proces worden verleend om activiteiten te kunnen uitvoeren die gewone gebruikers of processen niet kunnen uitvoerenysteembeheerdersrollen vereisen meestal speciale toegangsrechten. Ongepast gebruik van speciale systeembeheerdersrechten (elke functie of faciliteit van een informatiesysteem die de gebruiker in staat stelt systeem- of toepassingsbeheersmaatregelen op te heffen) is een factor die in grote mate bijdraagt aan storingen van of inbreuken op het systeem. -Meer informatie over toegangsbeheer en het beveiligde beheer van de toegang tot informatie en informatie- en communicatietechnologiemiddelen is te vinden in ISO/IEC 29146. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.20-Beveiliging-netwerkcomponenten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.20-Beveiliging-netwerkcomponenten.md index acca3b1..56e3160 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.20-Beveiliging-netwerkcomponenten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.20-Beveiliging-netwerkcomponenten.md @@ -25,31 +25,18 @@ tags: status: active --- ## 8.20 Beveiliging netwerkcomponenten - -+------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=======================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerkbeveili- ging | #Bescherming | -| | | | | | -| #Detectief | | #Detecteren | | | -+------------------------+----------------------------------------------------+----------------------+---------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Netwerken en netwerkapparaten behoren te worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen. -**Doel** +### Doel Informatie in netwerken en de ondersteunende informatieverwerkingsfaciliteiten beschermen tegen compromittering via het netwerk. -**Richtlijn** +### Richtlijn Er behoren beheersmaatregelen te worden geïmplementeerd om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermenn het bijzonder behoort met de volgende aspecten rekening te worden gehouden: @@ -100,6 +87,5 @@ gevirtualiseerde netwerken wenselijk zijn, omdat ze een logische segmentatie mog -**Overige informatie** +### Overige informatie -Aanvullende informatie over netwerkbeveiliging is te vinden in de ISO/IEC 27033-reekseer informatie over gevirtualiseerde netwerken is te vinden in ISO/IEC TS 23167. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.21-Beveiliging-van-netwerkdiensten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.21-Beveiliging-van-netwerkdiensten.md index b84d0b4..bd4dfb3 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.21-Beveiliging-van-netwerkdiensten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.21-Beveiliging-van-netwerkdiensten.md @@ -21,26 +21,15 @@ tags: status: active --- ## 8.21 Beveiliging van netwerkdiensten - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+======================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord. -**Doel** +### Doel De beveiliging bij het gebruik van netwerkdiensten waarborgen. -**Richtlijn** +### Richtlijn De beveiligingsmaatregelen die nodig zijn voor bepaalde diensten, zoals beveiligingskenmerken, dienstverleningsniveaus en -eisen, behoren te worden vastgesteld en geïmplementeerd (door interne of externe aanbieders van netwerkdiensten)e organisatie behoort ervoor te zorgen dat aanbieders van netwerkdiensten deze maatregelen implementeren. @@ -87,8 +76,7 @@ d) procedures voor het gebruik van netwerkdiensten ter beperking van toegang tot of, voor zover noodzakelijk, -toepassingen. -**Overige informatie** +### Overige informatie Tot netwerkdiensten behoren het leveren van aansluitingen, particuliere netwerkdiensten en beheerde netwerkbeveiligingsoplossingen zoals firewalls en inbraakdetectiesystemeneze diensten kunnen variëren van eenvoudige onbeheerde bandbreedte tot en met complexe aanbiedingen met toegevoegde waarde. -Verdere richtlijnen over een kader voor toegangsbeheer worden gegeven in ISO/IEC 29146. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.22-Netwerksegmentatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.22-Netwerksegmentatie.md index 0160e92..9cc8b0e 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.22-Netwerksegmentatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.22-Netwerksegmentatie.md @@ -21,26 +21,15 @@ tags: status: active --- ## 8.22 Netwerksegmentatie - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+======================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Groepen informatiediensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd. -**Doel** +### Doel Het netwerk opsplitsen met beveiligingsgrenzen en het verkeer ertussen op basis van de bedrijfsbehoeften beheersen. -**Richtlijn** +### Richtlijn De organisatie behoort te overwegen de beveiliging van grote netwerken te beheren door ze te verdelen in gesegmenteerde netwerkdomeinen en ze van het openbare netwerk (dznternet) te segmenterene domeinen kunnen worden gekozen op basis van betrouwbaarheids-, kritikaliteits- en gevoeligheidsniveaus (bijvpenbaar toegankelijk domein, bureaubladdomein, serverdomein, systemen met laag of hoog risico), op basis van organisatieafdelingen (bijversoneelszaken, financiën, marketing) of een combinatie ervan (bijververdomein verbonden met meerdere afdelingen van de organisatie)e segmentering kan tot stand worden gebracht door hetzij fysiek verschillende netwerken, hetzij verschillende logische netwerken te gebruiken. @@ -51,6 +40,5 @@ De buitengrenzen van elk domein behoren goed te worden gedefinieerdndien toegang Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde buitengrenzen van het netwerkanpassing van de radiodekking behoort te worden overwogen om draadloze netwerken te segmenterenoor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te segmenteren van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met de netwerkbeheersmaatregelen (zie 8.20), alvorens toegang tot interne systemen wordt verleendraadloze toegangsnetwerken voor gasten behoren te worden gescheiden van die voor personeel, indien personeel alleen beheerste 'endpoint devices' gebruikt die voldoen aan de onderwerpspecifieke beleidsregels van de organisatieoor wifi voor gasten behoren ten minste dezelfde beperkingen te gelden als voor wifi voor personeel; zo wordt het gebruik van wifi voor gasten door het personeel ontmoedigd. -**Overige informatie** +### Overige informatie -Netwerken strekken zich vaak uit tot buiten de muren van de organisatie omdat bedrijfsmatige partnerschappen worden gevormd waarvoor onderlinge verbinding of het delen van informatieverwerkende en netwerkfaciliteiten vereist isoor dergelijke uitbreidingen kan het risico op onbevoegde toegang tot de informatiesystemen van de organisatie die gebruikmaken van het netwerk toenemen, waarbij sommige gevoelige en essentiële informatiesystemen bescherming tegen andere netwerkgebruikers nodig hebben. