Verplichte overheidsspecifieke maatregelen en richtlijnen¶
BIO2 in ontwikkeling
Dit is de door de werkgroep-BIO en het kern-IBO goedgekeurde versie van de BIO2. De teksten zijn representatief voor de definitieve versie, de definitieve versie kan nog veranderen als gevolg van opmaak en redactie. Deze versie zal worden ingebracht in het Overheidsbrede overleg OBDO.
Info
Het gebruik van delen van de NEN-EN-ISO/IEC normen 27001 en 27002 in de BIO is auteursrechtelijk beschermd. Het gebruik van teksten uit deze normen in de BIO geschiedt met toestemming van het Nederlands Normalisatie Instituut. Voor meer informatie zie de website van NEN
De opbouw van dit document is als volgt: - Titel - Beheersmaatregel uit de ISO 27002 - Verplichte overheidsspecifieke maatregelen, achtereenvolgens: - “maatregelnummer” “maatregeltekst” - “draagt bij aan” - Achtergrond wijziging (# nummers verwijzen naar BIO2 issues)
- Sommige commentaargevers hebben buiten Github commentaar gegeven
Beheersmaatregel 5.01 Beleidsregels voor informatiebeveiliging¶
Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels behoren te worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, te worden beoordeeld.
Verplichte overheidsspecifieke maatregelen¶
5.01.01 Verantwoordelijkheden en samenhang voor informatiebeveiliging, de beveiliging van operationele technologie en de verantwoordelijkheden met betrekking tot de continuïteit van de taakuitvoering van organisatie (BCM) zijn beschreven en vastgesteld.¶
De toewijzing van verantwoordelijkheid voor ketens van informatiesystemen aan lijnmanagers. De organisatie heeft een informatiebeveiligingsbeleid opgesteld. Dit beleid is vastgesteld door de leiding van de organisatie en bevat ten minste de volgende punten:
- De strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid.
- De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden.
- De toewijzing van de verantwoordelijkheden en samenhang van informatiebeveiliging voor ketens van informatiesystemen, de beveiliging van operationele technologie, privacy en de verantwoordelijkheden met betrekking tot de continuïteit van de taakuitvoering van organisatie (BCM) aan lijnmanagers.
- De gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van toepassing zijn.
- De frequentie waarmee het informatiebeveiligingsbeleid wordt geÎvalueerd.
- De bevordering van het beveiligingsbewustzijn.
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
10 privacy bij opsomming opnemen. Rijksoverheid > BCM?¶
Toegevoegd verantwoordelijkheden OT, BCM (beide NIS2 aandachtspunten) overheidsspecifiek laten. Nadruk op governance. Het beleid is de opstap om te komen tot een goede definitie van de scope voor het management systeem. Maatregel aangepast als gevolg van NIS2
5.01.02 Het informatiebeveiligingsbeleid wordt minimaal jaarlijks en in aansluiting bij de (bestaande) bestuurs- en Planning & Control (P&C)-cycli en externe ontwikkelingen beoordeeld en zo nodig bijgesteld.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
49 Voeg "minimaal" toe aan jaarlijks Rijksoverheid: dit is te vaak. Rijksoverheid: beoordelen wil toch niet zeggen herschrijven?¶
Aangescherpt naar jaarlijks actualiseren zodat het beleid blijft passen bij de ontwikkelingen (rond dreigingen). In de 27002 teveel ruimte vanwege het begrip: "geplande tussenpozen". In lijn met NEN 7510. Maatregel aangepast als gevolg van NIS2
Beheersmaatregel 5.02 Rollen en verantwoordelijkheden bij informatiebeveiliging¶
Rollen en verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie.
Verplichte overheidsspecifieke maatregelen¶
5.02.01 De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging (ook voor OT, BCM en privacy) binnen haar organisatie, met specifieke aandacht voor de verantwoordelijkheden en rollen voor het adequaat afhandelen van incidenten. Lijnmanagers en proceseigenaren die verantwoordelijk zijn voor bedrijfsmiddelen zijn ook verantwoordelijk voor de behandeling van risico's die op die bedrijfsmiddelen van toepassing zijn.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Aangepast, Aangescherpt naar rollen en verantwoordelijkheden die ook belangrijk zijn voor respons op incidenten en in het kader van BCM en OT. Maatregel aangepast als gevolg van NIS2
5.02.02 Er is een CISO aangesteld die bevoegd is om onafhankelijk en zelfstandig te adviseren en te rapporteren aan het bestuur en of het controlerend orgaan ten aanzien van het onderwerp informatiebeveiliging.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
99 tekst aangepast¶
De positie van de CISO is vaak niet goed, de CISO kan vaak niet onafhankelijk rapporteren en het bestuur informeren over informatiebeveiligingsrisico's. Maatregel aangepast als gevolg van NIS2
Beheersmaatregel 5.03 Functiescheiding¶
Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.
Verplichte overheidsspecifieke maatregelen¶
5.03.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk maatregel vervallen, de implementatieaanwijzing van de ISO 27002 biedt voldoende houvast. Maatregel aangepast als gevolg van NIS2.
Beheersmaatregel 5.04 Managementverantwoordelijkheden¶
Het management behoort van al het personeel te eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie.
Verplichte overheidsspecifieke maatregelen¶
5.04.01 Bestuur en werknemers moeten regelmatig, scholing volgen om cyberbeveiligingsrisico's te herkennen en te voorkomen dan wel te weten wat men moet doen als er een cyberincident is.¶
Daarbij dienen bestuurders te kunnen aantonen dat zij voldoende kennis en vaardigheden hebben om de gevolgen van cyberbeveiligingsrisico's te beoordelen op de diensten en/of producten die de organisatie levert.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
50 laten vervallen, want het is aparte wetgeving die al voor iedereen geldt, onnodig daar een maatregel van te maken. 27002 5.4 toepassen Rijksoverheid: verplaats de maatregelen van 5.10 naar 5.4. 5.4 gaat over opleiden, trainen en bewustwording¶
5.04.02 De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel en vrijwilligers in het contract vastgelegd overeenkomstig de huisregels of interne gedragsregels.¶
Draagt bij aan:
verwerkte opmerkingen: afkomstig van 5.10.2
5.04.03 Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van bedrijfsmiddelen.¶
Draagt bij aan:
verwerkte opmerkingen: afkomstig van 5.10.3
Beheersmaatregel 5.05 Contact met overheidsinstanties¶
De organisatie behoort contact met de relevante instanties te leggen en te onderhouden.
Verplichte overheidsspecifieke maatregelen¶
5.05.01 De organisatie heeft uitgewerkt welke functionarissen met welke (overheids)instanties en toezichthouders formele contacten hebben ten aanzien van informatiebeveiliging. Dit overzicht wordt ten minste jaarlijks geactualiseerd.¶
Draagt bij aan: Ketenhygiëne
verwerkte opmerkingen: CIO rijk: graag anders formuleren Twee oorspronkelijke maatregelen samengevoegd tot 1 maatregel.
Beheersmaatregel 5.06 Contact met speciale belangengroepen¶
De organisatie behoort contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen te leggen en te onderhouden.
Verplichte overheidsspecifieke maatregelen¶
5.06.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.07 Informatie en analyses over dreigingen¶
Informatie met betrekking tot informatiebeveiligingsdreigingen behoort te worden verzameld en geanalyseerd om informatie en analyses over dreigingen te produceren.
Verplichte overheidsspecifieke maatregelen¶
5.07.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.08 Informatiebeveiliging in projectmanagement¶
Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.
Verplichte overheidsspecifieke maatregelen¶
5.08.01 Bij nieuwe informatiesystemen en bij significante wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging op basis van de door de organisatie vastgestelde risicomanagementmethodiek worden uitgevoerd om risicoís te identificeren en in voldoende mate te beheersen en ook voor het vaststellen van de beveiligingseisen.¶
Draagt bij aan: Ketenhygiëne
verwerkte opmerkingen:
51 Voeg toe: significante, Rijksoverheid: voeg ISO31000 ook toe, CIO rijk: haal de iso eruit¶
Aangepast met een expliciete verwijzing naar de ISO 27005 als methode voor risicomanagement. Dit geeft richting voor de methode zodat uitkomsten in de keten vergelijkbaar zijn.
