Eigenschap:Semantictitle

_12fb8079-a971-4bc2-9a8a-06eb1652665f  +

_46aa28fc-b5a8-47b9-b02b-11f1036b0124  +

_6198d9a1-d7f6-47ed-aef5-de8b7e9b41fd  +

_65b286b4-e41f-42a2-a921-314cca24860f  +

_89b8b16a-85dd-40c0-96e3-aac8e82aadb7  +

_Generated  +

_Generated  +

_Model_check  +

_Ongesorteerd  +

_Ongesorteerd  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_Sync GEMMA en project  +

_archief  +

_c9cbfd3a-c830-4797-b1a7-2b46506a3a2c  +

_da7299ae-8fcc-4c8f-b374-a1ef2bd7555a  +

(1) Bronnen  +

(2) Ontsluiting  +

(3) integratie  +

(4) Proceslogica  +

(5) Presentatie  +

(Andere) gemeente  +

(Andere) gemeente  +

(Andere) gemeente  +

(Door)ontwikkelen platformdienst  +

(Hoofd)bedrijfsfuncties  +

(Hoofd)bedrijfsfuncties  +

(Hoofd)bedrijfsfuncties  +

(Hoofd)bedrijfsfuncties  +

(Hoofd)bedrijfsfuncties  +

(Hoofd)bedrijfsfuncties  +

(Nog) niet opgenomen in SWC  +

(Nog) niet opgenomen in SWC  +

(Nog) niet opgenomen in SWC  +

(Nog) niet opgenomen in SWC  +

(Nog) niet opgenomen in SWC  +

(Nog) niet opgenomen in SWC  +

(Nog) niet opgenomen in SWC  +

(Vertegenwoordiger van) bedrijf of instelling authentiseren en machtiging toetsen  +

* 111 ⇒ BBN 1 * 112 ⇒ BBN 2 en beschikbaarheids- en integriteitsmaatregelen op BBN1 * 113 ⇒ BBN 3 en beschikbaarheids- en integriteitsmaatregelen op BBN1 * 121 ⇒ BBN 1 en BBN2 integriteitsmaatregelen * 122 ⇒ BBN 2 en beschikbaarheidsmaat...   +

* 111 ⇒ BBN 1 * 112 ⇒ BBN 2 en beschikbaarheids- en integriteitsmaatregelen op BBN1 * 113 ⇒ BBN 3 en beschikbaarheids- en integriteitsmaatregelen op BBN1 * 121 ⇒ BBN 1 en BBN2 integriteitsmaatregelen * 122 ⇒ BBN 2 en beschikbaarheidsmaat...   +

* 211 ⇒ BBN 1 en BBN2 beschikbaarheidsmaatregelen * 212 ⇒ BBN 2 en integriteitsmaatregelen op BBN1 * 213 ⇒ BBN 3 en beschikbaarheidsmaatregelen op BBN2 en integriteitsmaatregelen op BBN1 * 221 ⇒ BBN 1 en BBN2 beschikbaarheids en integriteits...   +

* 211 ⇒ BBN 1 en BBN2 beschikbaarheidsmaatregelen * 212 ⇒ BBN 2 en integriteitsmaatregelen op BBN1 * 213 ⇒ BBN 3 en beschikbaarheidsmaatregelen op BBN2 en integriteitsmaatregelen op BBN1 * 221 ⇒ BBN 1 en BBN2 beschikbaarheids en integriteits...   +

* 311 ⇒ BBN 1 en risicoanalyse voor beschikbaarheid * 312 ⇒ BBN 2 en risicoanalyse voor beschikbaarheid * 313 ⇒ BBN 3 en risicoanalyse voor beschikbaarheid * 321 ⇒ BBN 1 en risicoanalyse voor beschikbaarheid * 322 ⇒ BBN 2 en risicoanalyse...   +

* 311 ⇒ BBN 1 en risicoanalyse voor beschikbaarheid * 312 ⇒ BBN 2 en risicoanalyse voor beschikbaarheid * 313 ⇒ BBN 3 en risicoanalyse voor beschikbaarheid * 321 ⇒ BBN 1 en risicoanalyse voor beschikbaarheid * 322 ⇒ BBN 2 en risicoanalyse...   +