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.23-Toepassen-van-webfilters.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.23-Toepassen-van-webfilters.md index 73df3f1..148ab16 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.23-Toepassen-van-webfilters.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.23-Toepassen-van-webfilters.md @@ -21,26 +21,15 @@ tags: status: active --- ## 8.23 Toepassen van webfilters - -+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+======================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken. -**Doel** +### Doel Systemen beschermen om te voorkomen dat ze door malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen te voorkomen. -**Richtlijn** +### Richtlijn De organisatie behoort de risico\'s te beperken dat haar personeel toegang krijgt tot websites die illegale informatie bevatten of waarvan bekend is dat ze virussen of phishingmateriaal bevattenen techniek om dit te bereiken is het IP-adres of het domein van de desbetreffende website(s) te @@ -69,6 +58,5 @@ Alvorens deze beheersmaatregel in te zetten, behoort de organisatie regels op te Het personeel behoort training te krijgen over het beveiligde en passende gebruik van online middelen, met inbegrip van toegang tot internete training behoort onder andere in te gaan op de regels van de organisatie, het contactpunt voor het melden van veiligheidskwesties en de uitzonderingsprocedure wanneer toegang tot online middelen waarvoor beperkingen gelden om legitieme zakelijke redenen nodig isr behoort ook training aan het personeel te worden gegeven om te garanderen dat ze browsermeldingen die aangeven dat een website niet veilig is, maar waarbij de gebruiker wel kan doorgaan, niet in de wind slaan. -**Overige informatie** +### Overige informatie -Allerlei technieken kunnen worden gebruikt om webfilters toe te passen, zoals onder andere handtekeningen, heuristiek, een lijst van aanvaardbare websites of domeinen, een lijst van verboden websites of domeinen en configuratie op maat om te helpen voorkomen dat kwaadaardige software en andere kwaadaardige activiteiten het netwerk en de systemen van de organisatie aanvallen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.24-Gebruik-van-cryptografie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.24-Gebruik-van-cryptografie.md index 0ee9611..94cd563 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.24-Gebruik-van-cryptografie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.24-Gebruik-van-cryptografie.md @@ -21,29 +21,18 @@ tags: status: active --- ## 8.24 Gebruik van cryptografie - -+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=========================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd. -**Doel** +### Doel Correct en doeltreffend gebruik bewerkstelligen van cryptografie om de vertrouwelijkheid, authenticiteit of integriteit van informatie overeenkomstig de bedrijfs- en informatiebeveiligingseisen te beschermen en met inachtneming van de eisen van wet- en regelgeving, statutaire en contractuele eisen met betrekking tot cryptografie. -**Richtlijn** +### Richtlijn Algemeen @@ -122,7 +111,7 @@ Alle cryptografische sleutels behoren te worden beschermd tegen aanpassing en ve Naast integriteit behoort voor veel usecases aandacht te worden besteed aan de authenticiteit van openbare sleutels. -**Overige informatie** +### Overige informatie Voor de authenticiteit van openbare sleutels worden er meestal processen voor het beheer van openbare sleutels toegepast die gebruikmaken van certificaatinstanties en openbare- sleutelcertificaten, maar het is ook mogelijk om hiervoor gebruik te maken van technologieën zoals het toepassen van handmatige processen voor een klein aantal sleutels. @@ -145,4 +134,3 @@ d) authenticatie: cryptografische technieken gebruiken ter authenticatie van geb systeementiteiten die toegang vragen tot of die verrichtingen doen met systeemgebruikers, -entiteiten en -bronnen. -De ISO/IEC 11770-reeks geeft verdere informatie over sleutelbeheer. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.25-Beveiligen-tijdens-de-ontwikkelcyclus.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.25-Beveiligen-tijdens-de-ontwikkelcyclus.md index 213b8cd..32866ae 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.25-Beveiligen-tijdens-de-ontwikkelcyclus.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.25-Beveiligen-tijdens-de-ontwikkelcyclus.md @@ -23,26 +23,15 @@ tags: status: active --- ## 8.25 Beveiligen tijdens de ontwikkelcyclus - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast. -**Doel** +### Doel Bewerkstelligen dat informatiebeveiliging binnen de veilige ontwikkelcyclus van software en systemen wordt ontworpen en geïmplementeerd. -**Richtlijn** +### Richtlijn Beveiligd ontwikkelen is een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeemm dit te bereiken behoort met de volgende aspecten rekening te worden gehouden: @@ -81,6 +70,5 @@ toekomstige licentieproblemen te voorkomen (zie 5.32). Indien ontwikkelactiviteiten worden uitbesteed, behoort de organisatie zich ervan te vergewissen dat de leverancier voldoet aan de regels van de organisatie voor veilig ontwikkelen (zie 8.30). -**Overige informatie** +### Overige informatie -Ook binnen toepassingen kan ontwikkeling plaatsvinden, zoals binnen kantoortoepassingen, scripting, browsers en databases. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.26-Toepassingsbeveiligingseisen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.26-Toepassingsbeveiligingseisen.md index 31656ad..1dac449 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.26-Toepassingsbeveiligingseisen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.26-Toepassingsbeveiligingseisen.md @@ -25,28 +25,15 @@ tags: status: active --- ## 8.26 Toepassingsbeveiligingseisen - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -| | | | | | -| | | | | #Verdediging | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoren eisen aan de informatiebeveiliging te worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen. -**Doel** +### Doel Garanderen dat alle informatiebeveiligingseisen zijn geïdentificeerd en meegenomen bij het ontwikkelen of aanschaffen van toepassingen. -**Richtlijn** +### Richtlijn Algemeen @@ -150,7 +137,7 @@ e) als een vertrouwde instantie wordt gebruikt (bijvoor het uitgeven en onderhou Een aantal van de bovengenoemde aspecten kan worden opgepakt door toepassing van cryptografie (zie 8.24), waarbij wettelijke eisen in aanmerking worden genomen (zie 5.31 t/m 5.36, zie in het bijzonder 5.31 voor wetgeving betreffende cryptografie). -**Overige informatie** +### Overige informatie Toepassingen die toegankelijk zijn via netwerken, staan bloot aan een reeks netwerkgerelateerde dreigingen zoals frauduleuze activiteiten, geschillen over contracten of openbaarmaking van informatie; onvolledige verzending, foutieve routering, ongeautoriseerd(e) wijziging, vermenigvuldiging of afspelen van berichtenaarom zijn gedetailleerde risicobeoordelingen en zorgvuldige vaststelling van beheersmaatregelen onmisbaarereiste beheersmaatregelen behelzen vaak cryptografische methoden voor het authenticeren en beveiligen van gegevensoverdracht. @@ -171,15 +158,15 @@ Verdere informatie over de beveiliging van toepassingen is te vinden in de ISO/I | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -**Beheersmaatregel** +### Beheersmaatregel Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen. -**Doel** +### Doel Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus. -**Richtlijn** +### Richtlijn Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen. @@ -237,7 +224,7 @@ De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en sys De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen. -**Overige informatie** +### Overige informatie Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals: @@ -247,4 +234,3 @@ Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepas Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens. -Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist). diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.27-Veilige-systeemarchitectuur-en-technische-uitgangspunten.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.27-Veilige-systeemarchitectuur-en-technische-uitgangspunten.md index 4f6ac72..0a33cea 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.27-Veilige-systeemarchitectuur-en-technische-uitgangspunten.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.27-Veilige-systeemarchitectuur-en-technische-uitgangspunten.md @@ -23,26 +23,15 @@ tags: status: active --- ## 8.27 Veilige systeemarchitectuur en technische uitgangspunten - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen. -**Doel** +### Doel Waarborgen dat informatiesystemen veilig worden ontworpen, geïmplementeerd en beheerd binnen de ontwikkelingslevenscyclus. -**Richtlijn** +### Richtlijn Er behoren uitgangspunten voor het ontwerpen van beveiligde systemen te worden vastgesteld, gedocumenteerd en toegepast voor ontwerpactiviteiten voor informatiesystemen. Bij alle architectuurlagen (bedrijf, gegevens, toepassingen en technologie) behoort beveiliging deel uit te maken van het ontwerp. Nieuwe technologie behoort te worden geanalyseerd op veiligheidsrisico's en het ontwerp behoort te worden beoordeeld aan de hand van bekende aanvalspatronen. @@ -100,7 +89,7 @@ De vastgestelde uitgangspunten voor het ontwerpen van beveiligde systemen en sys De uitgangspunten voor het ontwerpen van beveiligde systemen en de vastgestelde ontwerpprocedures behoren regelmatig te worden beoordeeld om te waarborgen dat ze doelmatig bijdragen aan verbeterde normen voor beveiliging binnen het ontwerpprocese behoren ook regelmatig te worden beoordeeld om ervoor te zorgen dat ze actueel blijven in de zin dat ze nieuwe potentiële dreigingen afwenden en toepasbaar blijven bij verbeteringen die worden toegepast in de technologieën en oplossingen. -**Overige informatie** +### Overige informatie Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepast op het ontwerp of de configuratie van allerlei technieken, zoals: @@ -110,4 +99,3 @@ Uitgangspunten voor het ontwerpen van beveiligde systemen kunnen worden toegepas Er kunnen technieken voor beveiligde virtualisatie worden gebruikt om interferentie te voorkomen tussen toepassingen die op hetzelfde fysieke apparaat draaienls een virtuele instantie van een toepassing door een aanvaller wordt gecompromitteerd, wordt alleen die instantie getroffene aanval heeft geen effect op andere toepassingen of gegevens. -Technieken voor weerstand tegen manipulatie kunnen worden gebruikt om manipulatie van informatiecontainers te detecteren, hetzij fysiek (bijven inbraakalarm), hetzij logisch (bijven gegevensbestand)en kenmerk van dergelijke technieken is dat de poging om de container te manipuleren, wordt geregistreerdovendien kan de beheersmaatregel voorkomen dat gegevens met succes worden geëxtraheerd door ze te vernietigen (het geheugen van het apparaat kan bijvoorbeeld worden gewist). diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.28-Veilig-coderen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.28-Veilig-coderen.md index e8595c1..bf3bd42 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.28-Veilig-coderen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.28-Veilig-coderen.md @@ -23,26 +23,15 @@ tags: status: active --- ## 8.28 Veilig coderen - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling. -**Doel** +### Doel Waarborgen dat veilige software wordt geschreven waardoor het aantal potentiële informatiebeveiligingskwetsbaarheden in de software wordt beperkt. -**Richtlijn** +### Richtlijn Algemeen @@ -130,7 +119,7 @@ d) de impact als de organisatie verantwoordelijk wordt gehouden voor het toekoms e) compatibiliteit met andere software die in gebruik is. -**Overige informatie** +### Overige informatie Een leidend principe is bewerkstelligen dat beveiligingsrelevante code wordt aangeroepen wanneer dat nodig is en deze bestand is tegen manipulatierogramma\'s die worden geïnstalleerd op basis van gecompileerde binaire code hebben deze eigenschappen ook, maar alleen voor gegevens die binnen de toepassing worden bewaardoor geïnterpreteerde talen werkt het concept alleen wanneer de code wordt uitgevoerd op een server waartoe de gebruikers en de processen die er gebruik van maken verder geen toegang hebben en de gegevens ervan in een op vergelijkbare wijze beschermde database worden bewaarde geïnterpreteerde code kan bijvoorbeeld worden uitgevoerd op een clouddienst waar beheerdersrechten vereist zijn voor toegang tot de code op zichergelijke toegang door een beheerder behoort te worden beschermd door beveiligingsmechanismen zoals just-in- timebeheerprincipes en krachtige authenticatiendien de eigenaar van een toepassing op afstand via de server toegang kan maken tot scripts, kan een aanvaller dat in principe ookebservers behoren dusdanig te worden geconfigureerd dat het doorzoeken van directory\'s in dergelijke gevallen niet mogelijk is. @@ -138,4 +127,3 @@ Het is het beste om er bij het ontwerpen van een toepassingscode vanuit te gaan Bepaalde internettoepassingen zijn gevoelig voor allerlei kwetsbaarheden die worden veroorzaakt door slecht ontwerp en slecht coderen, zoals injectieaanvallen op databases en 'cross-site scripting'- aanvallenij deze aanvallen kunnen verzoeken worden gemanipuleerd om misbruik te maken van de webserverfunctionaliteit. -Meer informatie over het evalueren van ICT-beveiliging is te vinden in de ISO/IEC 15408-reeks. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.29-Testen-van-de-beveiliging-tijdens-ontwikkeling-en-acceptatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.29-Testen-van-de-beveiliging-tijdens-ontwikkeling-en-acceptatie.md index e1249f9..d036108 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.29-Testen-van-de-beveiliging-tijdens-ontwikkeling-en-acceptatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.29-Testen-van-de-beveiliging-tijdens-ontwikkeling-en-acceptatie.md @@ -24,26 +24,15 @@ tags: status: active --- ## 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie - -+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=====================================================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Toepassingsbeveili- ging #Borging_van_infor- matiebeveiliging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-----------------------------------------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus. -**Doel** +### Doel Valideren of aan de informatiebeveiligingseisen wordt voldaan wanneer toepassingen of code in de productieomgeving worden uitgerold. -**Richtlijn** +### Richtlijn Nieuwe informatiesystemen, upgrades en nieuwe versies behoren tijdens de ontwikkelingsprocessen grondig te worden getest en geverifieerdet testen van de beveiliging behoort een integraal onderdeel te zijn van het testen voor systemen of componenten. @@ -79,8 +68,7 @@ Voor uitbestede ontwikkeling en het inkopen van componenten behoort een verwervi Tests behoren te worden uitgevoerd in een testomgeving die zo nauwkeurig mogelijk overeenkomt met de doelproductieomgeving om te bewerkstelligen dat het systeem geen kwetsbaarheden introduceert in de omgeving van de organisatie en dat de tests betrouwbaar zijn (zie 8.31). -**Overige informatie** +### Overige informatie Er kunnen meer testomgevingen worden opgezet die gebruikt kunnen worden voor verschillende soorten tests (bijvunctionele en prestatietests)eze verschillende omgevingen kunnen virtueel zijn, met individuele configuraties om allerlei verschillende bedrijfsomgevingen te simuleren. -Het testen en monitoren van testomgevingen, -instrumenten en -technologieën behoort ook te worden overwogen om doeltreffend testen te bewerkstelligenezelfde overwegingen gelden voor het monitoren van de monitoringsystemen die worden ingezet in ontwikkel-, test- en productieomgevingenan de hand van de gevoeligheid van de systemen en gegevens behoort te worden beoordeeld hoeveel lagen metatests zinvol zijn. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.3-Beperking-toegang-tot-informatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.3-Beperking-toegang-tot-informatie.md index e5b3ad7..df47b1b 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.3-Beperking-toegang-tot-informatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.3-Beperking-toegang-tot-informatie.md @@ -21,26 +21,15 @@ tags: status: active --- ## 8.3 Beperking toegang tot informatie - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=====================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging. -**Doel** +### Doel Uitsluitend bevoegde toegang bewerkstelligen en onbevoegde toegang tot informatie en andere gerelateerde bedrijfsmiddelen voorkomen. -**Richtlijn** +### Richtlijn De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoort te worden beperkt overeenkomstig de vastgestelde onderwerpspecifieke beleidsregelse volgende aspecten behoren in aanmerking te worden genomen om de eisen voor toegangsbeperking te ondersteunen: @@ -120,7 +109,7 @@ waargenomen. -**Overige informatie** +### Overige informatie Indien traditionele toegangscontroles niet kunnen worden afgedwongen, kunnen technieken voor het beheer van dynamische toegang en andere technieken voor dynamische informatiebeveiliging de bescherming van informatie ondersteunen, zelfs wanneer gegevens buiten de organisatie van herkomst worden gedeeldit kan worden toegepast op documenten, e-mails of andere bestanden @@ -128,4 +117,3 @@ met informatie, om te beperken wie er toegang kan krijgen tot de inhoud en hoe m Technieken voor het beheer van dynamische toegang zijn geen vervangers van klassiek toegangsbeheer \[bijv. het gebruik van lijsten voor toegangsbeheer (ACL's)\], maar ze kunnen meer factoren toevoegen voor conditionaliteit, realtime-evaluatie, just-in-timedatabeperking en andere verbeteringen die nuttig kunnen zijn voor de meest gevoelige informatieit biedt een manier om toegang buiten de omgeving van de organisatie te beveiligenncidentrespons kan worden ondersteund door technieken voor het beheer van dynamische toegang aangezien rechten te allen tijde kunnen worden gewijzigd of ingetrokken. -Aanvullende informatie over een kader voor toegangsbeheer wordt gegeven in ISO/IEC 29146. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.30-Uitbestede-systeemontwikkeling.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.30-Uitbestede-systeemontwikkeling.md index 78dc6cb..7bf8865 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.30-Uitbestede-systeemontwikkeling.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.30-Uitbestede-systeemontwikkeling.md @@ -31,31 +31,18 @@ tags: status: active --- ## 8.30 Uitbestede systeemontwikkeling - -+------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+==========================================+=====================================================================================================+============================================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen #Detecteren | #Systeem-\_en_netwerk- beveiliging #Toepassingsbeveiliging #Beveiliging_in_leveran- ciersrelaties | #Governance_en\_ Ecosysteem #Bescherming | -| | | | | | -| #Detectief | | | | | -+------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+ - -**Beheersmaatregel** +### Beheersmaatregel De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen. -**Doel** +### Doel Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen bij uitbestede systeemontwikkeling worden geïmplementeerd. -**Richtlijn** +### Richtlijn Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen: @@ -81,6 +68,5 @@ j) beveiligingseisen voor de ontwikkelomgeving (zie 8.31); k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens). -**Overige informatie** +### Overige informatie -Verdere informatie over leveranciersrelaties is te vinden in de ISO/IEC 27036-reeks. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.31-Scheiding-van-ontwikkel-test-en-productieomgevingen.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.31-Scheiding-van-ontwikkel-test-en-productieomgevingen.md index abe3c45..ea88ba0 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.31-Scheiding-van-ontwikkel-test-en-productieomgevingen.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.31-Scheiding-van-ontwikkel-test-en-productieomgevingen.md @@ -23,29 +23,18 @@ tags: status: active --- ## 8.31 Scheiding van ontwikkel-, test- en productieomgevingen - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd. -**Doel** +### Doel De productieomgeving en de gegevens beschermen tegen compromittering door ontwikkel- en testactiviteiten. -**Richtlijn** +### Richtlijn Het scheidingsniveau tussen productie-, test- en ontwikkelomgevingen dat nodig is om operationele problemen te voorkomen, behoort te worden geïdentificeerd en geïmplementeerd. @@ -93,7 +82,7 @@ f) back-ups maken van de omgevingen. Het behoort niet mogelijk te zijn dat één persoon zonder voorafgaande beoordeling en goedkeuring veranderingen aan zowel de ontwikkeling als de productie kan doorvoerenit kan bijvoorbeeld worden bereikt door toegangsrechten te scheiden of door middel van regels die worden gemonitordn uitzonderingssituaties behoren aanvullende maatregelen zoals het bijhouden van gedetailleerde logbestanden en realtimemonitoring te worden geïmplementeerd om veranderingen door onbevoegden te detecteren en er actie op te ondernemen. -**Overige informatie** +### Overige informatie Zonder afdoende maatregelen en procedures kunnen ontwikkelaars en testers die toegang hebben tot productiesystemen, aanmerkelijke risico\'s introduceren (bijvngewenste wijziging van bestanden of de systeemomgeving, systeemstoringen, niet-goedgekeurde en niet-geteste code in productiesystemen uitvoeren, openbaarmaking van vertrouwelijke gegevens, en problemen met de integriteit en beschikbaarheid van gegevens)et is nodig een bekende en stabiele omgeving te onderhouden voor @@ -110,4 +99,3 @@ In bepaalde gevallen kan het onderscheid tussen ontwikkel-, test- en productieom Er zijn ondersteunende processen nodig voor het gebruik van productiegegevens in ontwikkel- en testomgevingen (zie 8.33). -Organisaties kunnen ook de hier gegeven richtlijnen voor trainingsomgevingen bij het trainen van eindgebruikers in aanmerking nemen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.32-Wijzigingsbeheer.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.32-Wijzigingsbeheer.md index d28bb0a..c288cd5 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.32-Wijzigingsbeheer.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.32-Wijzigingsbeheer.md @@ -23,26 +23,15 @@ tags: status: active --- ## 8.32 Wijzigingsbeheer - -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-\_en_net- werkbeveiliging | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Wijzigingen in informatieverwerkingsfaciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer. -**Doel** +### Doel De informatiebeveiliging behouden tijdens het uitvoeren van wijzigingen. -**Richtlijn** +### Richtlijn Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen behoren volgens overeengekomen regels en een formeel proces van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie te worden geïntroduceerderantwoordelijkheden en procedures voor beheer behoren te worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen. @@ -81,7 +70,7 @@ i) bewerkstelligen dat de plannen voor ICT-continuïteit en de respons- en herst 5) worden gewijzigd naarmate nodig is om passend te blijven. -**Overige informatie** +### Overige informatie Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten en informatiesystemen is een algemene oorzaak van systeem- of beveiligingsfouteneranderingen aan de productieomgeving, in het bijzonder als software wordt gemuteerd van de ontwikkelings- naar de uitvoeringsomgeving, kunnen van invloed zijn op de integriteit en beschikbaarheid van toepassingen. @@ -89,4 +78,3 @@ Het wijzigen van software kan van invloed zijn op de productieomgeving en vice v Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8.31). