Categorie:Elementen
Deze categorie bevat alle elementen die in de wiki zijn aangemaakt. Elementen kunnen worden aangemaakt met behulp van het formulier Deze categorie gebruikt het formulier Element..
Ondercategorieën
Deze categorie bevat alleen de volgende subcategorie.
O
- Ongeldige elementen (leeg)
Pagina’s in categorie "Elementen"
Deze categorie bevat de volgende 200 pagina’s, van de 55.525 in totaal.
(vorige pagina) (volgende pagina)1
- 10.7.1 Beheer van verwijderbare media
- 10.7.1.1 Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media.
- 10.7.1.2 Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole.
- 10.7.1.3 In het geval dat media een kortere verwachte levensduur hebben dan de gegevens die ze bevatten, worden de gegevens gekopieerd wanneer 75% van de levensduur van het medium is verstreken.
- 10.7.1.4 Gegevensdragers worden behandeld volgens de voorschriften van de fabrikant.
- 10.7.2 Verwijdering van media
- 10.7.2.1 Er zijn procedures vastgesteld en in werking voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media.
- 10.7.3 Procedures voor de behandeling van informatie
- 10.7.3.1 Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
- 10.7.4 Beveiliging van systeemdocumentatie
- 10.7.4.1 Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij toegankelijk.
- 10.7.4.2 Wanneer de eigenaar er expliciet voor kiest om gerubriceerde systeemdocumentatie buiten de gemeente te brengen, doet hij dat niet zonder risicoafweging.
- 10.8 Uitwisseling van informatie
- 10.8.1 Beleid en procedures voor informatie-uitwisseling
- 10.8.1.1 Het meenemen van Departementaal Vertrouwelijke of vergelijkbaar geclassificeerde informatie, of hogere, buiten de gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is.
- 10.8.1.2 Medewerkers zijn geïnstrueerd om zodanig om te gaan met (telefoon)gesprekken, e-mail, faxen ingesproken berichten op antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.
- 10.8.1.3 Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.
- 10.8.1.4 Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij de printer te laten liggen.
- 10.8.1.5 Er zijn maatregelen getroffen om het automatisch doorsturen van interne e-mail berichten naar externe e-mail adressen te voorkomen.
- 10.8.2 Uitwisselingsovereenkomsten
- 10.8.2.1 Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen organisaties
- 10.8.2.2 Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, alsmede procedures over melding van incidenten.
- 10.8.2.3 Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd.
- 10.8.2.4 Indien mogelijk wordt binnenkomende programmatuur (zowel op fysieke media als gedownload) gecontroleerd op ongeautoriseerde wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat.
- 10.8.3 Fysieke media die worden getransporteerd
- 10.8.3.1 Om vertrouwelijke informatie te beschermen worden maatregelen genomen
- 10.8.3.2 Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.
- 10.8.4 Elektronisch berichtenuitwisseling
- 10.8.4.1 Digitale documenten binnen de gemeente waar eindgebruikers rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie.
- 10.8.4.2 Er is een (spam) filter geactiveerd voor e-mail berichten.
- 10.8.5 Systemen voor bedrijfsinformatie
- 10.8.5.1 Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het gebruik van gemeentelijk informatie in kantoorapplicaties met zich meebrengen en richtlijnen voor de bepaling van de beveiliging van deze informatie binnen deze kantoorapplicaties.
- 10.9 Diensten voor e-commerce
- 10.9.1 E-commerce
- 10.9.1.1 Conform verplichting worden authentieke basisregistraties van de overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruik)
- 10.9.2 Online-transacties
- 10.9.2.1 Een transactie wordt bevestigd (geautoriseeerd) door een (gekwalificeerde) elektronische handtekening of een andere wilsuiting (bijv. een TAN code) van de gebruiker.
- 10.9.2.2 Een transactie is versleuteld, de partijen zijn geauthenticeerd en de privacy van betrokken partijen is gewaarborgd.
- 10.9.3 Openbaar beschikbare informatie
- 10.9.3.1 Er zijn procedures die waarborgen dat gepubliceerde informatie is aangeleverd door daartoe geautoriseerde medewerkers.
- BedrijfsarchitectuurOmgevingswetgemeenten/id-2108d4d0
- BedrijfsprocessenOmgevingswetgemeenten/id-2108d4d0
- Omgevingswet/1.5/id-62adb3f4-9414-411a-8d29-5938670f6862
- 11 Toegangsbeveiliging
- 11.1 Toegangsbeleid
- 11.1.1 Toegangsbeleid
- 11.1.1.1 Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.
- 11.2 Beheer van toegangsrechten van gebruikers
- 11.2.1 Registratie van gebruikers
- 11.2.1.1 Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
- 11.2.1.2 Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.
- 11.2.1.3 Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.
- 11.2.2 Beheer van (speciale) bevoegdheden
- 11.2.2.1 Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).
- 11.2.2.2 Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.
- 11.2.2.3 Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando’s.