.  +

.  +

...  +

.archimate bestand  +

0 Bestuur, Politiek en Ondersteuning  +

0 Geen - objecten die niet op een view staan  +

0 Geen - objecten die niet op een view staan  +

00 - Gemeente Applicaties  +

001 Ontwikkelen omgevingsvisie  +

001 Ontwikkelen omgevingsvisie  +

001 Ontwikkelen omgevingsvisie  +

001 Ontwikkelen omgevingsvisie  +

002 Ontwikkelen programma  +

002 Ontwikkelen programma  +

002 Ontwikkelen programma  +

002 Ontwikkelen programma  +

003 Wijzigen omgevingsplan  +

003 Wijzigen omgevingsplan  +

003 Wijzigen omgevingsplan  +

003 Wijzigen omgevingsplan  +

003 Wijzigen omgevingsplan  +

003-00 Wijziging omgevingsplan  +

003-01 Voorbereiden wijziging omgevingsplan  +

003-01 Voorbereiden wijziging omgevingsplan  +

003-01 Voorbereiden wijziging omgevingsplan  +

003-01 Voorbereiden wijziging omgevingsplan  +

003-02 Ontwerpen wijziging omgevingsplan  +

003-02 Ontwerpen wijziging omgevingsplan  +

003-02 Ontwerpen wijziging omgevingsplan  +

003-02 Ontwerpen wijziging omgevingsplan  +

003-03 Besluiten wijziging omgevingsplan  +

003-03 Besluiten wijziging omgevingsplan  +

003-03 Besluiten wijziging omgevingsplan  +

003-03 Besluiten wijziging omgevingsplan  +

003-04 Bekendmaken wijziging omgevingsplan  +

003-04 Bekendmaken wijziging omgevingsplan  +

003-04 Bekendmaken wijziging omgevingsplan  +

003-04 Bekendmaken wijziging omgevingsplan  +

005 Ontwikkelen projectbesluit  +

005 Ontwikkelen projectbesluit  +

005 Ontwikkelen projectbesluit  +

005 Ontwikkelen projectbesluit  +

006 Voorlichten en beantwoorden vragen  +

006 Voorlichten en beantwoorden vragen  +

006 Voorlichten en beantwoorden vragen  +

006 Voorlichten en beantwoorden vragen  +

007 Ontwikkelen AMvB’s en Omgevingsregeling  +

013 Verkennen en begeleiden initiatief  +

013 Verkennen en begeleiden initiatief  +

013 Verkennen en begeleiden initiatief  +

013 Verkennen en begeleiden initiatief  +

013 Verkennen en begeleiden initiatief  +

013-01 Intake verzoek verkenning initiatief  +

013-01 Intake verzoek verkenning initiatief  +

013-01 Intake verzoek verkenning initiatief  +

013-01 Intake verzoek verkenning initiatief  +

013-02 Verkennen mogelijkheden initiatief  +

013-02 Verkennen mogelijkheden initiatief  +

013-02 Verkennen mogelijkheden initiatief  +

013-02 Verkennen mogelijkheden initiatief  +

013-03 Afstemmen ontwerp initiatief  +

013-03 Afstemmen ontwerp initiatief  +

013-03 Afstemmen ontwerp initiatief  +

013-03 Afstemmen ontwerp initiatief  +

013-04 Afstemmen vergunningaanvraag  +

013-04 Afstemmen vergunningaanvraag  +

013-04 Afstemmen vergunningaanvraag  +

013-04 Afstemmen vergunningaanvraag  +

014 Behandelen melding activiteit  +

014 Behandelen melding activiteit  +

014 Behandelen melding activiteit  +

014 Behandelen melding activiteit  +

015 Behandelen vergunningaanvraag  +

015 Behandelen vergunningaanvraag  +

015 Behandelen vergunningaanvraag  +

015 Behandelen vergunningaanvraag  +

015 Behandelen vergunningaanvraag  +

015-01 Intake vergunningaanvraag  +

015-01 Intake vergunningaanvraag  +

015-01 Intake vergunningaanvraag  +

015-01 Intake vergunningaanvraag  +

015-02 Inhoudelijk behandelen vergunningaanvraag  +

015-02 Inhoudelijk behandelen vergunningaanvraag  +

015-02 Inhoudelijk behandelen vergunningaanvraag  +

015-02 Inhoudelijk behandelen vergunningaanvraag  +

015-03 Besluiten vergunningaanvraag  +

015-03 Besluiten vergunningaanvraag  +

015-03 Besluiten vergunningaanvraag  +

015-03 Besluiten vergunningaanvraag  +

015-04 Bekendmaken besluit vergunningaanvraag  +

015-04 Bekendmaken besluit vergunningaanvraag  +

015-04 Bekendmaken besluit vergunningaanvraag  +

015-04 Bekendmaken besluit vergunningaanvraag  +

016 Behandelen bezwaar  +

016 Behandelen bezwaar  +

016 Behandelen bezwaar  +

016 Behandelen bezwaar  +

017 Verweren in beroep  +

017 Verweren in beroep  +

017 Verweren in beroep  +

017 Verweren in beroep  +

022 Toezichthouden  +

022 Toezichthouden  +