Beheersmaatregel 5.09 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen¶
Er behoort een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, te worden opgesteld en onderhouden.
Verplichte overheidsspecifieke maatregelen¶
5.09.01 Er is een inventaris van bedrijfsmiddelen die van belang zijn voor informatieverwerking met inbegrip van operationele technologie. De inventaris omvat alle eigenschappen die nodig zijn voor het beheer en onderhoud. In de inventaris zijn ook opgenomen: bedrijfsmiddelen op afstand, cloud-omgevingen en bedrijfsmiddelen die regelmatig zijn verbonden met de netwerkinfrastructuur maar niet onder controle van de organisatie staan. De volledigheid en actualiteit van de inventaris wordt periodiek gecontroleerd met tussenpozen die passend zijn voor de frequentie waarmee wijzigingen optreden.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
52 Pas de formulering aan, zodat de maatregel beter uitvoerbaar wordt¶
NIEUW, essentieel voor de bescherming van bedrijfsmiddelen en het voorkomen van zwakke plekken of het uitbuiten van kwetsbaarheden. Komt uit CIScontrols. Maatregel aangepast als gevolg van NIS2.
Beheersmaatregel 5.10 Aanvaard gebruik van informatie en andere gerelateerde bedrijfsmiddelen¶
Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen behoren te worden geïdentificeerd, gedocumenteerd en geïmplementeerd.
Verplichte overheidsspecifieke maatregelen¶
5.10.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
97 het gaat er toch om dat men de juiste dingen doet en voeg bestuurders en werknemers samen. Als gevolg van commentaar RO zijn maatregelen van 5.10 naar 5.4 verplaatst. RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders.¶
NIEUW als gevolg van NIS2: Bestuurders moeten voldoende kennis en vaardigheden opdoen en onderhouden om risicoís op het gebied van cyberbeveiligheid te kunnen beoordelen. Maatregel aangepast als gevolg van NIS2.
Beheersmaatregel 5.11 Retourneren van bedrijfsmiddelen¶
Personeel en andere belanghebbenden, al naargelang de situatie, behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beÎindiging van hun dienstverband, contract of overeenkomst te retourneren.
Verplichte overheidsspecifieke maatregelen¶
5.11.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.12 Classificeren van informatie¶
Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden.
Verplichte overheidsspecifieke maatregelen¶
5.12.01 Informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, hierbij wordt gebruik gemaakt van een vastgestelde impactclassificatiemethodiek die onderdeel is van de vastgestelde risicomanagementmethodiek.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Rijk: Geen motivatie beschrijven in de maatregel (ZIE: "zodat duidelijk is welke bescherming nodig is"). Hoort naar onze mening niet thuis in deze baseline. CIO rijk: vastgestelde risicomanagement methodiek toevoegen Aangepast: nog wel een goede meetlat opnemen zodat alle BIO gebruikers op dezelfde manier meten. CIScontrols relateert vooral aan classificatie voor rubriceren/labelen. Belangrijk voor informatiedeling in ketens (ongeacht de verschijningsvorm). Maatregel aangepast als gevolg van NIS2
Beheersmaatregel 5.13 Labelen van informatie¶
Om informatie te labelen, behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.
Verplichte overheidsspecifieke maatregelen¶
5.13.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Ketenhygiëne
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.14 Overdragen van informatie¶
Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen.
Verplichte overheidsspecifieke maatregelen¶
5.14.01 Websites en e-mail berichtenverkeer moeten blijvend voldoen aan de verplichte standaarden, die te vinden zijn op de website van het Forum Standaardisatie. Hierop wordt gestuurd met de metingen van internet.nl. Daarbij dienen alle onderdelen te worden ingesteld zodat een optimale beveiliging wordt bereikt zonder afbreuk te doen aan de functionaliteit van de geboden dienst.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
56 pas de maatregel aan zodat er ruimte komt om af te wijken als een website dat vereist. RO CIO 52 : herschrijf naar wat anders¶
Aangepast: In plaats van veel verwijzingen naar het Forum, nu nog 1 maatregel dat de standaarden van het Forum gehanteert (door alles in 1 keer te testen op internet.nl). Moeten worden beschreven in de inleiding van de BIO. Maatregel aangepast als gevolg van NIS2
5.14.02 Bij publiek toegankelijke websites wordt gebruik gemaakt van ten minste publiek vertrouwde Organization Validated-certificaten, tenzij uit een risicoanalyse blijkt dat een hogere eis nodig is of met een lagere eis kan worden volstaan.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
53 Gebruik de term publiek toegankelijke websites, want dat is waar dit over gaat.¶
RO: laat "aansluitvoorwaarden of wetgeving weg uit de zin, die worden al meegenomen in de risicoanalyse. CIO: wijk zo weinig mogelijk af van oorspronkelijke tekst Vereenvoudigd
5.14.03 Geavanceerde en/of gekwalificeerde elektronische handtekeningen moeten voldoen aan de Advanced Electronic Signatures (AdES Baseline Profiles), zoals opgenomen in de Lijst open standaarden van Forum Standaardisatie.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RO: laat deze eis vervallen Aangescherpt als gevolg van NIS2.
5.14.04 Van alle internetfacingsystemen, webapplicaties, IP-adressen en API's is een actuele registratie.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
NIEUW
5.14.05 Publiek toegankelijke websites worden bekend gemaakt via Register Internetdomeinen Overheid. Deze informatie wordt ten minste iedere 6 maanden geactualiseerd.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
106 kan dit niet anders, en gebaseerd op het belang van websites? Maatregel kan nog vervallen/veranderen afhankelijk van wetgeving. CIO Rijk, toevoegen iedere 6 maanden actualiseren¶
NIEUW
Beheersmaatregel 5.15 Toegangsbeveiliging¶
Er behoren regels op basis van bedrijfs- en informatiebeveiligingseisen te worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.
Verplichte overheidsspecifieke maatregelen¶
5.15.01 Toegang tot een vertrouwde zone is toegestaan in twee situaties: (1) vanaf geauthentiseerde apparatuur of (2) vanuit programmatuur die draait binnen een veilige schil.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk tekstvoorstel Maatregel aangepast en verduidelijkt als gevolg van NIS2
Beheersmaatregel 5.16 Identiteitsbeheer¶
De volledige levenscyclus van identiteiten behoort te worden beheerd.
Verplichte overheidsspecifieke maatregelen¶
5.16.01 Er is een sluitende formele registratie- en afmeldprocedure is voor het beheren van gebruikersidentificaties.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
5.16.02 Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar en afgestemd met de CISO¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 5.17 Authenticatie-informatie¶
De toewijzing en het beheer van authenticatie-informatie behoort te worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt.
Verplichte overheidsspecifieke maatregelen¶
5.17.01 Pas multi-factor authenticatie (MFA) toe ten minste voor het primaire aanloggen op de digitale werkomgeving, bij accounts voor via het internet bereikbare voorzieningen en accounts die beheerrechten hebben en in andere situaties waar uit de risicoanalyse blijkt dat dit een passende oplossing is.¶
- Pas MFA toe in deze twee vormen: i. Wachtwoordloze toegang, zoals een pincode in combinatie met een hardware token of persoonlijk uniek certificaat (passkey). ii. Wachtwoord toegang in combinatie met minimaal een tweede factor.
- Indien MFA niet mogelijk is voor deze accounts, neem dan andere mitigerende maatregelen. Betrek de CISO hierbij en laat dit goedkeuren door de proceseigenaar.
