BIG Nummer Hoofdgroep Groep Maatregel Vraag Aanwezig Vindplaats / opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico?

GAP-analyse gemeenten op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (versie 1.1) Opsteller : Datum : Gemeentenaam: DEEL 1 (GAP-Analyse) DEEL 2 (ImpactAnalyse) BIG Nummer Hoofdgroep Groep Maatregel Vraag Aanwezig Vindplaats / opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico? 5.1.1.1 5. Beveiligingsbeleid Beleidsdocumenten voor [A] Er is een beleid voor door het College van Is er een door de organisatie vastgesteld en gepubliceerd Burgemeester en Wethouders vastgesteld, gepubliceerd en beoordeeld sbeleid op basis van de BIG en zijn daarin op basis van inzicht in risico s, kritische bedrijfsprocessen en toewijzing verantwoordelijkheden op basis van de baseline benoemd? van verantwoordelijkheden en prioriteiten. 5.1.2.1 5. Beveiligingsbeleid Beoordeling van het sbeleid [A] Het sbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. Zie ook 6.1.8.1. Is het sbeleid in de afgelopen 3 jaar aangepast, zo nee was daar een goede reden voor? 6.1.1.1 6. Organisatie van Betrokkenheid van het College van B&W bij beveiliging [A] Het College van B&W waarborgt dat de sdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de werking van de Informatiebeveiligingsmaatregelen te bespreken in het overleg van B&W en hiervan verslag te doen. Is de opzet, het bestaan en de werking van maatregelen in het afgelopen jaar of jaren besproken binnen het college van B&W en is hier een verslag van? 6.1.2.1 6. Organisatie van Coördineren van beveiliging [A] De rollen van CISO (Chief Information Security Officer), en het lijnmanagement zijn beschreven. a. De CISO rapporteert rechtstreeks aan de gemeentesecretaris. b. De CISO bevordert en adviseert gevraagd en ongevraagd over de beveiliging van de gemeente, verzorgt rapportages over de status, controleert of m.b.t. de beveiliging van de gemeente de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de van de gemeente. Zijn de rollen van CISO of security Officer en het lijnmanagement beschreven met betrekking tot en zijn de rapportages hierin opgenomen? 6.1.3.1 6. Organisatie van Verantwoordelijkheden [A] Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar organisatieonderdeel. Zijn de verantwoordelijkheden voor wat betreft integrale van de lijnmanager beschreven? 6.1.4.1 6. Organisatie van Goedkeuringsproces voor ICTvoorzieningen Er is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen in IT voorzieningen. (in ITIL termen : wijzigingsbeheer) Is er een wijzigingsbeheer proces (bij ICT) dat ook daadwerkelijk gebruikt wordt, is er aandacht voor beveiliging binnen dit proces? 6.1.5.1 6. Organisatie van Geheimhoudingsovereenkomst [A] De algemene geheimhoudingsplicht voor ambtenaren is geregeld in Is er een beleid om de geheimhoudingsverklaring te tekenen de Ambtenarenwet art. 125a, lid 3. (bijvoorbeeld in het sbeleid document van de Daarnaast dienen personen die te maken hebben met Bijzondere organisatie, of in HR documentatie) en gebeurt dit ook (toets op Informatie een geheimhoudingsverklaring te ondertekenen, daaronder aanwezigheid geheimhoudingsverklaringen) valt ook vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. 6.1.6.1 6. Organisatie van Contact met overheidsinstanties [A] Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten (brandweer, toezichthouders, enz.) wordt onderhouden. Is er een beleidsstuk waarin geregeld is wie er contacten onderhoud met de autoriteiten? 6.1.7.1 6. Organisatie van Contact met speciale belangengroepen IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, software en diensten wordt gebruikt om de te verbeteren. Is er een proactief proces waar s specifieke informatie wordt ontvangen en gebruikt, bijvoorbeeld overleg of informatie van de IBD (adviezen en dergelijke) of leveranciers van hard en software? Zijn er lidmaatschappen van verenigingen? 6.1.7.2 6. Organisatie van Contact met speciale [A] De CISO onderhoudt contact met de IBD en neemt zi ng in het Is er een CISO? Wie vervult deze rol en onderhoudt deze contacten belangengroepen IBD-overleg. met de IBD? 6.1.8.1 6. Organisatie van Beoordeling van het sbeleid [A] Het sbeleid wordt minimaal één keer in de drie Blijkt uit het gevonden IB beleid van de gemeente dat deze is jaar geëvalueerd (door een onafhankelijke deskundige) en desgewenst geëvalueerd en bijgesteld? Is het opgenomen in de PDCA-cyclus? bijgesteld. Zie ook 5.1.2. 6.1.8.2 6. Organisatie van Beoordeling van het sbeleid [A] Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement. Worden er periodiek beveiliging audits uitgevoerd door de interne of externe audit afdeling in opdracht van het lijnmanagement? 6.1.8.3 6. Organisatie van 6.2.1.1 6. Organisatie van Beoordeling van het Over het functioneren van de wordt, conform de sbeleid P&C-cyclus, jaarlijks gerapporteerd aan het lijnmanagement. Blijkt uit een beleidsstuk dat er gerapporteerd moet worden (bijvoorbeeld het sbeleid of P&C-cyclus beleid) en blijkt tevens uit de interne rapportages dat er over wordt gerapporteerd? Identificatie van risico's die betrekking Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) Blijkt uit het gevonden IB beleid van de gemeente dat op basis van hebben op externe partijen meegewogen bij het besluit een externe partij wel of niet in te een risicoafweging is besloten een externe partij (leverancier) wel of schakelen. niet in te schakelen? 6.2.1.2 6. Organisatie van Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding of Zijn er externe dienstverleners voor gemeentelijke systemen die hebben op externe partijen externe inhuur is bepaald welke toegang (fysiek, netwerk of tot contact moeten hebben met systemen binnen de gemeente en zijn gegevens) de externe partij(en) moet(en) hebben om de in het contract hierover afspraken gemaakt (vooraf), zijn de risico's in kaart gebracht overeen te komen opdracht uit te voeren en welke noodzakelijke en worden de procedures nageleefd? beveiligingsmaatregelen hiervoor nodig zijn. 6.2.1.3 6. Organisatie van Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding of Zijn er externe dienstverleners voor gemeentelijke systemen, of hebben op externe partijen externe inhuur is bepaald welke waarde en gevoeligheid de informatie inhuur contracten, waar men in aanraking kan komen met gevoelige (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft persoonsgegevens of die contacten (inbellen) moeten hebben met waarmee de derde partij in aanraking kan komen en of hierbij systemen binnen de gemeente en zijn hierover afspraken gemaakt eventueel aanvullende beveiligingsmaatregelen nodig zijn. (vooraf) en worden de procedure nageleefd? bestaan er beveiligingsmaatregelen in de contracten? Blad 1 van 15 bladen

6.2.1.4 6. Organisatie van Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding en Zie boven, zijn er in het geval dat toegang van "buiten" nodig is, hebben op externe partijen externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde afspraken gemaakt over systeem toegang en wordt dit nageleefd? toegang vastgesteld wordt. 6.2.1.5 6. Organisatie van Identificatie van risico's die betrekking [A] Indien externe partijen systemen beheren waarin persoonsgegevens Worden er systemen van de gemeente met persoonsgegevens extern aantal? hebben op externe partijen verwerkt worden, wordt een bewerkerovereenkomst (conform WBP gehost, en zo ja, is daar een inhoudelijke en getekende artikel 14) afgesloten. bewerkersovereenkomst van? Vul ook in als er bijvoorbeeld 5 systemen zijn die extern gehost worden en er maar voor 1 systeem een berwerkers overeenkomst is) 6.2.1.6 6. Organisatie van Identificatie van risico's die betrekking Er is in contracten met externe partijen vastgelegd welke Is in de contracten en/of bewerkersovereenkomsten vastgelegd welke hebben op externe partijen beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn beveiligingsmaatregelen vereist zijn (bijvoorbeeld de maatregelen uit getroffen en worden nageleefd en dat beveiligingsincidenten deze baseline), of op basis van een gedegen risicoanalyse dat onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beveiligingsincidenten worden gerapporteerd, hoe de maatregelen beschreven hoe die beveiligingsmaatregelen door de uitbestedende worden gecontroleerd en hoe het toezicht geregeld is? partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld. 6.2.1.7 6. Organisatie van Identificatie van risico's die betrekking Over het naleven van de afspraken van de externe partij wordt jaarlijks Zijn er jaarlijkse rapportages over het naleven van afspraken, hebben op externe partijen gerapporteerd. gehouden audits en resultaten van externe partijen? 