022 Toezichthouden  +

022 Toezichthouden  +

022 Toezichthouden  +

022-01 Intake toezichthouden  +

022-01 Intake toezichthouden  +

022-01 Intake toezichthouden  +

022-02 Voorbereiden toezichthouden  +

022-02 Voorbereiden toezichthouden  +

022-02 Voorbereiden toezichthouden  +

022-03 Uitvoeren toezichthouden  +

022-03 Uitvoeren toezichthouden  +

022-03 Uitvoeren toezichthouden  +

022-04 Afronden toezichthouden  +

022-04 Afronden toezichthouden  +

022-04 Afronden toezichthouden  +

023 Behandelen melding incident of handhavingsverzoek  +

023 Behandelen melding incident of handhavingsverzoek  +

023 Behandelen melding incident of handhavingsverzoek  +

023 Behandelen melding incident of handhavingsverzoek  +

023 Behandelen melding incident of handhavingsverzoek  +

023-01 Intake melding incident  +

023-01 Intake melding incident  +

023-01 Intake melding incident  +

023-01 Intake melding incident  +

023-02 Onderzoeken melding incident  +

023-02 Onderzoeken melding incident  +

023-02 Onderzoeken melding incident  +

023-02 Onderzoeken melding incident  +

023-03 Leveren reactie melding incident  +

023-03 Leveren reactie melding incident  +

023-03 Leveren reactie melding incident  +

023-03 Leveren reactie melding incident  +

024 Opsporen  +

024 Opsporen  +

024 Opsporen  +

024 Opsporen  +

025 Opleggen sanctie  +

025 Opleggen sanctie  +

025 Opleggen sanctie  +

025 Opleggen sanctie  +

025 Opleggen sanctie  +

025-01 Intake verzoek opleggen sanctie  +

025-01 Intake verzoek opleggen sanctie  +

025-01 Intake verzoek opleggen sanctie  +

025-01 Intake verzoek opleggen sanctie  +

025-02 Voorbereiden opleggen sanctie  +

025-02 Voorbereiden opleggen sanctie  +

025-02 Voorbereiden opleggen sanctie  +

025-02 Voorbereiden opleggen sanctie  +

025-03 Besluiten opleggen sanctie  +

025-03 Besluiten opleggen sanctie  +

025-03 Besluiten opleggen sanctie  +

025-03 Besluiten opleggen sanctie  +

025-04 Bekendmaken besluit opleggen sanctie  +

025-04 Bekendmaken besluit opleggen sanctie  +

025-04 Bekendmaken besluit opleggen sanctie  +

025-04 Bekendmaken besluit opleggen sanctie  +

026 Toepassen sanctie  +

026 Toepassen sanctie  +

026 Toepassen sanctie  +

026 Toepassen sanctie  +

026 Toepassen sanctie  +

026-01 Intake toepassen sanctie  +

026-01 Intake toepassen sanctie  +

026-01 Intake toepassen sanctie  +

026-01 Intake verzoek toepassen sanctie  +

026-02 Voorbereiden toepassen sanctie  +

026-02 Voorbereiden toepassen sanctie  +

026-02 Voorbereiden toepassen sanctie  +

026-02 Voorbereiden toepassen sanctie  +

026-03 Uitvoeren toepassen sanctie  +

026-03 Uitvoeren toepassen sanctie  +

026-03 Uitvoeren toepassen sanctie  +

026-03 Uitvoeren toepassen sanctie  +

031 Instrueren andere overheid  +

031 Instrueren andere overheid  +

031 Instrueren andere overheid  +

031 Instrueren andere overheid  +

032 Reageren op plannen andere overheid  +

032 Reageren op plannen andere overheid  +

032 Reageren op plannen andere overheid  +

032 Reageren op plannen andere overheid  +

041 Adviseren  +

041 Adviseren  +

041 Adviseren  +

041 Adviseren  +

042 Instemmen  +

042 Instemmen  +

042 Instemmen  +

042 Instemmen  +

043 Samen realiseren  +

043 Samen realiseren  +

043 Samen realiseren  +

043 Samen realiseren  +

044 Regievoeren op samenwerking  +

044 Regievoeren op samenwerking  +

044 Regievoeren op samenwerking  +

044 Regievoeren op samenwerking  +

051 Behandelen terugmelding  +

051 Behandelen terugmelding  +

051 Behandelen terugmelding  +

051 Behandelen terugmelding  +

052 Beheren informatie over objecten  +

053 Aanleveren brondata  +

061 Monitoren en analyseren  +

061 Monitoren en analyseren  +

061 Monitoren en analyseren  +

061 Monitoren en analyseren  +

1 Niet - view wordt niet gepubliceerd  +

1 Niet - view wordt niet gepubliceerd  +

1 Niet - view wordt niet gepubliceerd  +

1 Niet - view wordt niet gepubliceerd  +

1 Niet - view wordt niet gepubliceerd  +

1 Publicatietest  +

1 Publicatietest  +