- Combineer waar mogelijk en veilig, MFA met federatieve authenticatievoorzieningen zoals Single Sign On en een Stepping Stone oplossing Beheer en monitoring van authenticatiegegevens:
- Geef authenticatie-informatie uit volgens formele en vastgestelde procedures en pas nadat de identiteit van de gebruiker met voldoende zekerheid is vastgesteld.
- Definieer Use Cases voor misbruik van authenticatiegegevens, monitor deze en neem passende actie bij het optreden ervan. Deze Use Cases omvatten in ieder geval inlogpogingen van ongebruikelijke plekken en pieken in mislukte inlogpogingen.
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO-rijk: Geheel nieuw tekstvoorstel gedaan Aangescherpt onder meer op basis van [https://www.ncsc.nl/onderwerpen/multifactorauthenticatie](https://www.ncsc.nl/wat-kun-je-zelf-doen/weerbaarheid/beschermen/authenticatie). Maatregel aangepast als gevolg van NIS2 en nieuwe technische mogelijkheden.
5.17.02 De organisatie biedt aan alle medewerkers een wachtwoordmanager of vergelijkbare oplossing aan.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
109 Op basis van het commentaar aangepast, er wordt in een memorie van toelichting nadere duiding gegeven.¶
5.17.03 De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 5.18 Toegangsrechten¶
Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen behoren te worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie.
Verplichte overheidsspecifieke maatregelen¶
5.18.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk was dit een maatregel, maar nu een expliciete verwijzing naar de implementatieaanwijzing uit de ISO 27002. Maatregel aangepast als gevolg van NIS2
5.18.02 Het maken en aanpassen van accounts met bijzondere rechten wordt gemonitord. Indien die wijzigingen ongeautoriseerd zijn, is dit een informatiebeveiligingsincident en wordt als zodanig vastgelegd en afgehandeld.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Voorstel CIO-rijk overgenomen
5.18.03 Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld, een risicoafweging bepaalt of dit sneller moet.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
110 voorstel om periode naar 1 jaar en met een risicoafweging bepalen of het sneller moet.¶
Beheersmaatregel 5.19 Informatiebeveiliging in leveranciersrelaties¶
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisicoís in verband met het gebruik van producten of diensten van de leverancier te beheersen.
Verplichte overheidsspecifieke maatregelen¶
5.19.01 Bij offerteaanvragen waar informatie(voorziening) een rol speelt, zijn eisen ten aanzien van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) onderdeel van het hele pakket aan inkoopeisen. De eisen voor informatiebeveiliging zijn gebaseerd op een expliciete risicoafweging.¶
Bij inkoopsegmenten die op cyberproducten of -diensten betrekking hebben, wordt als uitgangspunt voor de risicoanalyse de maatregelset Inkoopeisen Cybersecurity Overheid gehanteerd.
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
55 laat de ICO wizard vervallen. Tekstvoorstel CIO rijk overgenomen¶
Aangescherpt als gevolg van NIS2
Beheersmaatregel 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten¶
Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen.
Verplichte overheidsspecifieke maatregelen¶
5.20.01 De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de (inkoop)contracten waar de verwerking van informatie een rol speelt.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
111 Maak er prestatiedoelstellingen van¶
ongewijzigd
5.20.02 Sluit waar mogelijk algemene voorwaarden van leveranciers expliciet uit en neem eventueel aanvullende voorwaarden op. Als uitsluiten niet mogelijk is beoordeel dan de risicoís.¶
Expliciet is gemaakt welke consequenties geaccepteerd worden, welke gemitigeerd moeten zijn en welke voorwaarden niet of nooit geaccepteerd mogen worden bij het aangaan van de overeenkomst.
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk tekstvoorstel overgenomen
5.20.03 In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen waarmee de betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is niet nodig als de contractant door middel van een ISO 27001 certificering of ISAE 3402 of richtlijn 3000 rapportage aantoont dat de gewenste betrouwbaarheid van de dienst is geborgd. In alle gevallen moet dan wel de scope en statement of applicability van deze certificering of rapportage passen bij de onderhavige levering of opdracht Èn moeten de hoge risico's die door de overheidsorganisatie zijn geïdentificeerd zijn behandeld.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk heeft tekst aangeleverd Aangescherpt als gevolg van NIS2.
5.20.04 Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk heeft tekst aangeleverd
5.20.05 De leverancier toont periodiek aantoon en verifieerbaar opnieuw aan dat hij voldoet aan alle eisen en de opdrachtgever beoordeelt dit ook periodiek. Deze periode wordt risicogericht bepaald en vastgelegd in de overeenkomst.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk heeft tekst aangeleverd NIEUW
5.20.06 De overheidsorganisatie voert risicogericht zelfstandig aanvullend onderzoek uit. Dit is ook ter validatie van de rapportages die de leverancier aanlevert. Om dit mogelijk te maken wordt in ieder geval expliciet opgenomen dat er een mogelijkheid is voor een externe audit.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk heeft tekst aangeleverd NIEUW
5.20.07 Onderdeel van de afspraken is ook dat de leverancier transparant is over nieuwe risicoís waaronder kwetsbaarheden in de dienstverlening en informatiebeveiligingsincidenten waaronder datalekken.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk heeft tekst aangeleverd NIEUW
5.20.08 Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk heeft tekst aangeleverd NIEUW
Beheersmaatregel 5.21 Beheren van informatiebeveiliging in de ICT-toeleveringsketen¶
Er behoren processen en procedures te worden bepaald en geïmplementeerd om de informatiebeveiligingsrisicoís in verband met de toeleveringsketen van ICT-producten en -diensten te beheersen.
Verplichte overheidsspecifieke maatregelen¶
5.21.01 In het contract is opgenomen dat de leverancier verantwoordelijk is voor het borgen van de gestelde eisen bij de toeleveranciers.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Aangepast als gevolg van commentaar CIO rijk
5.21.02 Voorafgaand aan het afsluiten van de overeenkomst geeft de leverancier inzicht in de keten van toeleveranciers en eventuele risicoís daarin. De overheidsorganisatie beoordeelt of de risicoís acceptabel zijn.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Aangepast als gevolg van commentaar CIO rijk
5.21.03 De overheidsorganisatie borgt dat de beveiligingseisen aan de leverancier onverminderd van toepassing zijn op de keten van toeleveranciers tenzij die eisen niet relevant zijn gezien de aard van de dienstverlening door de toeleverancier. Indien beveiligingseisen zijn uitgesloten maakt de leverancier dat inzichtelijk inclusief een onderbouwing.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Aangepast als gevolg van commentaar CIO rijk
5.21.04 Gedurende de looptijd geeft de leverancier veranderingen in de keten van toeleveranciers door, inclusief risicoís daarin. Dit omvat in ieder geval kwetsbaarheden en informatiebeveiligingsincidenten die de dienstverlening aan de overheidsorganisatie kunnen raken.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Aangepast als gevolg van commentaar CIO rijk
Beheersmaatregel 5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten¶
De organisatie behoort de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren.
Verplichte overheidsspecifieke maatregelen¶
5.22.01 Op basis van het door de leverancier aangeleverde bewijsmateriaal, zie 5.20.03, is de proceseigenaar verantwoordelijk voor het jaarlijks beoordelen dat leverancier voldoet aan de gestelde IB-eisen, het vaststellen van eventuele de beveiligingsrisicoís, het (laten) nemen van mitigerende maatregelen en het accepteren van rest-risicoís.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 114: tekst nemen we over Aangescherpt als gevolg van NIS2.
5.22.02 Er is een actuele registratie van leveranciers en afgesloten contracten¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
NIEUW als gevolg van NIS2.
Beheersmaatregel 5.23 Informatiebeveiliging voor het gebruik van clouddiensten¶
Processen voor het aanschaffen, gebruiken, beheren en beÎindigen van clouddiensten behoren overeenkomstig de informatiebeveiligingseisen van de organisatie te worden opgesteld.