- 11.2.2.4 Er is aandacht voor het wijzigen van bevoegdheden bij verandering van functie / afdeling.
- 11.2.3 Beheer van gebruikerswachtwoorden
- 11.2.3.1 Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met een salt opgeslagen.
- 11.2.3.2 Ten aanzien van wachtwoorden geldt
- 11.2.4 Beoordeling van toegangsrechten van gebruikers
- 11.2.4.1 Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.
- 11.3 Verantwoordelijkheden van gebruikers
- 11.3.1 Gebruik van wachtwoorden
- 11.3.1.1 Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende
- 11.3.2 Onbeheerde gebruikersapparatuur
- 11.3.2.1 De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : 11.5.5)
- 11.3.3 Clear desk en clear screen
- 11.3.3.1 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
- 11.3.3.2 Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie “beveiligd afdrukken” (pincode verificatie).
- 11.3.3.3 Schermbeveiligingsprogrammatuur (een screensaver) maakt na een periode van inactiviteit van maximaal 15 minuten alle informatie op het beeldscherm onleesbaar en ontoegankelijk.
- 11.3.3.4 Toegangsbeveiliging lock wordt automatisch geactiveerd bij het verwijderen van een token (indien aanwezig).
- 11.4 Toegangsbeheersing voor netwerken
- 11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten
- 11.4.1.1 Er is een gedocumenteerd beleid met betrekking tot het gebruik van netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3.
- 11.4.2 Authenticatie van gebruikers bij externe verbindingen
- 11.4.2.1 Zie ook 11.6.1.3.
- 11.4.3 Identificatie van (netwerk)apparatuur
- 11.4.3.1 Alleen geïdentificeerde en geauthentiseerde apparatuur kan worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, apparatuur (Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde zone.
- 11.4.4 Bescherming op afstand van poorten voor diagnose en configuraties
- 11.4.4.1 Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer die niet vereist zijn voor de dienst dienen te worden afgesloten.
- 11.4.5 Scheiding van netwerken
- 11.4.5.1 Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is.
- 11.4.5.2 De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd.
- 11.4.5.3 Elke zone heeft een gedefinieerd beveiligingsniveau
- 11.4.5.4 Beheer en audit van zones vindt plaats vanuit een minimaal logisch gescheiden, separate zone.
- 11.4.5.5 Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen).
- 11.4.6 Beheersmaatregelen voor netwerkverbindingen
- 11.4.6.1 Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt
- 11.4.7 Beheersmaatregelen voor netwerkroutering
- 11.4.7.1 Netwerken zijn voorzien van beheersmaatregelen voor routering gebaseerd op mechanismen ter verificatie van bron en bestemmingsadressen.
- 11.5 Toegangsbeveiliging voor besturingssystemen
- 11.5.1 Beveiligde inlogprocedures
- 11.5.1.1 Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.
- 11.5.1.2 Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens.
- 11.5.1.3 Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden.
- 11.5.1.4 Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem.
- 11.5.1.5 Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd.
- 11.5.2 Gebruikersidentificatie en –authenticatie
- 11.5.2.1 Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.
- 11.5.2.2 Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.
- 11.5.2.3 Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien.
- 11.5.3 Systemen voor wachtwoordenbeheer
- 11.5.3.1 Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden , regelmatige wijziging, directe wijziging van initieel wachtwoord).
- 11.5.3.2 Wachtwoorden hebben een geldigheidsduur zoals beschreven bij 11.2.3 . Daarbinnen dient het wachtwoord te worden gewijzigd. Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd.
- 11.5.3.3 Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd.
- 11.5.3.4 De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen.
- 11.5.4 Gebruik van systeemhulpmiddelen
- 11.5.4.1 Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.
- 11.5.5 Time-out van sessies
- 11.5.5.1 De periode van inactiviteit van een werkstation is vastgesteld op maximaal 15 minuten.
- 11.5.6 Beperking van verbindingstijd
- 11.5.6.1 De toegang voor onderhoud op afstand door een leverancier wordt alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. Met 2-factor authenticatie en tunneling.
- 11.6 Toegangsbeheersing voor toepassingen en informatie
- 11.6.1 Beperken van toegang tot informatie
- 11.6.1.1 In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.
- 11.6.1.2 Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.
- 11.6.1.3 Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.
- 11.6.1.4 Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.
- 11.6.2 Isoleren van gevoelige systemen
- 11.6.2.1 Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden.
- 11.7 Draagbare computers en telewerken
- 11.7.1 Draagbare computers en communicatievoorzieningen
- 11.7.1.1 Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (“zero footprint”)
- 11.7.1.2 Er zijn, waar mogelijk, voorzieningen om de actualiteit van anti-malware programmatuur op mobiele apparaten te garanderen.
- 11.7.1.3 Bij melding van verlies of diefstal wordt de communicatiemogelijkheid met de centrale applicaties afgesloten.