1 Publicatietest  +

1 Publicatietest  +

1 Publicatietest  +

1 Publicatietest  +

1 Veiligheid en Vergunningen  +

1. Procesclusters  +

1. Strategie en motivatie  +

10 Beheer van Communicatie- en Bedieningsprocessen  +

10 Dienstverlening  +

10 basisregistraties  +

10.1 Bedieningsprocedures en -verantwoordelijkheden  +

10.1.1 Gedocumenteerde bedieningsprocedures  +

10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.  +

10.1.1.2 Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.  +

10.1.2 Wijzigingsbeheer  +

10.1.2.1 In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan  +

10.1.2.2 Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd.  +

10.1.3 Functiescheiding  +

10.1.3.1 Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen.  +

10.1.3.2 Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker.  +

10.1.3.3 Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd.  +

10.1.3.4 Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.  +

10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie  +

10.1.4.1 Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.  +

10.1.4.2 Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt wordt.  +

10.1.4.3 Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving.  +

10.10 Controle  +

10.10.1 Aanmaken audit-logbestanden  +

10.10.1.1 Van logbestanden worden rapportages gemaakt die periodiek worden beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden.  +

10.10.1.2 Een logregel bevat minimaal  +

10.10.1.3 In een logregel worden in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.).  +

10.10.1.4 Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM )  +

10.10.1.5 Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie.  +

10.10.2 Controle van systeemgebruik  +

10.10.2.1 De volgende gebeurtenissen worden in ieder geval opgenomen in de logging  +

10.10.3 Bescherming van informatie in logbestanden  +

10.10.3.1 Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.  +

10.10.3.2 Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.  +

10.10.3.3 Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.  +

10.10.3.4 De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.  +

10.10.3.5 De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht, met een minimum van drie maanden, conform de wensen van de systeemeigenaar.  +

10.10.3.6 Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie.  +

10.10.4 Logbestanden van administrators en operators  +

10.10.4.1 Zie 10.10.1  +

10.10.5 Registratie van storingen  +

10.10.5.1 Zie 10.10.1  +

10.10.6 Synchronisatie van systeemklokken  +

10.10.6.1 Systeemklokken worden zodanig gesynchroniseerd dat altijd een betrouwbare analyse van logbestanden mogelijk is.  +

10.2 Exploitatie door een derde partij  +

10.2.1 Dienstverlening  +

10.2.1.1 De uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid van uitbestede diensten.  +

10.2.1.2 Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager.  +

10.2.2 Controle en beoordeling van dienstverlening door een derde partij  +

10.2.2.1 Er worden afspraken gemaakt over de inhoud van rapportages, zoals over het melden van incidenten en autorisatiebeheer.  +

10.2.2.2 De in dienstverleningscontracten vastgelegde betrouwbaarheidseisen worden gemonitord.  +

10.2.2.3 Er zijn voor beide partijen eenduidige aanspreekpunten.  +

10.2.3 Beheer van wijzigingen in dienstverlening door een derde partij  +

10.2.3.1 Zie 10.1.2  +

10.3 Systeemplanning en –acceptatie  +

10.3.1 Capaciteitsbeheer  +

10.3.1.1 De ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid.  +

10.3.1.2 Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke middelen  +

10.3.1.3 In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te signaleren en hierop te reageren.  +

10.3.2 Systeem acceptatie  +

10.3.2.1 Van acceptatietesten wordt een log bijgehouden.  +

10.3.2.2 Er zijn acceptatiecriteria vastgesteld voor het testen van de beveiliging. Dit betreft minimaal OWASP of gelijkwaardig.  +