6.2.2.1 6. Organisatie van Beveiliging beoordelen in de omgang Alle noodzakelijke beveiligingseisen worden op basis van een Deze baseline is de basis waar van uit kan worden gegaan, is er voor met klanten risicoafweging vastgesteld en geïmplementeerd voordat aan gebruikers bestaande systemen die er al zijn een risico afweging gedaan en toegang tot informatie op wordt verleend. vastgesteld? 6.2.3.1 6. Organisatie van Beveiliging behandelen in De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten De maatregelen die onder 6.2.1. staan, zijn vooraf aan het contract overeenkomsten met een derde partij van het contract gedefinieerd en geïmplementeerd. gedefinieerd en geïmplementeerd, dit blijkt bijvoorbeeld uit verslagen en audits. 6.2.3.2 6. Organisatie van Beveiliging behandelen in Uitbesteding (ontwikkelen en aanpassen) van software is geregeld Er bestaan contracten met daarin de opgesomde issues die zijn overeenkomsten met een derde partij volgens formele contracten waarin o.a. intellectueel eigendom, benoemd en afgesproken indien er uitbesteding van software kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en aan de orde is (dit geld ook voor SAAS / Cloud achtige reviews geregeld worden. constructies). 6.2.3.3 6. Organisatie van Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe men om dient te Dit aspect dient in de contracten te staan in het geval van uitbesteding overeenkomsten met een derde partij gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging ( en aanpassing van software) maar ook als deze software niet wordt aangetast door de wijzigingen. intern bij de gemeente draait. 6.2.3.4 6. Organisatie van Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe wordt omgegaan overeenkomsten met een derde partij met geheimhouding en de geheimhoudingsverklaring. Controleer de gevonden contracten op dit onderdeel. 6.2.3.5 6. Organisatie van Beveiliging behandelen in Er is een plan voor beëindiging van de ingehuurde diensten waarin overeenkomsten met een derde partij aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit. Controleer de gevonden contracten op dit onderdeel. 6.2.3.6 6. Organisatie van Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe escalaties en overeenkomsten met een derde partij aansprakelijkheid geregeld zijn. Controleer de gevonden contracten op dit onderdeel. 6.2.3.7 6. Organisatie van Beveiliging behandelen in Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar Controleer de gevonden contracten op dit onderdeel. overeenkomsten met een derde partij dezelfde beveiligingseisen voor als voor de contractant. De hoofdaannemer is verantwoordelijk voor de borging bij de onderaannemer van de gemaakte afspraken. 6.2.3.8 6. Organisatie van Beveiliging behandelen in De producten, diensten en daarbij geldende randvoorwaarden, Controleer de gevonden contracten op dit onderdeel. overeenkomsten met een derde partij rapporten en registraties die door een derde partij worden geleverd, worden beoordeeld op het nakomen van de afspraken in de overeenkomst. Verbeteracties worden geïnitieerd wanneer onder het afgesproken niveau wordt gepresteerd. 7.1.1.1 7. Beheer van Inventarisatie van Er is een actuele registratie van die voor de Is er een actuele registratie van die voor de organisatie een belang vertegenwoordigen, zoals organisatie een belang vertegenwoordigen zoals, informatie(verzamelingen), software, hardware, diensten, mensen en informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel is de waarde voor de hun kennis/vaardigheden? organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend. Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend. 7.1.2.1 7. Beheer van Eigendom van Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT- Is er voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT- faciliteit is een verantwoordelijke lijnmanager benoemd. faciliteit een verantwoordelijke lijnmanager benoemd? 7.1.3.1 7. Beheer van Aanvaardbaar gebruik van [A] Er zijn regels voor acceptabel gebruik van (met Zijn er regels voor acceptabel gebruik van (met name internet, e-mail en mobiele apparatuur). De CAR-UWO verplicht name internet, e-mail en mobiele apparatuur). Bijvoorbeeld vindbaar ambtenaren zich hieraan te houden. Voor extern personeel is dit in het in het sbeleid of aparte standaarden? contract vastgelegd. 7.1.3.2 7. Beheer van Aanvaardbaar gebruik van Gebruikers hebben kennis van de regels. Is er een bewustwording cursus die gevolgd moet worden, wordt de kennis van de regels getoetst en is dat vastgelegd? 7.1.3.3 7. Beheer van Aanvaardbaar gebruik van Apparatuur, informatie en programmatuur van de organisatie mogen Is er beleid of andere afspraken waar geregeld is wie mag besluiten niet zonder toestemming vooraf van de locatie worden meegenomen. dat apparatuur of informatie of programmatuur van locatie mag De toestemming kan generiek geregeld worden in het kader van de worden meegenomen functieafspraken tussen manager en medewerker. 7.1.3.4 7. Beheer van Aanvaardbaar gebruik van [A] Informatiedragers worden dusdanig gebruikt dat vertrouwelijke Als er gegevensdragers worden gebruikt voor vertrouwelijke informatie niet beschikbaar kan komen voor onbevoegde personen. informatie dan zijn er maatregelen genomen om de informatie erop tegen onbevoegd inzien te beschermen. (zoek naar beleid, ICT procedures etc.) Er zijn rubriceringrichtlijnen binnen de gemeente? (Deze kunnen in 7.2.1.1 7. Beheer van Richtlijnen voor classificatie van [A] De organisatie heeft rubriceringrichtlijnen opgesteld. informatie het beveiligingsbeleid staan of in een apart rubriceringsbeleid document). 7.2.1.2 7. Beheer van Richtlijnen voor classificatie van In overeenstemming met hetgeen in het WBP is vastgesteld, dient er Is er een helder onderscheid tussen herleidbare en niet herleidbare informatie een helder onderscheid te zijn in de herleidbare (artikel 16 WBP) en de persoonsgegevens? niet herleidbare persoonsgegevens. Blad 2 van 15 bladen

7.2.2.1 7. Beheer van Labeling en verwerking van informatie [A] De lijnmanager heeft maatregelen getroffen om te voorkomen dat Denk bij deze maatregelen aan labeling, mandatory acces control, niet-geautoriseerden kennis kunnen nemen van gerubriceerde toegangsregeling gebouw / informatie, etc. informatie. 7.2.2.2 7. Beheer van Labeling en verwerking van informatie [A] De opsteller van de informatie doet een voorstel tot rubricering en Bestaat er een rubricering procedure binnen de organisatie en wordt brengt deze aan op de informatie. De vaststeller van de inhoud van de deze ook gebruikt. informatie stelt tevens de rubricering vast. 8.1.1.1 8. Personele beveiliging Rollen en verantwoordelijkheden De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de functiebeschrijving en worden onderhouden. In de functiebeschrijving wordt minimaal aandacht besteed aan: uitvoering van het informa ebeveiligingsbeleid bescherming van rapportage van beveiligingsincidenten expliciete vermelding van de verantwoordelijkheden voor het beveiligen van persoonsgegevens Zijn de functiebeschrijvingen binnen de gemeente vastgesteld en is in die functiebeschrijvingen aandacht voor de genoemde aspecten. 8.1.1.2 8. Personele beveiliging Rollen en verantwoordelijkheden [A] Alle ambtenaren en ingehuurde medewerkers krijgen bij hun Bestaat er een "in dienst" procedure waar geregeld is dat alle aanstelling hun verantwoordelijkheden ten aanzien van ambtenaren en ingehuurde medewerkers bij hun aanstelling hun ter inzage. De schriftelijk vastgestelde en voor verantwoordelijkheden, ten aanzien van, ter hen geldende regelingen en instructies ten aanzien van inzage krijgen?, welke zij bij de vervulling van hun dienst hebben Overeenkomstige voorschriften maken deel uit van de contracten met na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage externe partijen. Ook voor hen geldt de toegankelijkheid van gelegd. Overeenkomstige voorschriften maken deel uit van de geldende regelingen en instructies. contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies. 8.1.1.3 8. Personele beveiliging Rollen en verantwoordelijkheden [A] Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. Is er op basis van de functiebeschrijving of werkzaamheden duidelijk dan is hem dat voor indiensttreding (of bij gemaakt welke verantwoordelijkheden ten aanzien van functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten voor de medewerker gelden, bij voorkeur in een van het contract, aantoonbaar duidelijk gemaakt. aanstellingsbrief of contract? 