Verplichte overheidsspecifieke maatregelen¶
5.23.01 Stel beleid op dat toeziet op het inventariseren, classificeren, selecteren, beoordelen en managen van cloudserviceproviders (CSP) en het beÎindigen van dienstverlening door CSPís. Implementeer het beleid en herzie dit beleid minimaal eens per drie jaar. Neem in de contracten op welke situaties aanleiding kunnen zijn tot ontbinding van het contract. Wanneer zich belangrijke wijzigingen bij de leverancier optreden beoordeel de risicoís daarvan en neem passende maatregelen.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 115: tekstvoorstel overgenomen NIEUW als gevolg van NIS2.
Beheersmaatregel 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten¶
De organisatie behoort plannen op te stellen voor, en zich voor te bereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiÎren, vast te stellen en te communiceren.
Verplichte overheidsspecifieke maatregelen¶
5.24.01 Er is een voor alle interne en externe medewerkers toegankelijk meldloket waar beveiligingsincidenten kunnen worden gemeld en geregistreerd.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Mogelijk vervallen of aangepast als CBW en/of AMvB definitief is Aangescherpt als gevolg van NIS2.
5.24.02 Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan beschreven.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Mogelijk vervallen of aangepast als CBW en/of AMvB definitief is ongewijzigd
5.24.03 De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
5.24.04 De opvolging van incidenten wordt maandelijks gerapporteerd door de proceseigenaar aan de eindverantwoordelijke voor de bedrijfsvoering.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 121: eindverantwoordelijke van wat?, aangepast als gevolg van opmerkingen van de ADR Aangescherpt als gevolg van NIS2.
5.24.05 In de incidentprocedure van de organisatie is er een koppeling gemaakt met crisisbeheersing.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: uitgesplitst naar 3 maatregelen 06, 07 en 08 Aangescherpt als gevolg van NIS2.
5.24.06 De beveiliging van toeleveringsketens zijn onderdeel van de risicoanalyse voor de organisatie.¶
In de risicoanalyse wordt rekening gehouden met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners met inbegrip van hun veilige ontwikkelingsprocedures.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Aangescherpt als gevolg van NIS2.
5.24.07 De incidentprocedure is er op ingericht om binnen de wettelijke termijn incidenten te melden bij het nationale CSIRT.¶
De incidentprocedure is er op ingericht om meldingen van het nationale CSIRT te ontvangen, te beoordelen en op te nemen in de risicobehandeling. De incidentprocedure is er op ingericht om betrokkenen binnen de wettelijke termijn op de hoogte te stellen van het incident.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Aangescherpt als gevolg van NIS2.
Beheersmaatregel 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen¶
De organisatie behoort informatiebeveiligingsgebeurtenissen te beoordelen en te beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten.
Verplichte overheidsspecifieke maatregelen¶
5.25.01 Informatiebeveiligingsincidenten worden afgedaan via het incidentbeheerproces. Ze worden indien relevant gemeld bij toezichthouders conform de bepalingen uit de betrokken wet- en regelgeving zoals de CBW en de AVG.¶
Draagt bij aan: Basishygiëne, NIS2, overheidsrisico
verwerkte opmerkingen: Mogelijk vervallen of aangepast als CBW en/of AMvB definitief is. CIO rijk 124 tekstvoorstel gedaan Aangescherpt als gevolg van NIS2
Beheersmaatregel 5.26 Reageren op informatiebeveiligingsincidenten¶
Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
Verplichte overheidsspecifieke maatregelen¶
5.26.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.27 Leren van informatiebeveiligingsincidenten¶
Kennis die is opgedaan met informatiebeveiligingsincidenten behoort te worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren.
Verplichte overheidsspecifieke maatregelen¶
5.27.01 Beveiligingsincidenten worden geanalyseerd om achterliggende oorzaken vast te stellen, verbeteringen te realiseren om zo toekomstige beveiligingsincidenten te voorkomen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Mogelijk vervallen of aangepast als CBW en/of AMvB definitief is. CIO Rijk 126, tekstvoorstel overgenomen
5.27.02 De analyses van de beveiligingsincidenten inclusief de achterliggende oorzaken en de verbeteringen worden breed gedeeld met allerlei relevante partners om herhaling en toekomstige incidenten te voorkomen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Mogelijk vervallen of aangepast als CBW en/of AMvB definitief is. CIO Rijk 127 tekstvoorstel overgenomen
Beheersmaatregel 5.28 Verzamelen van bewijsmateriaal¶
De organisatie behoort procedures vast te stellen en te implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen.
Verplichte overheidsspecifieke maatregelen¶
5.28.01 In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van alle informatie om het informatiebeveiligingsincident te analyseren en op te lossen minimaal drie jaar. Dit betreft onder meer de informatie benodigd voor de analyse (waaronder logging), de oplossing en het advies.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 129: voorstel overgenomen
Beheersmaatregel 5.29 Informatiebeveiliging tijdens een verstoring¶
De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.
Verplichte overheidsspecifieke maatregelen¶
5.29.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 130: maatregelen die hier staan horen onder 5.30. RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Aangescherpt als gevolg van NIS2
Beheersmaatregel 5.30 ICT-gereedheid voor bedrijfscontinuïteit¶
De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.
Verplichte overheidsspecifieke maatregelen¶
5.30.01 De proceseigenaar test jaarlijks de continuïteitsplannen op werking, volledigheid en actualiteit. De resultaten worden gebruikt om de plannen te verbeteren.¶
Draagt bij aan:
verwerkte opmerkingen: CIO rijk 131: tekstvoorstel gedaan Oorspronkelijk geen maatregel, maar wel de ISO volgen
5.30.02 Binnen de inventarisatie van 5.12, identificeert de proceseigenaar kritieke systemen op basis van de vastgestelde risicomanagementmethodiek en een expliciete risicoafweging. De proceseigenaar actualiseert dit overzicht ten minste eens per drie jaar.¶
Draagt bij aan:
verwerkte opmerkingen: CIO rijk 132: tekstvoorstel gedaan. Uitleg kritieke in de bijlage Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen¶
Wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, behoren te worden geïdentificeerd, gedocumenteerd en actueel gehouden.
Verplichte overheidsspecifieke maatregelen¶
5.31.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 134: tekstvoorstel overgenomen, verplaatst naar 8.24.02. RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. vervallen, onjuiste mapping
Beheersmaatregel 5.32 Intellectuele-eigendomsrechten¶
De organisatie behoort passende procedures te implementeren om intellectuele-eigendomsrechten te beschermen.
Verplichte overheidsspecifieke maatregelen¶
5.32.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.33 Beschermen van registraties¶
Registraties behoren te worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave.
Verplichte overheidsspecifieke maatregelen¶
5.33.01 De proceseigenaar heeft voor alle informatie(systemen) op selectielijsten vastgelegd wat dat bewaartermijn is rekening houdend met de eigen bedrijfsdoelstellingen en wet- en regeling zoals de archiefwet en privacywetgeving. De proceseigenaar heeft deze termijnen ook praktisch ingeregeld en toetst periodiek de werking hiervan.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 135: tekstvoorstel gedaan
Beheersmaatregel 5.34 Privacy en bescherming van persoonsgegevens¶
De organisatie behoort de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen te identificeren en eraan te voldoen.
Verplichte overheidsspecifieke maatregelen¶
5.34.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 5.35 Onafhankelijke beoordeling van informatiebeveiliging¶
De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieÎn, behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
Verplichte overheidsspecifieke maatregelen¶
5.35.01 Er is een werkend ISMS conform de ISO 27001.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Maatregel aangepast en verduidelijkt als gevolg van NIS2. Haakje naar de ISO 27001 aanpak
5.35.02 Er is een vastgesteld auditplan waarin jaarlijks keuzes worden gemaakt voor welke systemen welk soort beveiligingsaudits worden uitgevoerd.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging¶
De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie behoren regelmatig te worden beoordeeld.
