- 5 Informatiebeveiligingsbeleid
- 5.1 Aansturing door de directie van de informatiebeveiliging
- 6 Organiseren van informatiebeveiliging
- 6.1 Interne organisatie
- 6.2 Mobiele apparatuur en telewerken
- 7 Veilig personeel
- 7.1 Voorafgaand aan het dienstverband
- 7.2 Tijdens het dienstverband
- 7.3 Beëindiging en wijziging van dienstverband
- 8 Beheer van bedrijfsmiddelen
- 8.1 Verantwoordelijkheid voor bedrijfsmiddelen
- 8.2 Informatieclassificatie
- 8.3 Behandelen van media
- 9 Toegangsbeveiliging
- 9.1 Bedrijfseisen voor toegangsbeveiliging
- 9.2 Beheer van toegangsrechten van gebruikers
- 9.3 Verantwoordelijkheden van gebruikers
- 9.4 Toegangsbeveiliging van systeem en toepassing
- 10 Cryptografie
- 10.1 Cryptografische beheersmaatregelen
- 11 Fysieke beveiliging en beveiliging van de omgeving
- 11.1 Beveiligde gebieden
- 11.2 Apparatuur
- 12 Beveiliging bedrijfsvoering
- 12.1 Bedieningsprocedures en verantwoordelijkheden
- 12.2 Bescherming tegen malware
- 12.3 Back-up
- 12.4 Verslaglegging en monitoren
- 12.5 Beheersing van operationele software
- 12.6 Beheer van technische kwetsbaarheden
- 12.7 Overwegingen betreffende audits van informatiesystemen
- 13 Communicatiebeveiliging
- 13.1 Beheer van netwerkbeveiliging
- 13.2 Informatietransport
- 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
- 14.1 Beveiligingseisen voor informatiesystemen
- 14.2 Beveiliging in ontwikkelings- en ondersteunende processen
- 14.3 Testgegevens
- 15 Leveranciersrelaties
- 15.1 Informatiebeveiliging in leveranciersrelaties
- 15.2 Beheer van dienstverlening van leveranciers
- 16 Beheer van informatiebeveiligingsincidenten
- 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
- 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 17.1 Informatiebeveiligingscontinuïteit
- 17.2 Redundante componenten
- 18 Naleving
- 18.1 Naleving van wettelijke en contractuele eisen
- 18.2 Informatiebeveiligingsbeoordelingen
17. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
17.1 Informatiebeveiligingscontinuïteit
Doelstelling:
17.1.1
bbn: 1
Informatiebeveiligingscontinuïteit plannen
De organisatie behoort haar eisen voor informatiebeveiliging en voor de
continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv.
een crisis of een ramp, vast te stellen.
17.1.2
bbn: 1
Informatiebeveiligingscontinuïteit implementeren
De organisatie behoort processen, procedures en beheersmaatregelen vast te
stellen, te documenteren, te implementeren en te handhaven om het vereiste
niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige
situatie te waarborgen.
17.1.3
bbn: 1
Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren
De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit
vastgestelde en geïmplementeerde beheersmaatregelen regelmatig te
verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens
ongunstige situaties.
17.1.3.1
bbn: 2
Continuïteitsplannen worden jaarlijks getest op geldigheid en bruikbaarheid.
17.1.3.2
bbn: 2
Door het uitvoeren van een expliciete risicoafweging worden de bedrijfskritische procesonderdelen met hun bijbehorende betrouwbaarheidseisen geïdentificeerd.
17.1.3.3
bbn: 2
De dienstverlening van de bedrijfskritische onderdelen wordt bij calamiteiten minimaal binnen een week hersteld.
17.2 Redundante componenten
Doelstelling:
17.2.1
bbn: 1
Beschikbaarheid van informatie verwerkende faciliteiten
Informatie verwerkende faciliteiten behoren met voldoende redundantie te
worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.