10.4 Bescherming tegen virussen en ‘mobile code’  +

10.4.1 Maatregelen tegen virussen  +

10.4.1.1 Bij het openen van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, automatisch plaats.  +

10.4.1.2 Inkomende en uitgaande e-mails worden gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, (automatisch) plaats.  +

10.4.1.3 In verschillende schakels van een keten binnen de infrastructuur van een organisatie wordt bij voorkeur antivirusprogrammatuur van verschillende leveranciers toegepast.  +

10.4.1.4 Er zijn maatregelen om verspreiding van virussen tegen te gaan en daarmee schade te beperken (bijv. quarantaine en compartimentering).  +

10.4.1.5 Er zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin minimaal maatregelen voor back-ups en herstel van gegevens en programmatuur zijn beschreven.  +

10.4.1.6 Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD de eindgebruiker verplicht is deze zelf toe te passen.  +

10.4.2 Maatregelen tegen ‘mobile code’  +

10.4.2.1 Mobile code wordt uitgevoerd in een logisch geïsoleerde omgeving (sandbox) om de kans op aantasting van de integriteit van het systeem te verkleinen.  +

10.4.2.2 Een gebruiker moet geen extra rechten kunnen toekennen aan programma’s (bijv. internet browsers) die mobiele code uitvoeren.  +

10.5 Back-up  +

10.5.1 Reservekopieën maken (back-ups)  +

10.5.1.1 Er zijn (geteste) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen.  +

10.5.1.2 Back-upstrategieën zijn vastgesteld op basis van het soort gegevens (bestanden, databases, enz.), de maximaal toegestane periode waarover gegevens verloren mogen raken, en de maximaal toelaatbare back-up- en hersteltijd.  +

10.5.1.3 Van back-upactiviteiten en de verblijfplaats van de media wordt een registratie bijgehouden, met een kopie op een andere locatie.  +

10.5.1.4 Back-ups worden bewaard op een locatie die zodanig is gekozen dat een incident op de oorspronkelijke locatie niet leidt tot schade aan de back-up.  +

10.5.1.5 De fysieke en logische toegang tot de back-ups, zowel van systeemschijven als van data, is zodanig geregeld dat alleen geautoriseerde personen zich toegang kunnen verschaffen tot deze back-ups.  +

10.6 Beheer van netwerkbeveiliging  +

10.6.1 Maatregelen voor netwerken  +

10.6.1.1 Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau komt.  +

10.6.1.2 Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.  +

10.6.1.3 Bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.  +

10.6.1.4 Er zijn procedures voor beheer van apparatuur op afstand.  +

10.6.2 Beveiliging van netwerkdiensten  +

10.6.2.1 Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten  +

10.7 Behandeling van media  +

10.7.1 Beheer van verwijderbare media  +

10.7.1.1 Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media.  +

10.7.1.2 Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole.  +

10.7.1.3 In het geval dat media een kortere verwachte levensduur hebben dan de gegevens die ze bevatten, worden de gegevens gekopieerd wanneer 75% van de levensduur van het medium is verstreken.  +

10.7.1.4 Gegevensdragers worden behandeld volgens de voorschriften van de fabrikant.  +

10.7.2 Verwijdering van media  +

10.7.2.1 Er zijn procedures vastgesteld en in werking voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media.  +

10.7.3 Procedures voor de behandeling van informatie  +

10.7.3.1 Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.  +

10.7.4 Beveiliging van systeemdocumentatie  +

10.7.4.1 Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij toegankelijk.  +

10.7.4.2 Wanneer de eigenaar er expliciet voor kiest om gerubriceerde systeemdocumentatie buiten de gemeente te brengen, doet hij dat niet zonder risicoafweging.  +

10.8 Uitwisseling van informatie  +

10.8.1 Beleid en procedures voor informatie-uitwisseling  +

10.8.1.1 Het meenemen van Departementaal Vertrouwelijke of vergelijkbaar geclassificeerde informatie, of hogere, buiten de gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is.  +