8.1.1.4 8. Personele beveiliging Rollen en verantwoordelijkheden De algemene voorwaarden van het arbeidscontract van medewerkers Bevatten arbeidscontracten wederzijdse verantwoordelijkheden ten bevatten de wederzijdse verantwoordelijkheden ten aanzien van aanzien van beveiliging? beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun Zijn medewerkers hiermee bekend? verantwoordelijkheden op het gebied van beveiliging. 8.1.2.1 8. Personele beveiliging Screening [A] Voor alle medewerkers (ambtenaren en externe medewerkers) is Zijn er van alle medewerkers een recente VOG? Is er van minimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist. vertrouwensfuncties een VGB. Meestal is hier een aparte Indien het een vertrouwensfunctie betreft wordt ook een administratie voor. veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd. 8.1.2.2 8. Personele beveiliging Screening Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt over zijn arbeidsverleden en scholing geverifieerd. Is in de aanstelling procedure de stap dat arbeidsverleden en scholing dienen te worden geverifieerd 8.1.2.3 8. Personele beveiliging Screening [A] Het is noodzakelijk om de VOG of screening periodiek te herhalen volgens de voorschriften. zie 8.1.2.1 en blijkt dit uit de gevonden administratie? 8.1.3.1 8. Personele beveiliging Arbeidsvoorwaarden Als onderdeel van hun contractuele verplichting behoren werknemers, controleer de arbeidscontracten op dit onderdeel ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van behoren te zijn vastgelegd. 8.2.1.1 8. Personele beveiliging Directieverantwoordelijkheid Het lijnmanagement heeft een strategie ontwikkeld en Deze strategie kan bestaan uit: Beleid, opleidingsplannen, opleiding, geïmplementeerd om blijvend over specialistische kennis en cursus, inhuur etcetera. vaardigheden van gemeenteambtenaren en ingehuurd personeel (onder andere die kritische bedrijfsactiviteiten op het gebied van IB uitoefenen) te kunnen beschikken. 8.2.1.2 8. Personele beveiliging Directieverantwoordelijkheid Het lijnmanagement bevordert dat gemeenteambtenaren, ingehuurd Dit bevorderen kan door budgetten, opleiding, bewustwording personeel en (waar van toepassing) externe gebruikers van interne campagne, pen testen en mystery guests bezoeken (bijvoorbeeld). systemen algemene beveiligingsaspecten toepassen in hun gedrag en handelingen overeenkomstig vastgesteld beleid. 8.2.2.1 8. Personele beveiliging bewustwording Alle medewerkers van de organisatie worden regelmatig attent Dit bevorderen kan door budgetten te gebruiken voor, opleiding, gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de bewustwording campagne, pen testen en mystery guests bezoeken organisatie, voor zover relevant voor hun functie. (bijvoorbeeld). 8.2.2.2 8. Personele beveiliging bewustwording [A] Bespreek het onderwerp in functionerings- en is er een aanwijzing of procedure waarin dit geregeld is en komen dan beoordelingsgesprekken van medewerkers die risicovolle functies bijvoorbeeld ook incidenten aan de orde? bekleden 8.2.3.1 8. Personele beveiliging Disciplinaire maatregelen [A] Er is een disciplinair proces vastgelegd voor medewerkers die inbreuk maken op het beveiligingsbeleid (zie ook: CAR/UWO art 16, disciplinaire straffen). Zie HR-beleid gemeente? 8.3.1.1 8. Personele beveiliging Beëindiging van Voor ambtenaren is in de ambtseed of belofte vastgelegd welke Controleer of deze clausules bestaan verantwoordelijkheden verplichtingen ook na beëindiging van het dienstverband of bij functiewijziging nog van kracht blijven en voor hoe lang. Voor ingehuurd personeel (zowel in dienst van een derde bedrijf als individueel) is dit contractueel vastgelegd. Indien nodig wordt een geheimhoudingsverklaring ondertekend. 8.3.1.2 8. Personele beveiliging Beëindiging van verantwoordelijkheden Het lijnmanagement heeft een procedure vastgesteld voor beëindiging Controleer of deze procedures en aandachtspunten bestaan. van dienstverband, contract of overeenkomst waarin minimaal aandacht besteed wordt aan het intrekken van toegangsrechten, innemen van en welke verplichtingen ook na beëindiging van het dienstverband blijven gelden. 8.3.1.3 8. Personele beveiliging Beëindiging van Het lijnmanagement heeft een procedure vastgesteld voor verandering Controleer de functieverandering procedure naar deze verantwoordelijkheden van functie binnen de organisatie, waarin minimaal aandacht besteed aandachtspunten. wordt aan het intrekken van toegangsrechten en innemen van die niet meer nodig zijn na het beëindigen van de oude functie. Blad 3 van 15 bladen

8.3.2.1 8. Personele beveiliging Retournering van Zie 8.3.1.3 8.3.3.1 8. Personele beveiliging Blokkering van toegangsrechten Zie 8.3.1.3 9.1.1.1 9. Fysieke beveiliging Fysieke beveiliging van de omgeving De gemeente en haar omgeving worden ingedeeld in verschillende zones. Deze zones bestaan uit: a.zone 0: de omgeving en het gebouw b.zone 1: de wachtruimten en de spreekkamers c.zone 2:de werkruimten d.zone 3: de ICT-ruimte / beveiligde ruimte voor bijvoorbeeld paspoort opslag. 9.1.1.2 9. Fysieke beveiliging Fysieke beveiliging van de omgeving Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen bepaald. Controleer zoneringsbeleid van de gemeente. Controleer of de beveiligingsgrenzen bepaald zijn. 9.1.1.3 9. Fysieke beveiliging Fysieke beveiliging van de omgeving Gebouwen bieden voldoende weerstand (bepaald op basis van een Controleer of gebouwen voldoende weerstand bieden (bijvoorbeeld risicoafweging) bij gewelddadige aanvallen zoals inbraak en IT gericht keurmerk, hang en sluitwerk etcetera). vandalisme. 9.1.1.4 9. Fysieke beveiliging Fysieke beveiliging van de omgeving [A] Er zijn op verschillende plekken zogenaamde overval alarmknoppen Zijn er bij de publieksbalies of andere plaatsen waar publiek geplaatst, dit is met name van belang voor de wachtruimten en de ontvangen wordt alarmknoppen geplaatst? spreekkamers en die ruimtes waar bezoekers in contact komen met gemeente ambtenaren. 9.1.1.5 9. Fysieke beveiliging Fysieke beveiliging van de omgeving Er is 24 uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld Controleer de afspraken en of dit zo is. aan alarmcentrale is het minimum. 9.1.1.6 9. Fysieke beveiliging Fysieke beveiliging van de omgeving [A] Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij voldoen aan de wettelijke eisen gesteld in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus. Deze verificatie wordt minimaal jaarlijks herhaald. Controleer de contracten/procedures. 9.1.1.7 9. Fysieke beveiliging Fysieke beveiliging van de omgeving In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht Zijn er serverruimtes? op de toegang. Hiervan wordt een registratie bijhouden. Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure? 9.1.1.8 9. Fysieke beveiliging Fysieke beveiliging van de omgeving [A] Voor toegang tot speciale ruimten is een doelbinding vereist, dat wil Wordt de doelbinding gecontroleerd bij het verlenen van zeggen dat personen op grond van hun werkzaamheden toegang kan toegangsrechten en blijkt dit uit de gevonden procedure? worden verleend. (bijvoorbeeld Beheer, BHV etc.) 9.1.2.1 9. Fysieke beveiliging Fysieke toegangsbeveiliging Toegang tot gebouwen of beveiligingszones is alleen mogelijk na Is de toegang tot gebouwen en beveiligingszones alleen mogelijk na autorisatie daartoe. autorisatie? Waar wordt dat vastgelegd? 9.1.2.2 9. Fysieke beveiliging Fysieke toegangsbeveiliging [A] De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht Is er gemeentelijk toegangsbeleid waarin de toegang tot conform het gemeentelijk toegangsbeleid. beveiligingszones en toegangsbeveiliging geregeld is? 9.1.2.3 9. Fysieke beveiliging Fysieke toegangsbeveiliging In gebouwen met beveiligde zones houdt beveiligingspersoneel Zijn er beveiligde zones? toezicht op de toegang. Hiervan wordt een registratie bijhouden. Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure? 9.1.2.4 9. Fysieke beveiliging Fysieke toegangsbeveiliging De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, Volgens welke norm is de kwaliteit van de toegangsmiddelen toegangspassen) is afgestemd op de zonering. afgestemd op de zonering? 9.1.2.5 9. Fysieke beveiliging Fysieke toegangsbeveiliging De uitgifte van toegangsmiddelen wordt geregistreerd. Is er een registratie van toegangsmiddelen uitgifte (passen en sleutels)? 