Verplichte overheidsspecifieke maatregelen¶
5.36.01 In de P&C-cyclus en als onderdeel van de PDCA-cyclus wordt gerapporteerd over informatiebeveiliging onder coˆrdinatie van de CISO. Dit resulteert in een jaarlijks af te geven In Control Verklaring (ICV), of een vergelijkbaar instrument, over de gehele informatiebeveiliging van de overheidsorganisatie. De ICV of het vergelijkbare instrument kan ook onderdeel zijn van de formele verantwoording.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 136: teksttvoorstel overgenomen
Beheersmaatregel 5.37 Gedocumenteerde bedieningsprocedures¶
Bedieningsprocedures voor informatieverwerkende faciliteiten behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan het personeel dat ze nodig heeft.
Verplichte overheidsspecifieke maatregelen¶
7.35.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 6.01 Screening¶
De achtergrond van alle kandidaten voor een dienstverband behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaald. Hierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's.
Verplichte overheidsspecifieke maatregelen¶
6.01.1 Elke organisatie heeft een vastgesteld screeningsbeleid. Bij indiensttreding en bij functiewijziging kan op basis van een risicoafweging een Verklaring Omtrent het Gedrag (VOG) gevraagd worden.¶
Draagt bij aan: Basishygiëne, NIS2, overheidsrisico
verwerkte opmerkingen: Aangepast nav opmerkingen ADR
Beheersmaatregel 6.02 Arbeidsovereenkomst¶
In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.
Verplichte overheidsspecifieke maatregelen¶
6.02.01 Alle medewerkers (intern en extern) zijn bij hun aanstelling of functiewisseling gewezen op hun verantwoordelijkheden ten aanzien van informatiebeveiliging. De voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging zijn eenvoudig toegankelijk.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 6.03 Bewustwording van, opleiding en training in informatiebeveiliging¶
Personeel van de organisatie en relevante belanghebbenden behoren een passende bewustwording van, opleiding en training in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, te krijgen.
Verplichte overheidsspecifieke maatregelen¶
6.03.01 Alle medewerkers, lijnmanagers en bestuurders hebben de verantwoordelijkheid bedrijfsinformatie te beschermen. Iedereen kent de regels en verplichtingen met betrekking tot informatiebeveiliging en daar waar relevant de speciale eisen voor gerubriceerde omgevingen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Aangescherpt als gevolg van NIS2
6.03.02 Alle medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten hebben binnen drie maanden na indiensttreding aantoonbaar een training I-bewustzijn succesvol gevolgd.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: aangepast nav opmerkingen ADR
6.03.03 Het management benadrukt bij aanstelling en interne overplaatsing en bijvoorbeeld in werkoverleggen of in personeelsgesprekken bij zijn medewerkers en contractanten het belang van opleiding en training op het gebied van informatiebeveiliging en stimuleert hen actief deze periodiek te volgen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 6.04 Disciplinaire procedure¶
Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.
Verplichte overheidsspecifieke maatregelen¶
6.04.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 6.05 Verantwoordelijkheden na beÎindiging of wijziging van het dienstverband¶
Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beÎindiging of wijziging van het dienstverband, behoren te worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden.
Verplichte overheidsspecifieke maatregelen¶
6.05.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 104: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 6.06 Vertrouwelijkheids- of geheimhoudingsovereenkomsten¶
Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.
Verplichte overheidsspecifieke maatregelen¶
6.06.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 6.07 Werken op afstand¶
Wanneer personeel op afstand werkt, behoren er beveiligingsmaatregelen te worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen.
Verplichte overheidsspecifieke maatregelen¶
6.07.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 6.08 Melden van informatiebeveiligingsgebeurtenissen¶
De organisatie behoort te voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligingsgebeurtenissen tijdig via passende kanalen kan melden.
Verplichte overheidsspecifieke maatregelen¶
6.08.01 Alle medewerkers (intern en extern) hebben aantoonbaar kennisgenomen van de meldingsprocedure van incidenten.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Aangescherpt als gevolg van NIS2
Beheersmaatregel 7.01 Fysieke beveiligingszones¶
Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, behoren te worden beschermd door beveiligingszones te definiÎren en te gebruiken.
Verplichte overheidsspecifieke maatregelen¶
7.01.01 Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van standaarden.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Voorstel van RDI, #45 waar zijn de standaarden. CIO Rijk 95: kan deze vervallen, want wat zijn standaarden. Nader uit te werken en openbaarmaken Rijkshuisvestingbeleid.
7.01.02 Kritieke informatie of informatiesystemen zijn nooit via 1 beveiligde zone te bereiken.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Voorstel van RDI Nieuw
Beheersmaatregel 7.02 Fysieke toegangsbeveiliging¶
Beveiligde zones behoren te worden beschermd door passende toegangsbeveiligingsñmaatregelen en toegangspunten.
Verplichte overheidsspecifieke maatregelen¶
7.02.01 In geval van concrete beveiligingsrisicoís worden waarschuwingen, conform onderlinge afspraken, verzonden aan de relevante collegaís binnen het beveiligingsdomein van de overheid.¶
Draagt bij aan: Ketenhygiëne
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 7.03 Beveiligen van kantoren, ruimten en faciliteiten¶
Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en geïmplementeerd.
Verplichte overheidsspecifieke maatregelen¶
7.03.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk een andere maatregel, maar ISO volgen is beter
Beheersmaatregel 7.04 Monitoren van de fysieke beveiliging¶
Het gebouw en terrein behoort voortdurend te worden gemonitord op onbevoegde fysieke toegang.
Verplichte overheidsspecifieke maatregelen¶
7.04.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk een andere maatregel, maar ISO volgen is beter
Beheersmaatregel 7.05 Beschermen tegen fysieke en omgevingsdreigingen¶
Er behoort bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen voor de infrastructuur, te worden ontworpen en geïmplementeerd.
Verplichte overheidsspecifieke maatregelen¶
7.05.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk een andere maatregel, maar ISO volgen is beter
Beheersmaatregel 7.06 Werken in beveiligde zones¶
Voor het werken in beveiligde zones behoren beveiligingsmaatregelen te worden ontwikkeld en geïmplementeerd.
Verplichte overheidsspecifieke maatregelen¶
7.06.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar ISO volgen is beter
Beheersmaatregel 7.07 Clear desk en clear screen¶
Er behoren clear desk-regels voor papieren documenten en verwijderbare opslagmedia en clear screen-regels voor informatieverwerkende faciliteiten te worden gedefinieerd en op passende wijze te worden afgedwongen.
Verplichte overheidsspecifieke maatregelen¶
7.07.01 Bij het gebruik van een chipcardtoken voor toegang tot systemen wordt bij het verwijderen van het token de toegangsbeveiligingsvergrendeling automatisch geactiveerd.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 98: voorstel voor aanpassen tekst beheersmaatregel > moet naar de NEN verplaatst
7.07.02 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
Oorspronkelijk meerdere maatregelen, maar ISO volgen is beter
Beheersmaatregel 7.08 Plaatsen en beschermen van apparatuur¶
Apparatuur behoort veilig te worden geplaatst en beschermd.
Verplichte overheidsspecifieke maatregelen¶
7.08.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 7.09 Beveiligen van bedrijfsmiddelen buiten het terrein¶
Bedrijfsmiddelen buiten het gebouw en/of terrein behoren te worden beschermd.
Verplichte overheidsspecifieke maatregelen¶
7.09.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 7.10 Opslagmedia¶
Opslagmedia behoren te worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie.