10.8.1.2 Medewerkers zijn geïnstrueerd om zodanig om te gaan met (telefoon)gesprekken, e-mail, faxen ingesproken berichten op antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.  +

10.8.1.3 Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.  +

10.8.1.4 Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij de printer te laten liggen.  +

10.8.1.5 Er zijn maatregelen getroffen om het automatisch doorsturen van interne e-mail berichten naar externe e-mail adressen te voorkomen.  +

10.8.2 Uitwisselingsovereenkomsten  +

10.8.2.1 Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen organisaties  +

10.8.2.2 Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, alsmede procedures over melding van incidenten.  +

10.8.2.3 Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd.  +

10.8.2.4 Indien mogelijk wordt binnenkomende programmatuur (zowel op fysieke media als gedownload) gecontroleerd op ongeautoriseerde wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat.  +

10.8.3 Fysieke media die worden getransporteerd  +

10.8.3.1 Om vertrouwelijke informatie te beschermen worden maatregelen genomen  +

10.8.3.2 Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.  +

10.8.4 Elektronisch berichtenuitwisseling  +

10.8.4.1 Digitale documenten binnen de gemeente waar eindgebruikers rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie.  +

10.8.4.2 Er is een (spam) filter geactiveerd voor e-mail berichten.  +

10.8.5 Systemen voor bedrijfsinformatie  +

10.8.5.1 Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het gebruik van gemeentelijk informatie in kantoorapplicaties met zich meebrengen en richtlijnen voor de bepaling van de beveiliging van deze informatie binnen deze kantoorapplicaties.  +

10.9 Diensten voor e-commerce  +

10.9.1 E-commerce  +

10.9.1.1 Conform verplichting worden authentieke basisregistraties van de overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruik)  +

10.9.2 Online-transacties  +

10.9.2.1 Een transactie wordt bevestigd (geautoriseeerd) door een (gekwalificeerde) elektronische handtekening of een andere wilsuiting (bijv. een TAN code) van de gebruiker.  +

10.9.2.2 Een transactie is versleuteld, de partijen zijn geauthenticeerd en de privacy van betrokken partijen is gewaarborgd.  +

10.9.3 Openbaar beschikbare informatie  +

10.9.3.1 Er zijn procedures die waarborgen dat gepubliceerde informatie is aangeleverd door daartoe geautoriseerde medewerkers.  +

11 Toegangsbeveiliging  +

11.1 Toegangsbeleid  +

11.1.1 Toegangsbeleid  +

11.1.1.1 Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.  +

11.2 Beheer van toegangsrechten van gebruikers  +

11.2.1 Registratie van gebruikers  +

11.2.1.1 Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.  +

11.2.1.2 Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.  +

11.2.1.3 Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.  +

11.2.2 Beheer van (speciale) bevoegdheden  +

11.2.2.1 Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).  +

11.2.2.2 Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.  +

11.2.2.3 Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando’s.  +

11.2.2.4 Er is aandacht voor het wijzigen van bevoegdheden bij verandering van functie / afdeling.  +

11.2.3 Beheer van gebruikerswachtwoorden  +

11.2.3.1 Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met een salt opgeslagen.  +

11.2.3.2 Ten aanzien van wachtwoorden geldt  +

11.2.4 Beoordeling van toegangsrechten van gebruikers  +

11.2.4.1 Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.  +

11.3 Verantwoordelijkheden van gebruikers  +

11.3.1 Gebruik van wachtwoorden  +

11.3.1.1 Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende  +

11.3.2 Onbeheerde gebruikersapparatuur  +

11.3.2.1 De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : 11.5.5)  +

11.3.3 Clear desk en clear screen  +

11.3.3.1 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).  +

11.3.3.2 Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie “beveiligd afdrukken” (pincode verificatie).  +

11.3.3.3 Schermbeveiligingsprogrammatuur (een screensaver) maakt na een periode van inactiviteit van maximaal 15 minuten alle informatie op het beeldscherm onleesbaar en ontoegankelijk.  +

11.3.3.4 Toegangsbeveiliging lock wordt automatisch geactiveerd bij het verwijderen van een token (indien aanwezig).  +

11.4 Toegangsbeheersing voor netwerken  +

11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten  +

11.4.1.1 Er is een gedocumenteerd beleid met betrekking tot het gebruik van netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3.  +