9.1.2.6 9. Fysieke beveiliging Fysieke toegangsbeveiliging Niet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd opbergmiddel. Zijn niet uitgegeven toegangsmiddelen in een beveiligd opbergmiddel opgeborgen? 9.1.2.7 9. Fysieke beveiliging Fysieke toegangsbeveiliging Apparatuur en bekabeling in kabelverdeelruimtes en patchruimtes Zijn er kabelverdeelruimtes? voldoen aan dezelfde eisen t.a.v. toegangbeveiliging zoals die worden Houdt beveiligingspersoneel toezicht op te toegang? gesteld aan computerruimtes. Is hiervan een registratie en een procedure? 9.1.2.8 9. Fysieke beveiliging Fysieke toegangsbeveiliging [A] Er vindt minimaal één keer per half jaar een periodieke Wordt de registratie van de autorisaties halfjaarlijks gecontroleerd? controle/evaluatie plaats op de autorisaties voor fysieke toegang. Is hier een verslag van? 9.1.3.1 9. Fysieke beveiliging #N/A Papieren documenten en mobiele gegevensdragers die vertrouwelijke Worden papieren documenten en mobiele gegevensdragers met informatie bevatten worden beveiligd opgeslagen. vertrouwelijke informatie beveiligd opgeslagen? 9.1.3.2 9. Fysieke beveiliging Sleutelbeheer [A] Er is actief beheer van sloten en kluizen met procedures voor Er is conform het beleid een procedure voor het beheren van sloten wijziging van combinaties door middel van een sleutelplan, ten en kluizen voor wijziging van combinaties, met sleutelplan ten behoeve van opslag van gerubriceerde informatie. behoeve van gerubriceerde informatie 9.1.3.3 9. Fysieke beveiliging #N/A [A] Serverruimtes, datacenters en daar aan gekoppelde Zijn serverruimtes, datacenters en bekabelingssystemen ingericht bekabelingsystemen zijn ingericht in lijn met geldende best practices. volgens best practices zoals TIA-942? Een goed voorbeeld van zo n best practice is Telecommunication Zijn er andere normen gebruikt? Infrastructure Standard for Data Centers (TIA-942). 9.1.4.1 9. Fysieke beveiliging Bescherming tegen bedreigingen van Bij maatregelen is rekening gehouden met specifieke bedreigingen van Is er bij maatregelen rekening gehouden met specifieke bedreigingen buitenaf aangrenzende panden of terreinen. van aangrenzende gebouwen of terreinen? 9.1.4.2 9. Fysieke beveiliging Bescherming tegen bedreigingen van Reserve apparatuur en backups zijn op een zodanige afstand Is er een backup procedure waarin ook geregeld is dat de backups offsite buitenaf ondergebracht dat één en dezelfde calamiteit er niet voor kan zorgen bewaard worden? dat zowel de hoofdlocatie als de backup/reserve locatie niet meer Wordt deze procedure nageleefd? toegankelijk zijn. 9.1.4.3 9. Fysieke beveiliging Bescherming tegen bedreigingen van [A] Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt Zijn ruimten met bedrijfskritische apparatuur voldoende beveiligd buitenaf zijn voldoende beveiligd tegen wateroverlast. tegen wateroverlast? Denk aan overstromingsgevaar als het gebouw laag staat of als er bijvoorbeeld waterleidingen of rioleringen door ruimten loopt met bedrijfskritische apparatuur. Blad 4 van 15 bladen

9.1.4.4 9. Fysieke beveiliging Bescherming tegen bedreigingen van [A] Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen Is bij het betrekken van gebouwen een locatie gekozen waarbij buitenaf waarbij rekening wordt gehouden met de kans op en de gevolgen van rekening is gehouden met de kans op gevolgen van natuurrampen en natuurrampen en door mensen veroorzaakte rampen. door mensen veroorzaakte rampen? 9.1.4.5 9. Fysieke beveiliging Bescherming tegen bedreigingen van Gevaarlijke of brandbare materialen zijn op een zodanige afstand van Zijn er in en rond beveiligde ruimten brandbare of gevaarlijke buitenaf een beveiligde ruimte opgeslagen dat een calamiteit met deze materialen opgeslagen? materialen geen invloed heeft op de beveiligde ruimte. Bijvoorbeeld verpakkingsmateriaal of gevaarlijke stoffen? 9.1.4.6 9. Fysieke beveiliging Bescherming tegen bedreigingen van [A] Er is door de brandweer goedgekeurde en voor de situatie geschikte Is er voor de situatie geschikte brandblus apparatuur? buitenaf brandblusapparatuur geplaatst en aangesloten. Dit wordt jaarlijks Wordt deze brandblus apparatuur jaarlijks gecontroleerd? gecontroleerd. 9.1.5.1 9. Fysieke beveiliging Werken in beveiligde ruimten Medewerkers die zelf niet geautoriseerd zijn mogen alleen onder Is er op basis van het beleid een procedure voor toegang tot fysiek begeleiding van bevoegd personeel en als er een duidelijke noodzaak beveiligde ruimten voor niet geautoriseerde personen? voor is toegang krijgen tot fysiek beveiligde ruimten waarin IT voorzieningen zijn geplaatst of waarin met vertrouwelijke informatie wordt gewerkt. 9.1.5.2 9. Fysieke beveiliging Werken in beveiligde ruimten Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen personen bevinden zijn afgesloten en worden regelmatig gecontroleerd. Beveiligde ruimten die afgesloten zijn waar geen mensen zijn worden regelmatig gecontroleerd, blijkt dit uit procedures? Blijkt dit uit ronde rapportages? 9.1.5.3 9. Fysieke beveiliging Werken in beveiligde ruimten Zonder expliciete toestemming mogen binnen beveiligde ruimten geen Is er beleid waarin geregeld is dat binnen beveiligde ruimtes geen opnames (foto, video of geluid) worden gemaakt. opnames morgen worden gemaakt? Staat dit duidelijk aangegeven? 9.1.6.1 9. Fysieke beveiliging Openbare toegang en gebieden voor laden en lossen [A] Er bestaat een procedure voor het omgaan met verdachte pakketten en brieven in postkamers en laad- en losruimten. Is er een procedure voor omgaan met verdachte post/pakketten? 9.2.1.1 9. Fysieke beveiliging Plaatsing en bescherming van Apparatuur wordt opgesteld en aangesloten conform de voorschriften Controleer voor zover mogelijk of apparatuur conform voorschriften apparatuur van de leverancier. Dit geldt minimaal voor temperatuur en van de leverancier is opgesteld en aangesloten. luchtvochtigheid, aarding, spanningsstabiliteit en - Temperatuur overspanningsbeveiliging. - luchtvochtigheid - aarding - spanningsstabiliteit - overspanningsbeveiliging 9.2.1.2 9. Fysieke beveiliging Plaatsing en bescherming van Standaard accounts in apparatuur worden gewijzigd en de Controleer of er een procedure is voor het aanpassen van standaard apparatuur bijbehorende standaard leveranciers wachtwoorden worden gewijzigd leveranciers wachtwoorden. bij ingebruikname van apparatuur. Controleer of er een log of registratie is van aangepaste wachtwoorden. 9.2.1.3 9. Fysieke beveiliging Plaatsing en bescherming van Gebouwen zijn beveiligd tegen blikseminslag. Zijn er maatregelen genomen tegen de gevolgen van blikseminslag, zo apparatuur ja welke? 9.2.1.4 9. Fysieke beveiliging Plaatsing en bescherming van Eten en drinken is verboden in computerruimtes. Bevat beleid en procedures van de computerruimten een verbod op apparatuur eten en drinken? Wordt hier voor gewaarschuwd? 9.2.1.5 9. Fysieke beveiliging Plaatsing en bescherming van Een informatiesysteem voldoet altijd aan de hoogste beveiligingseisen Indien aan de BIG wordt voldaan zijn de systemen in basis geschikt apparatuur die voor kunnen komen bij het verwerken van informatie. Indien dit voor werken tot en met vertrouwelijk. Indien informatie verwerkt niet mogelijk is wordt een gescheiden systeem gebruikt voor de wordt van een hogere classificatie dienen hiervoor gescheiden informatieverwerking waaraan hogere eisen gesteld worden. systemen gebruikt te worden. 9.2.2.1 9. Fysieke beveiliging Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en Worden in server en patchruimten ter bescherming van apparatuur andere storingen door onderbreking van nutsvoorzieningen. UPS systemen ingezet tegen stroomuitval en piekstromen? 9.2.3.1 9. Fysieke beveiliging Beveiliging van kabels Voedings- en telecommunicatiekabels die voor dataverkeer of Zijn voedings- en communicatiekabels beschermd conform NEN 1010? ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd conform de norm NEN 1010. 9.2.4.1 9. Fysieke beveiliging Onderhoud van apparatuur [A] Reparatie en onderhoud van apparatuur (hardware) vindt op locatie Wordt onderhoud aan apparatuur met daarop data van de gemeente plaats door bevoegd personeel, tenzij er geen data op het apparaat binnenshuis gedaan? aanwezig of toegankelijk is. Is er een procedure voor onderhoud aan apparatuur binnenshuis dan wel buitenshuis? 