Verplichte overheidsspecifieke maatregelen¶
7.10.01 Er is een verwijderinstructie waarin is opgenomen dat van verwijderbare media die herbruikbaar zijn en die de organisatie verlaten, de bedrijfsgevoelige inhoud onherstelbaar verwijderd is.¶
Draagt bij aan:
verwerkte opmerkingen: aangepast nav opmerking ADR
7.10.02 Voor het wissen van alle data op het medium, wordt de data onherstelbaar verwijderd of onbeschikbaar gemaakt. Er wordt gecontroleerd of alle data onherstelbaar verwijderd is en er wordt verslag van gemaakt. Er wordt bij voorkeur gebruik gemaakt van producten waarvoor de Unit Weerbaarheid van het NBV een positief inzetadvies afgegeven heeft.¶
Draagt bij aan:
verwerkte opmerkingen:
48 maatregel laten vervallen. NBV is te zwaar en niet voor iedereen. CIO rijk 100: operationele aanwijzing uit maatregel halen: akkoord. NBV zou niet meer bestaan, maar is nu Unit Weerbaarheid. Dit is onjuist. Unit weerbaarheid is onderdeel van NBV.¶
verplaatst en aangepast
7.10.03 Het gebruik van koeriers of transporteurs voor transport van geclassificeerde informatie voldoet aan vooraf opgestelde betrouwbaarheidseisen.¶
Draagt bij aan:
verwerkte opmerkingen:
verplaatst en samengevoegd
Beheersmaatregel 7.11 Nutsvoorzieningen¶
Informatieverwerkende faciliteiten behoren te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen.
Verplichte overheidsspecifieke maatregelen¶
7.11.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 7.12 Beveiligen van bekabeling¶
Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen onderschepping, interferentie of beschadiging.
Verplichte overheidsspecifieke maatregelen¶
7.12.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 7.13 Onderhoud van apparatuur¶
Apparatuur behoort op de juiste wijze te worden onderhouden om de beschikbaarheid, integriteit en betrouwbaarheid van informatie te garanderen.
Verplichte overheidsspecifieke maatregelen¶
7.13.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 7.14 Veilig verwijderen of hergebruiken van apparatuur¶
Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt.
Verplichte overheidsspecifieke maatregelen¶
7.14.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk maatregel met verwijzingen, maar wel de ISO volgen
Beheersmaatregel 8.01 User endpoint devices¶
Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via user endpoint devices behoort te worden beschermd.
Verplichte overheidsspecifieke maatregelen¶
8.01.01 Mobiele apparatuur is zo ingericht dat bedrijfsinformatie niet standaard op het gebruikersdevice wordt opgeslagen (ëzero footprintí). Als (near) zero footprint (nog) niet realiseerbaar is, biedt een mobiel apparaat (zoals een laptop, tablet en smartphone) de mogelijkheid om de toegang te beschermen door middel van een toegangsbeveiligingsmechanisme met minimaal versleuteling van de gegevens. Op het mobiele apparatuur moet wissen op afstand mogelijk zijn.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 94: zero footprint was vroeger, voorstel voor nieuwe maatregel gedaan
8.01.02 Bij de inzet van mobiele apparatuur zijn minimaal de volgende aspecten geïmplementeerd¶
- In bewustwordingsprogrammaís komen gedragsaspecten van veilig mobiel werken aan de orde.
- Het apparaat maakt deel uit van patchmanagement en hardening.
- Er wordt gebruik gemaakt van Mobile Device Management (MDM) of van Mobile Application Management (MAM)-oplossingen.
- Gebruikers tekenen een gebruikersovereenkomst voor mobiel werken, waarmee zij verklaren zich bewust te zijn van de gevaren van mobiel werken en verklaren dit veilig te zullen doen. Deze verklaring heeft betrekking op alle mobiele apparatuur die de medewerker zakelijk gebruikt. Periodiek wordt getoetst of de punten in lid 1., 2. en 3. worden nageleefd.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.01.03 Applicaties/apps uit landen met een offensief cyberprogramma worden beoordeeld op risico's voor de bedrijfsvoering en als die er zijn, worden deze apps als onwenselijk op een blacklist gezet en die blacklist moet automatisch worden afgedwongen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 8.02 Speciale toegangsrechten¶
Het toewijzen en het gebruik van speciale toegangsrechten behoren te worden beperkt en beheerd.
Verplichte overheidsspecifieke maatregelen¶
8.02.01 De uitgegeven of gebruikte speciale bevoegdheden worden in opzet, bestaan en werking minimaal ieder kwartaal beoordeeld.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 93: ook gebruikte speciale bevoegdheden moeten beoordeeld worden.
Beheersmaatregel 8.03 Beperking toegang tot informatie¶
De toegang tot informatie en andere gerelateerde bedrijfsmiddelen behoren te worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging.
Verplichte overheidsspecifieke maatregelen¶
8.03.01 Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 92: maatregel aanpassen naar waarborgen van toegang.
8.03.02 Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 8.04 Toegangsbeveiliging op broncode¶
Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken behoren op passende wijze te worden beheerd.
Verplichte overheidsspecifieke maatregelen¶
8.04.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.05 Beveiligde authenticatie¶
Er behoren beveiligde authenticatietechnologieÎn en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging.
Verplichte overheidsspecifieke maatregelen¶
8.05.01 Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden en voor hoelang de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: aangepast nav van opmerking ADR
Beheersmaatregel 8.06 Capaciteitsbeheer¶
Het gebruik van middelen behoort te worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen.
Verplichte overheidsspecifieke maatregelen¶
8.06.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.07 Bescherming tegen malware¶
Bescherming tegen malware behoort te worden geïmplementeerd en ondersteund door een passend gebruikersbewustzijn.
Verplichte overheidsspecifieke maatregelen¶
8.07.01 Het downloaden van bestanden is beheerst en beperkt op basis van risico en need-of-use en de antimalware software moet altijd alle downloads beoordelen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 89: extra aanvullling toegevoegd
8.07.02 Gebruikers zijn voorgelicht over de risicoís ten aanzien van surfgedrag en het klikken op onbekende links.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.07.03 De gebruikte antimalwaresoftware en bijbehorende herstelsoftware is actueel en wordt ondersteund door periodieke updates.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.07.04 De malwarescan wordt uitgevoerd op:¶
(a) alle omgevingen, bijvoorbeeld op (mail)servers, (desktop)computers en bij de toegangsverlening tot het netwerk van de organisatie; (b) alle gedownloade content voorafgaand aan executie of opslag; (c) alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vÛÛr gebruik of opslag in de eigen omgeving.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: aangepast nav opmerking ADR
Beheersmaatregel 8.08 Beheer van technische kwetsbaarheden¶
Er behoort informatie te worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden behoort te worden geÎvalueerd en er behorende passende maatregelen te worden getroffen.
Verplichte overheidsspecifieke maatregelen¶
8.08.01 Als de kans op misbruik en de verwachte schade beide hoog zijn (bijvoorbeeld met de NCSC-Inschalingsmatrix beveiligingsadviezen of leveranciersbeveiligingsadviezen), worden passende mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen een week getroffen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Mogelijk vervallen of aangepast als CBW en/of AMvB definitief is ongewijzigd
8.08.02 Op basis van een expliciete risicoafweging wordt bepaald op welke wijze mitigerende maatregelen getroffen worden.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.08.03 In de tussentijd of als installatie binnen een week niet mogelijk is, worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.08.04 Informatiesystemen worden bij voorkeur jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risicoís ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teamingstesten. Internetfacing informatiesystemen worden bij voorkeur continue getest op zwakheden en kwetsbaarheden.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
aangescherpt naar continue testen op zwakheden.
8.08.05 Internetfacing-systemen hebben een verplichte (bij voorkeur geautomatiseerde) penetratietest bij iedere nieuwe release of major update. Als daar bevindingen met een hoog risico uitkomen die niet op een andere manier gemitigeerd kunnen worden, mag het systeem niet in productie. Alle internetfacing systemen worden in ieder geval jaarlijks getest op zwakheden en kwetsbaarheden.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RO 23: ER zijn meer mogelijkheden om te voldoen of iets te mitigeren. aangescherpt op jaarlijks
8.08.06 Een Coordinated Vulnerability Disclosure (CVD)-procedure is gepubliceerd en ingericht conform de NCSC leidraad of ISO/IEC 29147:2018. Informatie afkomstig uit de Coordinated Vulnerability Disclosure (CVD)-meldingen is onderdeel van de incidentrapportage.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
5 aangepast als gevolg van opmerkingen, verplaatst van 5.24. CVD hoort thuis in 8.08¶
Aangescherpt als gevolg van opmerkingen op github.