- 11.7.2 Telewerken
- 11.7.2.1 Er wordt een beleid met gedragsregels en een geschikte implementatie van de techniek opgesteld t.a.v. telewerken.
- 11.7.2.2 Er wordt beleid vastgesteld met daarin de uitwerking welke systemen niet en welke systemen wel vanuit de thuiswerkplek of andere telewerkvoorzieningen mogen worden geraagdpleegd.
- 11.7.2.3 De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt opgeslagen (“zero footprint”)
- BedrijfsarchitectuurOmgevingswetgemeenten/id-b279e5a5
- BedrijfsprocessenOmgevingswetgemeenten/id-b279e5a5
- Omgevingswet/1.5/id-a73d3f25-dbdd-4888-822e-ca23a763fcb9
- 12 eisen aan basisregistraties
- 12 Verwerving ontwikkeling en onderhoud van Informatiesystemen
- 12.1 Beveiligingseisen voor informatiesystemen
- 12.1.1 Analyse en specificatie van beveiligingseisen
- 12.1.1.1 In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties meegenomen.
- 12.1.1.2 In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten.
- 12.1.1.3 Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is van de specificatie.
- 12.1.1.4 Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product verantwoord onderbouwd.
- 12.1.1.5 Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring of certificering volgens ISO/IEC 15408 (common criteria) .
- 12.1.1.6 Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.
- 12.2 Correcte verwerking in toepassingen
- 12.2.1 Validatie van invoergegevens
- 12.2.1.1 Er moeten controles worden uitgevoerd op de invoer van gegevens.
- 12.2.2 Beheersing van interne gegevensverwerking
- 12.2.2.1 Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen.
- 12.2.2.2 Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactie- en verwerkingsfouten kunnen worden gedetecteerd.
- 12.2.2.3 Stapelen van fouten wordt voorkomen door toepassing van “noodstop” mechanismen.
- 12.2.2.4 Verwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van fouten en/of wegraken van informatie dit hersteld kan worden door het opnieuw verwerken van de informatie.
- 12.2.3 Integriteit van berichten
- 12.2.3.1 Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.
- 12.2.4 Validatie van uitvoergegevens
- 12.2.4.1 De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door checksums).
- 12.2.4.2 Bij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste niveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. beveiligd printen).
- 12.2.4.3 Alleen gegevens die noodzakelijk zijn voor de doeleinden van de gebruiker worden uitgevoerd (need to know).
- 12.3 Cryptografische beheersmaatregelen
- 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen
- 12.3.1.1 De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
- 12.3.1.2 Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.
- 12.3.1.3 De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).
- 12.3.2 Sleutelbeheer
- 12.3.2.1 In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
- 12.3.2.2 De geldigheidsduur van cryptografische sleutels wordt bepaald aan de hand van de beoogde toepassing en is vastgelegd in het cryptografisch beleid.
- 12.3.2.3 De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels.
- 12.3.2.4 Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels.
- 12.3.2.5 Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid
- 12.4 Beveiliging van systeembestanden
- 12.4.1 Beheersing van operationele programmatuur
- 12.4.1.1 Alleen geautoriseerd personeel kan functies en software installeren of activeren.
- 12.4.1.2 Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie.
- 12.4.1.3 Geïnstalleerde programmatuur, configuraties en documentatie worden bijgehouden in een configuratiedatabase.
- 12.4.1.4 Er worden alleen door de leverancier onderhouden (versies van) software gebruikt.
- 12.4.1.5 Van updates wordt een log bijgehouden.
- 12.4.1.6 Er is een rollbackstrategie.
- 12.4.2 Bescherming van testdata
- 12.4.2.1 Het gebruik van kopieën van operationele databases voor testgegevens wordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel mogelijk geanonimiseerd en na de test zorgvuldig verwijderd.
- 12.4.3 Toegangsbeheersing voor broncode van programmatuur
- 12.4.3.1 De toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen hebben toegang.
- 12.4.3.2 Broncode staat op aparte (logische) systemen.
- 12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen
- 12.5.1 Procedures voor wijzigingsbeheer
- 12.5.1.1 Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.
- 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem
- 12.5.2.1 Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.
- 12.5.3 Restricties op wijzigingen in programmatuurpakketten
- 12.5.3.1 Bij het instellen van besturingsprogrammatuur en programmapakketten wordt uitgegaan van de aanwijzingen van de leverancier.
- 12.5.4 Uitlekken van informatie
- 12.5.4.1 Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats.
- 12.5.4.2 Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)
- 12.5.5 Uitbestede ontwikkeling van programmatuur
- 12.5.5.1 Uitbestede ontwikkeling van programmatuur komt tot stand onder supervisie en verantwoordelijkheid van de uitbestedende organisatie.
- 12.6 Beheer van technische kwetsbaarheden
- 12.6.1 Beheersing van technische kwetsbaarheden
- 12.6.1.1 Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
- 12.6.1.2 Van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.
- 12.6.1.3 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
- 12.6.1.4 Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week.
- 12.6.1.5 Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.