9.2.5.1 9. Fysieke beveiliging Beveiliging van apparatuur buiten het Alle apparatuur buiten de terreinen wordt beveiligd met fysieke Is er een apparatuur procedure buiten voor de het terreinen verwijderen die op van basis data van van risicoafweging apparatuur? terrein beveiligingsmaatregelen zoals bijvoorbeeld sloten en camera toezicht fysieke beveiligingsmaatregelen nodig hebben? die zijn vastgesteld op basis van een risicoafweging. Zijn die maatregelen geïmplementeerd? 9.2.6.1 9. Fysieke beveiliging Veilig verwijderen of hergebruiken [A] Bij beëindiging van het gebruik of bij een defect worden apparaten Worden informatiedragers bij beëindigen van gebruik of een defect van apparatuur en informatiedragers bij de beheersorganisatie ingeleverd. De ingeleverd bij de ICT organisatie? beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen Is er een procedure voor verantwoorde afvoer van ICT middelen? data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt Is er een procedure voor het verwijderen van data van apparatuur? het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of Is er een registratie van afgevoerde / vernietigde apparatuur? vernietigen wordt per bedrijfseenheid geregistreerd. 9.2.6.2 9. Fysieke beveiliging Veilig verwijderen of hergebruiken [A] Hergebruik van apparatuur buiten de organisatie is slechts Is er een procedure voor het verwijderen van data van apparatuur van apparatuur toegestaan indien de informatie is verwijderd met een voldoende waar deze eis in verwerkt is? veilige methode. Een veilige methode is Secure Erase voor apparaten die dit ondersteunen. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. 9.2.7.1 9. Fysieke beveiliging Verwijdering van Apparatuur, informatie en programmatuur van de organisatie mogen Is er een procedure voor het meenemen van apparatuur, informatie bedrijfseigendommen niet zonder toestemming vooraf van de locatie worden meegenomen. of programmatuur van de locatie. Is daarin geregeld wie toestemming mag geven om apparatuur, programmatuur of data mee te nemen? 10.1.1.1 10. Beheer van Gedocumenteerde Bedieningsprocedures bevatten informatie over opstarten, afsluiten, Zijn er bedieningsprocedures over: bedieningsprocedures backup- en herstelacties, afhandelen van fouten, beheer van logs, - opstarten contactpersonen, noodprocedures en speciale maatregelen voor - afsluiten beveiliging. - back-up en herstel - afhandelen van fouten - beheer van logs - contactpersonen - noodprocedures en speciale maatregelen voor beveiliging? Blad 5 van 15 bladen

10.1.1.2 10. Beheer van Gedocumenteerde bedieningsprocedures Er zijn procedures voor de behandeling van digitale media die ingaan op Zijn er procedures voor de behandeling van digitale media die ingaan ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, op ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging. hergebruik en vernietiging. 10.1.2.1 10. Beheer van Wijzigingsbeheer In de procedure voor wijzigingenbeheer is minimaal aandacht besteed Is er een wijzigingsbeheer procedure? aan: Wordt daarin aandacht besteed aan de genoemde drie punten? het administreren van significante wijzigingen impactanalyse van mogelijke gevolgen van de wijzigingen goedkeuringsprocedure voor wijzigingen 10.1.2.2 10. Beheer van Wijzigingsbeheer [A] Instellingen van sfuncties (b.v. security Worden instellingen van sfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd. netwerken, automatisch op wijzigingen gecontroleerd? 10.1.3.1 10. Beheer van Functiescheiding Niemand in een organisatie of proces mag op uitvoerend niveau Is er een strikte scheiding tussen beheer van systemen en gebruik van rechten hebben om een gehele cyclus van handelingen in een kritisch systemen? Bijvoorbeeld: het aanpassen van subsidie bedragen of informatiesysteem te beheersen. Dit in verband met het risico dat hij of rekeningnummers van subsidie aanvragers is een andere taak dan het zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie toekennen van een subsidie en dient bij voorkeur gescheiden te zijn. schade toe brengt. Dit geldt voor zowel informatieverwerking als Ander voorbeeld, beheerders kunnen wel een backup maken of een beheeracties. database beheren, maar niet in de applicatie zelf. 10.1.3.2 10. Beheer van Functiescheiding [A] Er is een scheiding tussen beheertaken en overige gebruikstaken. Is er een strikte scheiding tussen beheertaken en gebruikstaken, met Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als gescheiden accounts? beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker. 10.1.3.3 10. Beheer van Functiescheiding [A] Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden. Wordt voor de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten een inspectie uitgevoerd door een tweede persoon? En wordt hiervan een log bijgehouden? 10.1.3.4 10. Beheer van Functiescheiding [A] Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol. Zijn de verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties eenduidig toegewezen aan één specifieke (beheerders)rol? 10.1.4.1 10. Beheer van #N/A Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet. Zijn er minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP)? (De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.) 10.1.4.2 10. Beheer van #N/A Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Hebben gebruikers gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en Productiesystemen om het risico van fouten te Test en/of Acceptatie en Productiesystemen? verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt Wordt in systemen weergegeven op / in het scherm in welk soort wordt. systeem gewerkt wordt? 10.1.4.3 10. Beheer van #N/A [A] Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving. Is er een experimenteer of laboratorium omgeving? Als er een experimenteer of laboratorium omgeving is, is deze dan fysiek gescheiden van de productie omgeving? 10.2.1.1 10. Beheer van Dienstverlening De uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid van uitbestede diensten. Zijn er uitbestedingen van IT systemen? Is de verantwoordelijkheid van de uitbestedende partij vastgelegd? 10.2.1.2 10. Beheer van Dienstverlening Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager. Heeft de verantwoordelijk manager de uitbesteding van het informatiesysteem goedgekeurd? Is hiervan een goedkeuring? 10.2.2.1 10. Beheer van Controle en beoordeling van Er worden afspraken gemaakt over de inhoud van rapportages, zoals dienstverlening door een derde partij over het melden van incidenten en autorisatiebeheer. Zijn er afspraken gemaakt over de inhoud van rapportages, zoals het melden van incidenten en autorisatiebeheer activiteiten? 10.2.2.2 10. Beheer van Controle en beoordeling van De in dienstverleningscontracten vastgelegde betrouwbaarheidseisen Is vastgelegd in dienstverleningscontracten dat vastgestelde dienstverlening door een derde partij worden gemonitord. Dit kan bijvoorbeeld middels audits of rapportages betrouwbaarheidseisen jaarlijks worden gemonitord middels audits en gebeurt minimaal eens per jaar (voor ieder systeem). en / of rapportages? Zijn hier bewijzen voor in de vorm van rapportages/auditverslagen? 10.2.2.3 10. Beheer van Controle en beoordeling van dienstverlening door een derde partij Er zijn voor beide partijen eenduidige aanspreekpunten. Zijn de interne en externe aanspreekpunten/contacten bekend en is dit vastgelegd? 10.2.3.1 10. Beheer van Beheer van wijzigingen in dienstverlening door een derde partij Zie 10.1.2 Bij uitbestede informatiesystemen: Is er een wijzigingsbeheer procedure? Wordt daarin aandacht besteed aan de genoemde drie punten: het administreren van significante wijzigingen impactanalyse van mogelijke gevolgen van de wijzigingen goedkeuringsprocedure voor wijzigingen 10.3.1.1 10. Beheer van 10.3.1.2 10. Beheer van Capaciteitsbeheer Capaciteitsbeheer [A] De ICT-voorzieningen voldoen aan het voor de diensten Voldoen de ICT voorzieningen aan het voor de diensten overeengekomen niveau van beschikbaarheid. Er worden overeengekomen niveau van beschikbaarheid? voorzieningen geïmplementeerd om de beschikbaarheid van Zijn de beschikbaarheids eisen vastgelegd? componenten te bewaken (bijvoorbeeld de controle op aanwezigheid Is er een capaciteitsbeheer proces? van een component en metingen die het gebruik van een component vaststellen). Op [A] basis Er worden van voorspellingen beperkingen opgelegd van het gebruik aan gebruikers wordt actie en systemen genomen ten om Is er capaciteits beheer, met name voor virtuele omgevingen, waar aanzien van het gebruik van gemeenschappelijke middelen, zodat een gebruikers gemeenschappelijke middelen kunnen opeisen zodat de enkele gebruiker (of systeem) niet meer van deze middelen kan opeisen hele organisatie er last van heeft? dan nodig is voor de uitvoering van zijn of haar taak en daarmee de beschikbaarheid van systemen voor andere gebruikers (of systemen) in gevaar kan brengen. 10.3.1.3 10. Beheer van Capaciteitsbeheer [A] In koppelpunten met externe of onvertrouwde zones worden Zijn er koppelpunten met onvertrouwde of externe zones? maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te Zijn daar maatregelen genomen om DDOS aanvallen te signaleren en signaleren en hierop te reageren. Het gaat hier om aanvallen die erop hierop te reageren? gericht zijn de verwerkingscapaciteit zodanig te laten vollopen, dat onbereikbaarheid of uitval van computers het gevolg is. 10.3.2.1 10. Beheer van Systeem acceptatie [A] Van acceptatietesten wordt een log bijgehouden. Zijn er testverslagen van systeem acceptatie tests? Blad 6 van 15 bladen