11.4.2 Authenticatie van gebruikers bij externe verbindingen  +

11.4.2.1 Zie ook 11.6.1.3.  +

11.4.3 Identificatie van (netwerk)apparatuur  +

11.4.3.1 Alleen geïdentificeerde en geauthentiseerde apparatuur kan worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, apparatuur (Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde zone.  +

11.4.4 Bescherming op afstand van poorten voor diagnose en configuraties  +

11.4.4.1 Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer die niet vereist zijn voor de dienst dienen te worden afgesloten.  +

11.4.5 Scheiding van netwerken  +

11.4.5.1 Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is.  +

11.4.5.2 De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd.  +

11.4.5.3 Elke zone heeft een gedefinieerd beveiligingsniveau  +

11.4.5.4 Beheer en audit van zones vindt plaats vanuit een minimaal logisch gescheiden, separate zone.  +

11.4.5.5 Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen).  +

11.4.6 Beheersmaatregelen voor netwerkverbindingen  +

11.4.6.1 Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt  +

11.4.7 Beheersmaatregelen voor netwerkroutering  +

11.4.7.1 Netwerken zijn voorzien van beheersmaatregelen voor routering gebaseerd op mechanismen ter verificatie van bron en bestemmingsadressen.  +

11.5 Toegangsbeveiliging voor besturingssystemen  +

11.5.1 Beveiligde inlogprocedures  +

11.5.1.1 Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.  +

11.5.1.2 Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens.  +

11.5.1.3 Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden.  +

11.5.1.4 Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem.  +

11.5.1.5 Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd.  +

11.5.2 Gebruikersidentificatie en –authenticatie  +

11.5.2.1 Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.  +

11.5.2.2 Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.  +

11.5.2.3 Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien.  +

11.5.3 Systemen voor wachtwoordenbeheer  +

11.5.3.1 Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden , regelmatige wijziging, directe wijziging van initieel wachtwoord).  +

11.5.3.2 Wachtwoorden hebben een geldigheidsduur zoals beschreven bij 11.2.3 . Daarbinnen dient het wachtwoord te worden gewijzigd. Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd.  +

11.5.3.3 Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd.  +

11.5.3.4 De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen.  +

11.5.4 Gebruik van systeemhulpmiddelen  +

11.5.4.1 Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.  +

11.5.5 Time-out van sessies  +

11.5.5.1 De periode van inactiviteit van een werkstation is vastgesteld op maximaal 15 minuten.  +

11.5.6 Beperking van verbindingstijd  +

11.5.6.1 De toegang voor onderhoud op afstand door een leverancier wordt alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. Met 2-factor authenticatie en tunneling.  +

11.6 Toegangsbeheersing voor toepassingen en informatie  +

11.6.1 Beperken van toegang tot informatie  +

11.6.1.1 In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.  +

11.6.1.2 Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.  +

11.6.1.3 Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.  +

11.6.1.4 Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.  +

11.6.2 Isoleren van gevoelige systemen  +

11.6.2.1 Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden.  +

11.7 Draagbare computers en telewerken  +

11.7.1 Draagbare computers en communicatievoorzieningen  +

11.7.1.1 Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (“zero footprint”)  +

11.7.1.2 Er zijn, waar mogelijk, voorzieningen om de actualiteit van anti-malware programmatuur op mobiele apparaten te garanderen.  +

11.7.1.3 Bij melding van verlies of diefstal wordt de communicatiemogelijkheid met de centrale applicaties afgesloten.  +

11.7.2 Telewerken  +

11.7.2.1 Er wordt een beleid met gedragsregels en een geschikte implementatie van de techniek opgesteld t.a.v. telewerken.  +

11.7.2.2 Er wordt beleid vastgesteld met daarin de uitwerking welke systemen niet en welke systemen wel vanuit de thuiswerkplek of andere telewerkvoorzieningen mogen worden geraagdpleegd.  +

11.7.2.3 De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt opgeslagen (“zero footprint”)  +

12 Verwerving ontwikkeling en onderhoud van Informatiesystemen  +

12 eisen aan basisregistraties  +

12.1 Beveiligingseisen voor informatiesystemen  +

12.1.1 Analyse en specificatie van beveiligingseisen  +

12.1.1.1 In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties meegenomen.  +

12.1.1.2 In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten.  +

12.1.1.3 Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is van de specificatie.  +

12.1.1.4 Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product verantwoord onderbouwd.  +

12.1.1.5 Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring of certificering volgens ISO/IEC 15408 (common criteria) .  +

12.1.1.6 Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.  +

12.2 Correcte verwerking in toepassingen  +