| ID | 10.10.3 |
| Type maatregel | ISO beheersmaatregel |
| Beschrijving | Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, moeten worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en -processen en met heroverweging van risico's. |
| Thema | 10 Beheer van Communicatie- en Bedieningsprocessen |
| Geeft invulling aan Doelstelling | 10.10 Controle (ID: 10.10) |
| even als | |
| Voorbeeldbeheersmaatregelen | - 10.10.3.1 Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
- 10.10.3.2 (A) Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten. (Aanvullend)
- 10.10.3.3 Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
- 10.10.3.4 De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden.
- 10.10.3.5 (A) De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht, met een minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar. (Aanvullend)
- 10.10.3.6 Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).
|
Deze pagina is het laatst bewerkt op 18 apr 2018 om 07:59.