Beheersmaatregel 8.09 Configuratiebeheer¶
Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken behoren te worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld.
Verplichte overheidsspecifieke maatregelen¶
8.09.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.10 Wissen van informatie¶
In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie behoort te worden gewist als deze niet langer vereist is.
Verplichte overheidsspecifieke maatregelen¶
8.10.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.11 Maskeren van gegevens¶
Gegevens behoren te worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving.
Verplichte overheidsspecifieke maatregelen¶
8.11.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.12 Voorkomen van gegevenslekken (data leakage prevention)¶
Maatregelen om gegevenslekken te voorkomen, behoren te worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.
Verplichte overheidsspecifieke maatregelen¶
8.12.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.13 Back-up van informatie¶
Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.
Verplichte overheidsspecifieke maatregelen¶
8.13.01 Er is een back-upbeleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Er moet speciale aandacht zijn voor het beschermen van de back-up tegen ransomware-aanvallen en welke maatregelen genomen zijn om de integriteit van de backup te behouden.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 85: tekstvoorstel overgenomen
8.13.02 Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is en wat de maximale hersteltijd is na een incident.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
ongewijzigd
8.13.03 Het back-upproces voorziet in opslag van de back-up op een locatie, waarbij een incident op de ene locatie niet kan leiden tot schade op de andere.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
8.13.04 De herstelprocedure wordt minimaal jaarlijks getest of na een grote wijziging, om de goede werking te waarborgen als deze in noodgevallen uitgevoerd moet worden.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 8.14 Redundantie van informatieverwerkende faciliteiten¶
Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
Verplichte overheidsspecifieke maatregelen¶
8.14.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.15 Logging¶
Er behoren logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, te worden geproduceerd, opgeslagen, beschermd en geanalyseerd.
Verplichte overheidsspecifieke maatregelen¶
8.15.01 Een logregel bevat minimaal:¶
actie: de gebeurtenis of handeling die heeft plaatsgevonden, object: waarop de gebeurtenis of handeling effect had (bijv. welk bestand, proces of systeem), resultaat: het resultaat van de gebeurtenis of handeling, oorsprong: het apparaat of de netwerklocatie van waaruit de gebeurtenis of handeling in gang is gezet, actor: identificatie van de persoon die of het proces dat de gebeurtenis in gang heeft gezet, tijdstempel: datum en tijdstip waarop de gebeurtenis of handling plaatsvond.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
64 Het genoemde voorbeeld past niet goed bij cloud logging. Voorstel voor andere opsomming van feiten.¶
8.15.02 Een logregel bevat in geen geval gegevens die tot het doorbreken van de beveiliging kunnen leiden.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.15.03 Er is een overzicht van logbestanden die worden gegenereerd.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.15.04 De bewaartermijn van logbestanden en gegevens in het SIEM worden risicogericht bepaald rekening houdend met het scenario dat aanvallers soms al langdurig binnen zijn.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 82: tekstuele aanpassing die beter weergeeft wat de bewaartermijn zou moeten zijn.
8.15.05 Oneigenlijk wijzigen, verwijderen of pogingen daartoe van loggegevens worden zo snel mogelijk gemeld als beveiligingsincident via de procedure voor informatiebeveiligingsincidenten conform control 5.24.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
8.15.06 Op basis van een expliciete risicoafweging bepaald de organisatie de periodieke toetsing op het ongewijzigd bestaan van logbestanden gedurende de bewaartermijn. Toetsing wordt uitgevoerd door een onafhankelijke functionaris (ten opzichte van de uitvoering).¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
63 op basis van risicomanagement maatregel toepassen¶
Beheersmaatregel 8.16 Monitoren van activiteiten¶
Netwerken, systemen en toepassingen behoren te worden gemonitord op afwijkend gedrag en er behoren passende maatregelen te worden getroffen om potentiÎle informatiebeveiligingsincidenten te evalueren.
Verplichte overheidsspecifieke maatregelen¶
8.16.01 Bij ontdekte nieuwe dreigingen (aanvallen) via 8.16.3 worden deze binnen geldende juridische kaders verplicht gedeeld met de daarvoor aangewezen CERT.¶
Draagt bij aan: Basishygiëne, NIS2, overheidsrisico
verwerkte opmerkingen:
65 en #58 en #118 veel commentaar.maar hoofdreden is: laten vervallen, staat al in de CBW. Kringverwijzing aangepast¶
aangepast als gevolg van NIS2 en verplaatst
8.16.02 Het Security Incident en Event Monitoring (SIEM) proces en/of het SOC monitoring proces hebben eenduidige regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: CIO rijk 81: taalkundige onjuistheden aanpassen, opmerking van ADR verwerkt verplaatst
8.16.03 De informatieverwerkende omgeving wordt gemonitord met een detectie- en response-oplossing, waarmee aanvallen kunnen worden gedetecteerd en afwijkingen worden adequaat en tijdig behandeld.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
verplaatst
8.16.04 Actieve netwerkcomponenten zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen te kunnen waarnemen en daarop te reageren.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
verplaatst
Beheersmaatregel 8.17 Kloksynchronisatie¶
De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, behoren te worden gesynchroniseerd met goedgekeurde tijdsbronnen.
Verplichte overheidsspecifieke maatregelen¶
8.17.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.18 Gebruik van speciale systeemhulpmiddelen¶
Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.
Verplichte overheidsspecifieke maatregelen¶
8.18.01 Alleen bevoegd personeel heeft op die momenten dat toegang strikt noodzakelijk is toegang tot systeemhulpmiddelen.¶
Draagt bij aan:
verwerkte opmerkingen: CIO rijk 80: tekstuele aanscherping overgenomen
8.18.02 Het gebruik van systeemhulpmiddelen wordt gelogd. De logging is een halfjaar beschikbaar voor onderzoek.¶
Draagt bij aan:
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 8.19 Installeren van software op operationele systemen¶
Er behoren procedures en maatregelen te worden geïmplementeerd om het installeren van software op operationele systemen op beveiligde wijze te beheren.
Verplichte overheidsspecifieke maatregelen¶
8.19.01 Het risico van installatie door gebruikers van niet geautoriseerde software moet worden beheerst.¶
Draagt bij aan:
verwerkte opmerkingen:
66 beter ruimte laten voor risicomanagement en maatregel vereenvoudigen.¶
Beheersmaatregel 8.20 Beveiliging netwerkcomponenten¶
Netwerken en netwerkapparaten behoren te worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
Verplichte overheidsspecifieke maatregelen¶
8.20.01 Netwerkcomponenten moeten minimaal voldoen aan het vertrouwelijkheidsniveau van het netwerk waarvan ze onderdeel zijn.¶
Draagt bij aan:
verwerkte opmerkingen: CIO rijk 79: voeg twee overheidsmaatregelen toe om meer scherpte aan te brengen Oorspronkelijk geen maatregel, maar wel de ISO volgen
8.20.02 Toegang tot beheerinterfaces van netwerkcomponenten moet (zo veel als mogelijk en risicogericht) gescheiden zijn van het gebruikersnetwerk.¶
Draagt bij aan:
verwerkte opmerkingen: CIO rijk 79: voeg twee overheidsmaatregelen toe om meer scherpte aan te brengen Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.21 Beveiliging van netwerkdiensten¶
Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord.