10.3.2.2 10. Beheer van Systeem acceptatie Er zijn acceptatiecriteria vastgesteld voor het testen van de beveiliging. Zijn de beveiliging acceptatie criteria van systemen minimaal OWASP Dit betreft minimaal OWASP of gelijkwaardig. of gelijkwaardig? Blijkt dat deze acceptatie criteria gebruikt worden uit bijvoorbeeld test documentatie van systemen? 10.4.1.1 10. Beheer van Maatregelen tegen virussen [A] Bij het openen van bestanden worden deze geautomatiseerd Zijn er op systemen anti virus scanners geïnstalleerd die bestanden gecontroleerd op virussen, trojans en andere malware. De update voor controleert bij openen? de detectiedefinities vindt frequent, minimaal één keer per dag, Vindt het updaten van detectiedefinities dagelijks plaats? automatisch plaats. 10.4.1.2 10. Beheer van Maatregelen tegen virussen [A] Inkomende en uitgaande e-mails worden gecontroleerd op virussen, Zijn er op mail systemen anti virus scanners geïnstalleerd die trojans en andere malware. De update voor de detectiedefinities vindt bestanden controleert bij openen? frequent, minimaal één keer per dag, (automatisch) plaats. Vindt het updaten van detectiedefinities dagelijks plaats? 10.4.1.3 10. Beheer van Maatregelen tegen virussen In verschillende schakels van een keten binnen de infrastructuur van Wordt er in verschillende schakels van de infrastructuur verschillende een organisatie wordt bij voorkeur antivirusprogrammatuur van antivirus programmatuur gebruikt? verschillende leveranciers toegepast. 10.4.1.4 10. Beheer van Maatregelen tegen virussen [A] Er zijn maatregelen om verspreiding van virussen tegen te gaan en Zijn er maatregelen om verspreiding van virussen tegen te gaan daarmee schade te beperken (bijv. quarantaine en compartimentering). genomen? Indien ja, welke maatregelen? 10.4.1.5 10. Beheer van Maatregelen tegen virussen Er zijn continuïteitsplannen voor herstel na aanvallen met virussen Zijn er continuïteitsplannen voor herstel na aanvallen met virussen? waarin minimaal maatregelen voor backups en herstel van gegevens en Zijn daarin maatregelen voor backups en herstel van gegevens en programmatuur zijn beschreven. programmatuur beschreven. 10.4.1.6 10. Beheer van Maatregelen tegen virussen Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD Zijn er mobiele devices in gebruik? de eindgebruiker verplicht is deze zelf toe te passen. Is er antivirus software voor deze mobiele devices? Is BYOD toegestaan binnen de gemeente? Is er beleid dat eindgebruikers verplicht worden antivirus software te gebruiken? 10.4.2.1 10. Beheer van Maatregelen tegen mobile code Mobile code wordt uitgevoerd in een logisch geïsoleerde omgeving Wordt er gebruik gemaakt van logisch geïsoleerde omgevingen om (sandbox) om de kans op aantasting van de integriteit van het systeem mobiele code uit te voeren? te verkleinen. De mobile code wordt altijd uitgevoerd met minimale rechten zodat de integriteit van het host systeem niet aangetast wordt. 10.4.2.2 10. Beheer van Maatregelen tegen mobile code Een gebruiker moet geen extra rechten kunnen toekennen aan Is het toekennen van extra rechten aan programma's die mobiele programma s (bijv. internet browsers) die mobiele code uitvoeren. code uitvoeren geblokkeerd door bijvoorbeeld een policy? 10.5.1.1 10. Beheer van Reservekopieën maken (backups) Er zijn (geteste) procedures voor back-up en recovery van informatie Zijn er backup en recovery procedures voor herinrichting of herstel voor herinrichting en foutherstel van verwerkingen. van informatie en/of verwerkingen? Zijn deze procedures ook getest? 10.5.1.2 10. Beheer van Reservekopieën maken (backups) Back-upstrategieën zijn vastgesteld op basis van het soort gegevens Zijn er per gegevenssoort back-up strategieën vastgesteld? En (bestanden, databases, enz.), de maximaal toegestane periode rekening gehouden met de punten hiernaast? waarover gegevens verloren mogen raken, en de maximaal toelaatbare back-up- en hersteltijd. 10.5.1.3 10. Beheer van Reservekopieën maken (backups) Van back-upactiviteiten en de verblijfplaats van de media wordt een Is er een logging dan wel registratie van uitgevoerde backups en zijn registratie bijgehouden, met een kopie op een andere locatie. De er verschillende kopieën op verschillende locaties rekening houdend andere locatie is zodanig gekozen dat een incident/calamiteit op de met de maximale periode van hierboven? oorspronkelijke locatie niet leidt tot schade aan of toegang tot de kopie van die registratie. 10.5.1.4 10. Beheer van Reservekopieën maken (backups) Backups worden bewaard op een locatie die zodanig is gekozen dat een Zijn de back-up bewaarlocaties voldoende ver verwijderd van de incident op de oorspronkelijke locatie niet leidt tot schade aan de back- oorspronkelijke locatie? up. 10.5.1.5 10. Beheer van Reservekopieën maken (backups) De fysieke en logische toegang tot de backups, zowel van Is er voor gezorgd dat de toegang tot de backups alleen mogelijk is systeemschijven als van data, is zodanig geregeld dat alleen voor geautoriseerde personen? geautoriseerde personen zich toegang kunnen verschaffen tot deze backups. 10.6.1.1 10. Beheer van Maatregelen voor netwerken Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen Wordt er gebruik gemaakt van netwerkmonitoring zodat fouten of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid vroegtijdig ontdekt worden en hersteld? van het netwerk niet onder het afgesproken minimum niveau komt. 10.6.1.2 10. Beheer van Maatregelen voor netwerken [A] Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones Wordt er gebruik gemaakt van malware detectie op de koppelvlakken dient inhoudelijk geautomatiseerd gecontroleerd te worden op (vertrouwde en onvertrouwde zones)? aanwezigheid van malware. 10.6.1.3 10. Beheer van Maatregelen voor netwerken [A] Bij transport van vertrouwelijke informatie over onvertrouwde Wordt er gebruik gemaakt van encryptie als vertrouwde informatie netwerken, zoals het internet, dient altijd geschikte encryptie te over onvertrouwde netwerken getransporteerd word? worden toegepast. Zie hiertoe 12.3.1.3. 10.6.1.4 10. Beheer van Maatregelen voor netwerken Er zijn procedures voor beheer van apparatuur op afstand. Wordt er beheer op afstand toegepast en zijn daar procedures voor? 10.6.2.1 10. Beheer van Beveiliging van netwerkdiensten Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen Zijn de beveiligingskenmerken, niveaus van dienstverlening en voor alle netwerkdiensten behoren te worden geïdentificeerd en beheereisen voor interne en externe netwerkdiensten vastgelegd. opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor Ook als het uitbesteed is? diensten die intern worden geleverd als voor uitbestede diensten. 10.7.1.1 10. Beheer van Beheer van verwijderbare media [A] Er zijn procedures opgesteld en geïmplementeerd voor opslag van Zijn er procedures voor de opslag van vertrouwelijke informatie op vertrouwelijke informatie voor verwijderbare media. verwijderbare media zoals diskettes, usb-sticks? 10.7.1.2 10. Beheer van Beheer van verwijderbare media [A] Verwijderbare media met vertrouwelijke informatie mogen niet Zijn er procedures voor het NIET onbeheerd achterlaten van onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn verwijderbare media op onvertrouwde plaatsen? zonder toegangscontrole. 10.7.1.3 10. Beheer van Beheer van verwijderbare media In het geval dat media een kortere verwachte levensduur hebben dan Wordt er bijgehouden wanneer een medium in gebruik genomen is en de gegevens die ze bevatten, worden de gegevens gekopieerd wanneer is er een procedure die er voor zorgt dat ze tijdig vervangen worden 75% van de levensduur van het medium is verstreken. (als de levensduur van het medium op 75% is) (schijven, tapes, sticks) 10.7.1.4 10. Beheer van Beheer van verwijderbare media Gegevensdragers worden behandeld volgens de voorschriften van de Worden alle gegevensdragers behandeld conform de voorschriften fabrikant. van de fabrikant? Blad 7 van 15 bladen