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates. -De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.33-Testgegevens.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.33-Testgegevens.md index 7215d06..da180c9 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.33-Testgegevens.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.33-Testgegevens.md @@ -20,28 +20,15 @@ tags: status: active --- ## 8.33 Testgegevens - -+------------------------+----------------------+----------------------+--------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+======================+======================+==========================+=====================+ -| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming | -| | | | | | -| | #Integriteit | | | | -+------------------------+----------------------+----------------------+--------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd. -**Doel** +### Doel De relevantie van het testen en de bescherming van operationele gegevens die voor het testen worden gebruikt, waarborgen. -**Richtlijn** +### Richtlijn Testgegevens behoren dusdanig te worden geselecteerd dat de betrouwbaarheid van testresultaten en de vertrouwelijkheid van de relevante operationele gegevens gegarandeerd wordenr behoren geen gevoelige gegevens (met inbegrip van persoonsgegevens) in de ontwikkel- en testomgevingen te worden gekopieerd (zie 8.31). @@ -59,6 +46,5 @@ e) operationele gegevens naar behoren uit een testomgeving wissen (zie 8.10) onm Testgegevens behoren veilig te worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden te worden gebruikt. -**Overige informatie** +### Overige informatie -Systeem- en acceptatietests kunnen substantiële hoeveelheden testgegevens vereisen die een zo getrouw mogelijke weergave zijn van operationele gegevens. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.34-Bescherming-van-informatiesystemen-tijdens-audits.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.34-Bescherming-van-informatiesystemen-tijdens-audits.md index 174b628..2342563 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.34-Bescherming-van-informatiesystemen-tijdens-audits.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.34-Bescherming-van-informatiesystemen-tijdens-audits.md @@ -25,26 +25,15 @@ tags: status: active --- ## 8.34 Bescherming van informatiesystemen tijdens audits - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------+--------------------------------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=============================================================+============================================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-\_en_netwerk- beveiliging #Informatiebescherming | #Governance_en\_ Ecosysteem #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------+--------------------------------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Audits en andere borgingsactiviteiten waarbij operationele systemen worden beoordeeld behoren te worden gepland en overeengekomen tussen de tester en het verantwoordelijke management. -**Doel** +### Doel De impact van audit- en andere borgingsactiviteiten op operationele systemen en bedrijfsprocessen tot een minimum beperken. -**Richtlijn** +### Richtlijn De volgende richtlijnen behoren te worden overwogen: @@ -64,7 +53,7 @@ g) audits die de beschikbaarheid van systemen kunnen beïnvloeden, buiten werkur h) alle toegang voor audit- en testdoeleinden monitoren en in logbestanden registreren. -**Overige informatie** +### Overige informatie Audits en andere borgingsactiviteiten kunnen ook plaatsvinden op ontwikkel- en testsystemen, waarbij deze tests bijvoorbeeld gevolgen kunnen hebben voor de integriteit van code of ertoe kunnen leiden dat in die omgevingen bewaarde gevoelige informatie openbaar wordt gemaakt. @@ -1522,4 +1511,3 @@ Kies voor slimmer werken en bekijk onze mogelijkheden op [wwwnconnect]{derline}. Onze Klantenservice is bereikbaar maandag tot en met vrijdag, van 8 uur tot 17 uur. -Telefoon: 015 2 690 391 E-mail: [klantenservice@nen]{derline} diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.4-Toegangsbeveiliging-op-broncode.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.4-Toegangsbeveiliging-op-broncode.md index fb5d354..3d14f51 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.4-Toegangsbeveiliging-op-broncode.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.4-Toegangsbeveiliging-op-broncode.md @@ -24,26 +24,15 @@ tags: status: active --- ## 8.4 Toegangsbeveiliging op broncode - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=====================================================================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer #Toepassingsbeveili- ging #Veilige_configuratie | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoort op passende wijze te worden beheerd. -**Doel** +### Doel Voorkomen dat er ongeoorloofde functionaliteit wordt geïntroduceerd, vermijden dat onbedoelde of kwaadwillige wijzigingen plaatsvinden en de vertrouwelijkheid behouden van waardevol intellectueel eigendom. -**Richtlijn** +### Richtlijn Toegang tot broncode en gerelateerde zaken (zoals ontwerpen, specificaties, verificatieplannen en validatieplannen) en ontwikkelinstrumenten (bijvompilers, builders, integratie-instrumenten, testplatformen en -omgevingen) behoort streng te worden beheerst. @@ -80,6 +69,5 @@ f) een auditlogbestand bijhouden van alle toegangsinstanties en van alle wijzigi Indien het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die de integriteit ervan waarborgen (bijven digitale handtekening), te worden overwogen. -**Overige informatie** +### Overige informatie -Indien de toegang tot broncode niet naar behoren wordt beveiligd, kunnen onbevoegden broncode aanpassen of bepaalde gegevens in de ontwikkelomgeving (bijvopieën van productiegegevens, configuratiedetails) opvragen. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.5-Beveiligde-authenticatie.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.5-Beveiligde-authenticatie.md index decb82f..3d1aa3a 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.5-Beveiligde-authenticatie.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.5-Beveiligde-authenticatie.md @@ -21,29 +21,18 @@ tags: status: active --- ## 8.5 Beveiligde authenticatie - -+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=====================================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- \_en_toegangsbeheer | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoren beveiligde authenticatietechnologieën en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke of aanvullende beleid inzake toegangsbeveiliging. -**Doel** +### Doel Bewerkstelligen dat een gebruiker of een entiteit veilig wordt geauthenticeerd wanneer toegang tot systemen, toepassingen en diensten wordt verleend. -**Richtlijn** +### Richtlijn Om de geclaimde identiteit van een gebruiker, software, berichten en andere entiteiten te bewijzen behoort een passende authenticatietechniek te worden gekozen. @@ -98,6 +87,5 @@ l) de verbindingsduur beperken om extra beveiliging te bieden voor toepassingen en de mogelijkheden voor onbevoegde toegang te verkleinen. -**Overige informatie** +### Overige informatie -Aanvullende informatie over de borging van de authenticatie van entiteiten is te vinden in ISO/IEC 29115. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.6-Capaciteitsbeheer.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.6-Capaciteitsbeheer.md index 7d9b6d4..fe2b979 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.6-Capaciteitsbeheer.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.6-Capaciteitsbeheer.md @@ -27,28 +27,15 @@ tags: status: active --- ## 8.6 Capaciteitsbeheer - -+------------------------+---------------------+------------------------------------------+--------------------+--------------------------------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+=====================+==========================================+====================+============================================+ -| #Preventief | #Integriteit | #Identificeren #Beschermen #Detecteren | #Continuïteit | #Governance_en\_ Ecosysteem #Bescherming | -| | | | | | -| #Detectief | #Beschikbaarheid | | | | -+------------------------+---------------------+------------------------------------------+--------------------+--------------------------------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Het gebruik van middelen behoort te worden gemonitord en afgestemd overeenkomstig de huidige en verwachte capaciteitseisen. -**Doel** +### Doel De vereiste capaciteit van informatieverwerkende faciliteiten, personeel, kantoren en andere faciliteiten waarborgen. -**Richtlijn** +### Richtlijn Capaciteitseisen voor informatieverwerkende faciliteiten, personeel, kantoren en andere faciliteiten behoren te worden gedefinieerd, rekening houdend met het belang van de betrokken systemen en processen voor de organisatie. @@ -97,6 +84,5 @@ overwegend belang zijn (bijvideostreaming). Voor systemen die belangrijk zijn voor de missie, behoort voor de capaciteit een gedocumenteerd beheersplan te worden overwogen. -**Overige informatie** +### Overige informatie -Meer informatie over de elasticiteit en schaalbaarheid van cloudcomputing is te vinden in ISO/IEC TS 23167. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.7-Bescherming-tegen-malware.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.7-Bescherming-tegen-malware.md index 08425e8..eef4149 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.7-Bescherming-tegen-malware.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.7-Bescherming-tegen-malware.md @@ -30,28 +30,15 @@ tags: status: active --- ## 8.7 Bescherming tegen malware - -+---------------------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+=======================================+====================================================+======================+================================================================+=====================+ -| #Preventief #Detectief #Corrigerend | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem- \_en_netwerk- beveiliging #Informatiebe- scherming | #Bescherming | -| | | | | | -| | | #Detecteren | | #Verdediging | -+---------------------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Bescherming tegen malware behoort te worden geïmplementeerd en ondersteund door een passend gebruikersbewustzijn -**Doel** +### Doel Waarborgen dat informatie en andere gerelateerde bedrijfsmiddelen beschermd zijn tegen malware. -**Richtlijn** +### Richtlijn Bescherming tegen malware behoort te zijn gebaseerd op software die malware detecteert en op herstelsoftware, bewustwording ten aanzien van informatiebeveiliging, passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheeret gebruik van software voor het detecteren en herstellen van malware op zich is meestal niet afdoendee volgende richtlijnen behoren te worden overwogen: @@ -102,6 +89,5 @@ n) procedures toepassen om regelmatig informatie over nieuwe malware te verzamel o) verifiëren dat informatie met betrekking tot malware, zoals waarschuwingsbulletins, afkomstig is van gekwalificeerde en gerenommeerde bronnen (bijvetrouwbare internetsites of leveranciers van malwaredetectiesoftware), juist is en informatie biedt. -**Overige informatie** +### Overige informatie -Het is niet altijd mogelijk om op bepaalde systemen (bijv. bepaalde industriële besturingssystemen) software te installeren die tegen malware beschermt. Bepaalde vormen van malware infecteren computerbesturingssystemen en computerfirmware dusdanig dat gewone malwarebeheersmaatregelen het systeem niet kunnen opschonen en het nodig is de software voor het besturingssysteem en soms de computerfirmware vanaf een imagebestand volledig te herstellen om weer een veilige situatie te bereiken. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.8-Beheer-van-technische-kwetsbaarheden.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.8-Beheer-van-technische-kwetsbaarheden.md index b61d310..a59dfd3 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.8-Beheer-van-technische-kwetsbaarheden.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.8-Beheer-van-technische-kwetsbaarheden.md @@ -26,30 +26,15 @@ tags: status: active --- ## 8.8 Beheer van technische kwetsbaarheden - -+------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligingsdomeinen** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+================================================+=============================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beheer_van\_ dreigingen_en\_ kwetsbaarheden | #Governance_en_Ecosysteem | -| | | | | | -| | | #Beschermen | | #Bescherming | -| | | | | | -| | | | | #Verdediging | -+------------------------+----------------------------------------------------+----------------------+------------------------------------------------+-----------------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behorende passende maatregelen te worden getroffen. -**Doel** +### Doel Misbruik van technische kwetsbaarheden voorkomen. -**Richtlijn** +### Richtlijn Technische kwetsbaarheden identificeren @@ -162,7 +147,7 @@ Indien de organisatie gebruikmaakt van een door een derde aanbieder van clouddie omvatten voor het melden van maatregelen van de aanbieder van de clouddiensten met betrekking tot technische kwetsbaarheden (zie 5.23). Voor bepaalde clouddiensten zijn er verantwoordelijkheden respectievelijk voor de aanbieder van de clouddienst en voor de afnemer van de clouddiensto is de afnemer van de clouddienst bijvoorbeeld verantwoordelijk voor het beheer van kwetsbaarheden van de eigen bedrijfsmiddelen die voor de clouddiensten worden gebruikt. -**Overige informatie** +### Overige informatie Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 8.32). @@ -185,4 +170,3 @@ Meer informatie over het beheer van technische kwetsbaarheden bij het gebruik va -ISO/IEC 29147 geeft gedetailleerde informatie over het ontvangen van meldingen van kwetsbaarheden en het publiceren van adviezen met betrekking tot kwetsbaarhedenSO/IEC 30111 geeft gedetailleerde informatie over het omgaan met en oplossen van gemelde kwetsbaarheden. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.9-Configuratiebeheer.md b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.9-Configuratiebeheer.md index 24aebf9..e73cd97 100644 --- a/Corpus/Standards/ISO27x/OST/27002/NL/a-8.9-Configuratiebeheer.md +++ b/Corpus/Standards/ISO27x/OST/27002/NL/a-8.9-Configuratiebeheer.md @@ -21,26 +21,15 @@ tags: status: active --- ## 8.9 Configuratiebeheer - -+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+ -| **Type** | **Informatie-** | **Cybersecurity-** | **Operationele** | **Beveiligings-** | -| | | | | | -| **beheersmaatregel** | **beveiligings-** | **concepten** | **capaciteiten** | **domeinen** | -| | | | | | -| | **eigenschappen** | | | | -+========================+====================================================+======================+=========================+=====================+ -| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige_configuratie | #Bescherming | -+------------------------+----------------------------------------------------+----------------------+-------------------------+---------------------+ - -**Beheersmaatregel** +### Beheersmaatregel Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld. -**Doel** +### Doel Garanderen dat hardware, software, diensten en netwerken correct met de vereiste beveiligingsinstellingen functioneren en de configuratie niet door ongeautoriseerde of onjuiste wijzigingen wordt gewijzigd. -**Richtlijn** +### Richtlijn Algemeen @@ -116,7 +105,7 @@ door middel van het automatisch afdwingen van de gedefinieerde doelconfiguratie -**Overige informatie** +### Overige informatie In documentatie voor systemen worden vaak details vastgelegd over de configuratie van zowel hardware als software. @@ -126,4 +115,3 @@ Configuratiebeheer kan worden geïntegreerd met processen voor het beheer van be Automatisering is meestal doeltreffender voor het beheren van de beveiligingsconfiguratie (bijvoor gebruik te maken van infrastructuur als code). -Configuratiesjablonen en -doelen kunnen vertrouwelijke informatie zijn en behoren dienovereenkomstig te worden beschermd tegen toegang door onbevoegden. diff --git a/Corpus/Standards/ISO27x/OST/27002/NL/remove_tables.py b/Corpus/Standards/ISO27x/OST/27002/NL/remove_tables.py new file mode 100644 index 0000000..e70dce4 --- /dev/null +++ b/Corpus/Standards/ISO27x/OST/27002/NL/remove_tables.py @@ -0,0 +1,32 @@ +#!/usr/bin/env python3 +import os +import re + +directory = '/Users/rico/src/iso27diy-corp/Corpus/Standards/ISO27x/OST/27002/NL/' + +for filename in os.listdir(directory): + if filename.endswith('.md') and filename.startswith('a-') and not filename.startswith('a-3') and not filename.startswith('a-4'): + filepath = os.path.join(directory, filename) + with open(filepath, 'r') as f: + lines = f.readlines() + + new_lines = [] + skip = False + for line in lines: + stripped = line.strip() + if stripped.startswith('## '): + new_lines.append(line) + skip = True # Start skipping table lines + elif skip: + if stripped.startswith('|') or stripped.startswith('+') or stripped == '': + continue # Skip table and blank lines + else: + skip = False + new_lines.append(line) # First content line + else: + new_lines.append(line) + + with open(filepath, 'w') as f: + f.writelines(new_lines) + +print("Legacy property tables removed from NL files.") \ No newline at end of file