Verplichte overheidsspecifieke maatregelen¶
8.21.01 In koppelpunten met externe of onvertrouwde zones en in het kader van netwerksegmentatie zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld DDoS-aanvallen, Distributed Denial of Service attacks) te signaleren en te mitigeren.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
57 pas de maatregel aan zodat de bedoeling beter wordt, nu is hij te vaag. CIO rijk 77: voeg onderdeel van netwerksegmentatie toe¶
8.21.02 Het dataverkeer van of naar de vertrouwde omgeving, wordt bewaakt/geanalyseerd op verdacht verkeer middels detectievoorzieningen¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
119 te generiek beschreven en verwarrend¶
Aangepast als gevolg van NIS2
8.21.03 Bij ontdekte nieuwe dreigingen vanuit 8.21.02 worden deze doorgeleid, rekening houdend met de geldende juridische kaders gedeeld binnen de overheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
58 deze laten vervallen, staat al in de CBW. ; werkwoord toegevoegd als gevolg van opmerking CIO rijk¶
Aangepast als gevolg van NIS2
8.21.04 Bij transport van gegevens over draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied worden de gegevens versleuteld met uitzondering van metagegevens die noodzakelijk zijn om het transport tot stand te laten komen. De inrichting van de versleuteling is risicogericht en houdt rekening met de noodzakelijke beschermingstermijn en -niveau. Hierbij wordt bij gebruik gemaakt van encryptiemiddelen waarvoor bij voorkeur de Unit Weerbaarheid van de AIVD een positief inzetadvies heeft afgegeven. Indien er geen geschikte door het Unit Weerbaarheid geadviseerde encryptiemiddelen zijn, wordt in overleg met de CISO een andere geschikte versleutelingsmethodiek gekozen en ingericht.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
57 laat oorspronkelijke maatregel vervallen, er is een overlap met 8.24.02 en 8.24.3 (cryptografie) #47, maatregel laten vervallen, staat al in VIRBI. CIO rijk nieuw tekstvoorstel gedaan¶
Beheersmaatregel 8.22 Netwerksegmentatie¶
Groepen informatiediensten, gebruikers en informatiesystemen behoren in de netwerken van de organisatie te worden gesegmenteerd.
Verplichte overheidsspecifieke maatregelen¶
8.22.01 Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 8.23 Toepassen van webfilters¶
De toegang tot externe websites behoort te worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken.
Verplichte overheidsspecifieke maatregelen¶
8.23.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.24 Gebruik van cryptografie¶
Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, behoren te worden gedefinieerd en geïmplementeerd.
Verplichte overheidsspecifieke maatregelen¶
8.24.01 In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:¶
- Wanneer cryptografie ingezet wordt.
- Wie verantwoordelijk is voor de implementatie.
- Wie verantwoordelijk is voor het sleutelbeheer.
- Hoe geregistreerd wordt waar welke cryptografie toegpast wordt.
- Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
- De wijze waarop het beschermingsniveau vastgesteld wordt.
- Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: CIO rijk 74: aanvulling over registratie
8.24.02 Cryptografische beheersmaatregelen zijn opgenomen in de invenataris van de bedrijfsmiddelen. Voor alle cryptografische beheersmaatregelen is vastgesteld waar ze worden ingezet, wie er voor verantwoordelijk is en hoe ze actueel worden gehouden.¶
Draagt bij aan:
verwerkte opmerkingen:
afkomstig van 5.31, verkeerde mapping
8.24.03 Cryptografische toepassingen voldoen aan passende standaarden van het Forum Standaardisatie.¶
Draagt bij aan:
verwerkte opmerkingen:
ongewijzigd
8.24.04 De sterkte van de cryptografie wordt gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van de AIVD.¶
Draagt bij aan:
verwerkte opmerkingen:
62 "waar mogelijk" weghalen¶
8.24.05 Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier als uit risicoafweging blijkt dat deze noodzakelijk zijn als onderdeel van gereedheid voor bedrijfscontinuiteit (beheersmaatregel 5.30).¶
Draagt bij aan:
verwerkte opmerkingen: CIO rijk 75 tekstueel aangepast verplaatst
Beheersmaatregel 8.25 Beveiligen tijdens de ontwikkelcyclus¶
Voor het veilig ontwikkelen van software en systemen behoren regels te worden vastgesteld en toegepast.
Verplichte overheidsspecifieke maatregelen¶
8.25.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
132 by default ook opnemen en verplaatsen naar 8.27.01. RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders.¶
Beheersmaatregel 8.26 Toepassingsbeveiligingseisen¶
Er behoren eisen aan de informatiebeveiliging te worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen.
Verplichte overheidsspecifieke maatregelen¶
8.26.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.27 Veilige systeemarchitectuur en technische uitgangspunten¶
Uitgangspunten voor het ontwerpen van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen.
Verplichte overheidsspecifieke maatregelen¶
8.27.01 Best Practices rondom 'security by design' en 'security by default' zijn uitgangspunt voor de ontwikkeling van software en systemen.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
132 maatregel verplaatst van 8.25.1, nadere uitwerking in memorie van toelichting. Tekst verder aangepast door suggestie van CIO rijk¶
Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.28 Veilig coderen¶
Er behoren principes voor veilig coderen te worden toegepast op softwareontwikkeling.
Verplichte overheidsspecifieke maatregelen¶
8.28.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: Nadere uitwerking in memory van toelichting. RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie¶
Processen voor het testen van de beveiliging behoren te worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus.
Verplichte overheidsspecifieke maatregelen¶
8.29.01 Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd.¶
Van de resultaten van de testen wordt verslag gemaakt.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
61 samenvoegen van de 01 en 02¶
Beheersmaatregel 8.30 Uitbestede systeemontwikkeling¶
De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.
Verplichte overheidsspecifieke maatregelen¶
8.30.01 Interne maatregelen voor systeemontwikkeling zijn onverkort van toepassing op uitbestede ontwikkeling, aangevuld met maatregelen die volgen vanuit uitbestedingen.¶
Draagt bij aan: Basishygiëne, NIS2, ketenhygiëne
verwerkte opmerkingen: Tekstvoorstel CIO rijk overgenomen
Beheersmaatregel 8.31 Scheiden van ontwikkel-, test- en productieomgevingen¶
Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden en beveiligd.
Verplichte overheidsspecifieke maatregelen¶
8.31.01 In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
60 CISO toevoegen aan maatregel #122 schriftelijk weggehaald¶
verplaatst
8.31.02 Significante wijzigingen in de productieomgeving worden altijd getest voordat zij in productie gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
60 Significante en CISO toevoegd #122 schriftelijk wegehaald. CIO rijk suggestie meegenomen. ADR suggestie meegenomen¶
verplaatst
Beheersmaatregel 8.32 Wijzigingsbeheer¶
Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.
Verplichte overheidsspecifieke maatregelen¶
8.32.01 In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan:¶
- het administreren van wijzigingen, hierin ook de resultaten van het testplan;
- risicoafweging van mogelijke gevolgen van de wijzigingen hieronder ook een beschreven rollbackplan;
- goedkeuringsprocedure voor wijzigingen.
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen: Tekstvoorstel CIO rijk overgenomen
8.32.02 Wijzigingsbeheer vindt plaats op basis van een†algemeen geaccepteerd beheerraamwerk.¶
Draagt bij aan: Basishygiëne, NIS2
verwerkte opmerkingen:
ongewijzigd
Beheersmaatregel 8.33 Testgegevens¶
Testgegevens behoren op passende wijze te worden geselecteerd, beschermd en beheerd.
Verplichte overheidsspecifieke maatregelen¶
8.33.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen
Beheersmaatregel 8.34 Bescherming van informatiesystemen tijdens audits¶
Audittests en andere auditactiviteiten waarbij operationele systemen worden beoordeeld, behoren te worden gepland en overeengekomen tussen de tester en het verantwoordelijke management.
Verplichte overheidsspecifieke maatregelen¶
8.34.01 Als de beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de ISO 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.¶
Draagt bij aan:
verwerkte opmerkingen: RDI heeft tekstvoorstel gedaan voor alle beheersmaatregelen zonder overheidsmaatregelen. Omwille van leesbaarheid tekst laten staan. Latere opmaak is anders. Oorspronkelijk geen maatregel, maar wel de ISO volgen