10.7.2.1 10. Beheer van Verwijdering van media [A] Er zijn procedures vastgesteld en in werking voor verwijderen van Zijn er procedures voor het verwijderen van vertrouwelijke data van vertrouwelijke data en de vernietiging van verwijderbare media. verwijderbare media? Welke norm wordt daarbij gehanteerd? Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. Zie ook 9.2.6. 10.7.3.1 10. Beheer van Procedures voor de behandeling van Er behoren procedures te worden vastgesteld voor de behandeling en Zijn er procedures vastgesteld die ervoor zorgen dat informatie niet in informatie opslag van informatie om deze te beschermen tegen onbevoegde handen kan komen van onbevoegde personen en die ervoor zorgen openbaarmaking of misbruik. dan de informatie niet misbruikt kan worden of openbaargemaakt? 10.7.4.1 10. Beheer van Beveiliging van systeemdocumentatie Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij Wordt systeemdocumentatie die vertrouwelijke informatie bevat juist toegankelijk. behandeld? 10.7.4.2 10. Beheer van Beveiliging van systeemdocumentatie [A] Wanneer de eigenaar er expliciet voor kiest om gerubriceerde Wordt systeemdocumentatie die gerubriceerde informatie bevat niet systeemdocumentatie buiten de gemeente te brengen, doet hij dat zonder risico afweging buiten de gemeente gebracht? Indien ja, waar niet zonder risicoafweging. blijkt dat uit? 10.8.1.1 10. Beheer van Beleid en procedures voor informatie- [A] Het meenemen van Departementaal Vertrouwelijke of Wordt vertrouwelijke informatie niet anders buiten de gemeente uitwisseling vergelijkbaar geclassificeerde informatie, of hogere, buiten de gebracht indien dit voor het uitoefenen van de functie noodzakelijk gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de is? Waar blijkt dat uit? functie noodzakelijk is. 10.8.1.2 10. Beheer van Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om zodanig om te gaan met Zijn er procedures en zijn ze bekend bij de medewerkers waarin de uitwisseling (telefoon)gesprekken, e-mail, faxen ingesproken berichten op omgang met vertrouwelijke informatie geregeld is? antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt. 10.8.1.3 10. Beheer van Beleid en procedures voor informatieuitwisseling apparatuur en verwijderbare media dat de kans op uitlekken van omgang met mobiele apparatuur en verwijderbare media geregeld is? Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele Zijn er procedures en zijn ze bekend bij de medewerkers waarin de vertrouwelijke informatie geminimaliseerd wordt. Hierbij wordt ten Gaat dit ook over adreslijsten en opgeslagen boodschappen op een minste aandacht besteed aan het risico van adreslijsten en opgeslagen mobiele telefoon? boodschappen in mobiele telefoons. 10.8.1.4 10. Beheer van Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij Is er een printer procedure voor vertrouwelijke documenten of is er uitwisseling de printer te laten liggen. pull-print? 10.8.1.5 10. Beheer van Beleid en procedures voor informatie- Er zijn maatregelen getroffen om het automatisch doorsturen van Wordt er gemonitord op het automatisch doorzenden van mail naar uitwisseling interne e-mail berichten naar externe e-mail adressen te voorkomen. externe mailadressen en is er een verbod op het doorzenden van mail? 10.8.2.1 10. Beheer van Uitwisselingsovereenkomsten Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van Zijn er procedures dan wel werkafspraken of mechanismes die de gegevens en software tussen organisaties waarin de maatregelen om traceerbaarheid en onweerlegbaarheid van gegevens waarborgen en betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid - zijn deze getoetst? van gegevens te waarborgen zijn beschreven en getoetst. 10.8.2.2 10. Beheer van Uitwisselingsovereenkomsten Verantwoordelijkheid en aansprakelijkheid in het geval van Is er een incidentmanagement proces en is deze in werking? sincidenten zijn beschreven, alsmede procedures over melding van incidenten. 10.8.2.3 10. Beheer van Uitwisselingsovereenkomsten Het eigenaarschap van gegevens en programmatuur en de Is er vastgelegd wie eigenaar van gegevens en programmatuur is? verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd. 10.8.2.4 10. Beheer van Uitwisselingsovereenkomsten [A] Indien mogelijk wordt binnenkomende programmatuur (zowel op Is er een controle mechanisme voor binnenkomende fysieke media als gedownload) gecontroleerd op ongeautoriseerde programmatuur? wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat. 10.8.3.1 10. Beheer van Fysieke media die worden Om vertrouwelijke informatie te beschermen worden maatregelen Zijn er maatregelen genomen om vertrouwde informatie te getransporteerd genomen, zoals: beschermen? (zie hiernaast voor voorbeelden) versleuteling bescherming door fysieke maatregelen, zoals afgesloten containers gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen persoonlijke aflevering opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes 10.8.3.2 10. Beheer van Fysieke media die worden [A] Fysieke verzending van bijzondere informatie dient te geschieden Zijn er procedures voor fysieke verzending van bijzondere informatie? getransporteerd met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is. 10.8.4.1 10. Beheer van Elektronisch berichtenuitwisseling [A] Digitale documenten binnen de gemeente waar eindgebruikers Wordt er gebruik gemaakt van certificaten als eindgebruikers rechten rechten aan kunnen ontlenen maken gebruik van PKI Overheid kunnen ontlenen aan digitale documenten? certificaten voor tekenen en/of encryptie. 10.8.4.2 10. Beheer van Elektronisch berichtenuitwisseling Er is een (spam) filter geactiveerd voor e-mail berichten. Is er een spamfilter voor e-mail? 10.8.5.1 10. Beheer van Systemen voor bedrijfsinformatie Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het Zijn er richtlijnen waarin aandacht besteed wordt zoals hiernaast gebruik van gemeentelijk informatie in kantoorapplicaties met zich benoemd bij het gebruik en de bepaling van de beveiliging van meebrengen en richtlijnen voor de bepaling van de beveiliging van deze kantoor applicaties? informatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, backup en in voorkomend geval Cloud diensten. 10.9.1.1 10. Beheer van E-commerce [A] Conform verplichting worden authentieke basisregistraties van de Worden er alleen authentieke basisregistraties van de overheid overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruikt? gebruik) 10.9.2.1 10. Beheer van Online-transacties Een transactie wordt bevestigd (geautoriseerd) door een Worden transacties bevestigd met een elektronische handtekening of (gekwalificeerde) elektronische handtekening of een andere wilsuiting een andere wilsuiting? (bijv. een TAN code) van de gebruiker. Blad 8 van 15 bladen

10.9.2.2 10. Beheer van Online-transacties Een transactie is versleuteld, de partijen zijn geauthentiseerd en de Worden transacties versleuteld en de partijen geauthentiseerd en is privacy van betrokken partijen is gewaarborgd. de privacy gewaarborgd? 10.9.3.1 10. Beheer van Openbaar beschikbare informatie Er zijn procedures die waarborgen dat gepubliceerde informatie is Zijn er procedures dat alleen geautoriseerde medewerkers informatie aangeleverd door daartoe geautoriseerde medewerkers. kunnen publiceren? 10.10.1.1 10. Beheer van Van logbestanden worden rapportages gemaakt die periodiek worden Zijn er logging rapportages? beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden. De GBA logging kan bijvoorbeeld dagelijks nagelopen worden, evenals financiële systemen, controle van het Internet gebruik kan bijvoorbeeld per maand of kwartaal. 10.10.1.2 10. Beheer van Een logregel bevat minimaal: Is vastgelegd wat er in een logregel moet staan (zie hiernaast)? een tot een natuurlijk persoon herleidbare gebruikersnaam of ID de gebeurtenis (zie 10.10.2.1) waar mogelijk de iden teit van het werksta on of de loca e het object waarop de handeling werd uitgevoerd het resultaat van de handeling de datum en het jds p van de gebeurtenis 10.10.1.3 10. Beheer van [A] In een logregel worden in geen geval gevoelige gegevens Bevat een logregel geen gevoelige gegevens zoals wachtwoorden? opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.). 10.10.1.4 10. Beheer van [A] Logberichten worden overzichtelijk samengevat. Daartoe zijn Worden logberichten overzichtelijk samengevat? systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM) waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven worden. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden. 10.10.1.5 10. Beheer van Controle op opslag van logging: het vollopen van het opslagmedium Is er controle op het vollopen van het opslagmedium voor logging? voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is). 10.10.2.1 10. Beheer van De volgende gebeurtenissen worden in ieder geval opgenomen in de Worden de gebeurtenissen zoals hiernaast genoemd opgenomen in logging: de logging? gebruik van technische beheerfunc es, zoals het wijzigingen van configuratie of instelling; uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore gebruik van func oneel beheerfunc es, zoals het wijzigingen van configuratie en instellingen, release van nieuwe functionaliteit, ingrepen in gegevenssets (waaronder databases) handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren gebruikers, toekennen en intrekken van rechten, wachtwoordreset, uitgifte en intrekken van cryptosleutels 10.10.3.1 10. Beheer van beveiligingsincidenten Het (automatisch) overschrijven (zoals de of aanwezigheid verwijderen van malware, logbestanden testen wordt op Wordt het overschrijven, verwijderen dan wel verplaatsen van logging gelogd in de nieuw aangelegde log. vastgelegd in logging? 10.10.3.2 10. Beheer van [A] Het raadplegen van logbestanden is voorbehouden aan Is logging read-only en alleen voor geautoriseerde gebruikers geautoriseerde gebruikers. Hierbij is de toegang beperkt tot beschikbaar? leesrechten. 10.10.3.3 10. Beheer van Logbestanden worden zodanig beschermd dat deze niet aangepast of Wordt manipulatie en aanpassing van logging voorkomen? gemanipuleerd kunnen worden. 10.10.3.4 10. Beheer van De instellingen van logmechanismen worden zodanig beschermd dat Worden de logginginstellingen beschermd? deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden. 10.10.3.5 10. Beheer van [A] De beschikbaarheid van loginformatie is gewaarborgd binnen de Is er een minimale logtermijn van 3 maanden en als er een incident termijn waarin loganalyse noodzakelijk wordt geacht, met een vermoed wordt minimaal 3 jaar? minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) sincident is de bewaartermijn minimaal drie jaar. 10.10.3.6 10. Beheer van Controle op opslag van logging: het vollopen van het opslagmedium Is er alarmering op de logging? voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is). 10.10.4.1 10. Beheer van Zie 10.10.1 10.10.5.1 10. Beheer van Zie 10.10.1 10.10.6.1 10. Beheer van Systeemklokken worden zodanig gesynchroniseerd dat altijd een Lopen alle systeemklokken gelijk? betrouwbare analyse van logbestanden mogelijk is. 11.1.1.1 11. Toegangsbeveiliging Toegangsbeleid Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en Is er toegangsbeleid? beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. Blad 9 van 15 bladen

11.2.1.1 11. Toegangsbeveiliging Registratie van gebruikers Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden. Is er een procedure voor nieuwe gebruikers? 11.2.1.2 11. Toegangsbeveiliging Registratie van gebruikers [A] Authenticatiegegevens worden bijgehouden in één bronbestand Worden authenticatiegegevens in 1 bronbestand bij elkaar zodat consistentie is gegarandeerd. gehouden? 11.2.1.3 11. Toegangsbeveiliging Registratie van gebruikers [A] Op basis van een risicoafweging wordt bepaald waar en op welke Is er een risicoafweging bij de bepaling van toegangsrechten en is er wijze functiescheiding wordt toegepast en welke toegangsrechten functiescheiding? worden gegeven. 11.2.2.1 11. Toegangsbeveiliging Beheer van (speciale) bevoegdheden Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use). Worden speciale bevoegdheden alleen gebruikt als ze nodig zijn? 11.2.2.2 11. Toegangsbeveiliging Beheer van (speciale) bevoegdheden Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers. Draaien systeemprocessen onder een eigen account? 11.2.2.3 11. Toegangsbeveiliging Beheer van (speciale) bevoegdheden Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando s. Krijgen gebruikers alleen die toegang die ze nodig hebben? 11.2.2.4 11. Toegangsbeveiliging Beheer van (speciale) bevoegdheden Er is aandacht voor het wijzigen van bevoegdheden bij verandering van Is er een beleid bij werkverandering i.v.m. het wijzigen van functie / afdeling. bevoegdheden? 11.2.3.1 11. Toegangsbeveiliging Beheer van gebruikerswachtwoorden Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen Worden wachtwoorden voldoende beschermd opgeslagen of of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde verstuurd (hash + SALT) van het wachtwoord gecombineerd met een salt opgeslagen. 11.2.3.2 11. Toegangsbeveiliging Beheer van gebruikerswachtwoorden Ten aanzien van wachtwoorden geldt: Is er een wachtwoord procedure of is er toegangsbeleid waarin Wachtwoorden worden op een veilige manier uitgegeven (controle tenminste de hiernaast genoemde aspecten verwoord is? identiteit van de gebruiker). Tijdelijke wachtwoorden of wachtwoorden die standaard in so ware of hardware worden meegegeven worden bij eerste gebruik vervangen door een persoonlijk wachtwoord. Gebruikers beves gen de ontvangst van een wachtwoord. Wachtwoorden zijn alleen bij de gebruiker bekend. Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 hoofdletter, 1 cijfer en 1 vreemd teken. Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden. 11.2.4.1 11. Toegangsbeveiliging Beoordeling van toegangsrechten van Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, gebruikers geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau. Worden de toegangsrechten minimaal jaarlijks geëvalueerd? 11.3.1.1 11. Toegangsbeveiliging Gebruik van wachtwoorden Aan de gebruikers is een set gedragsregels aangereikt met daarin Zijn gebruikers in het bezit van gedragsregels? minimaal het volgende: Wachtwoorden worden niet opgeschreven. Gebruikers delen hun wachtwoord nooit met anderen. Wachtwoorden mogen niet opeenvolgend zijn Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde. Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijv. opgeslagen onder een functietoets of in een macro). 11.3.2.1 11. Toegangsbeveiliging Onbeheerde gebruikersapparatuur De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : 11.5.5) Is er een clear desk en clear screen policy? 11.3.3.1 11. Toegangsbeveiliging Clear desk en clear screen In het clear desk beleid staat minimaal dat de gebruiker geen En staat daar het volgende in: vertrouwelijke informatie op het bureau mag laten liggen. Deze Dat de gebruiker geen vertrouwelijke informatie op het bureau mag informatie moet altijd worden opgeborgen in een afsluitbare laten liggen. Deze informatie moet altijd worden opgeborgen in een opbergmogelijkheid (kast, locker, bureau of kamer). afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). 11.3.3.2 11. Toegangsbeveiliging Clear desk en clear screen Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie beveiligd afdrukken (pincode verificatie). Is er een functie voor beveiligd afdrukken van gevoelige informatie? 11.3.3.3 11. Toegangsbeveiliging Clear desk en clear screen [A] Schermbeveiligingsprogrammatuur (een screensaver) maakt na een Is er een screensaver die automatisch in werking gaat na maximaal 15 periode van inactiviteit van maximaal 15 minuten alle informatie op het minuten inactiviteit? beeldscherm onleesbaar en ontoegankelijk. 11.3.3.4 11. Toegangsbeveiliging Clear desk en clear screen [A] Toegangsbeveiliging lock wordt automatisch geactiveerd bij het Is er een screenlock/saver die automatisch in werking gaat als een verwijderen van een token (indien aanwezig). token verwijderd wordt? Indien aanwezig! 11.4.1.1 11. Toegangsbeveiliging Beleid ten aanzien van het gebruik van netwerkdiensten 11.4.2.1 11. Toegangsbeveiliging Authenticatie van gebruikers bij externe verbindingen Er is een gedocumenteerd beleid met betrekking tot het gebruik van Is er netwerkgebruik beleid? netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3. Zie ook 11.6.1.3. 11.4.3.1 11. Toegangsbeveiliging Identificatie van (netwerk)apparatuur [A] Alleen geïdentificeerde en geauthentiseerde apparatuur kan Is geregeld dat alleen geauthentiseerde apparatuur kan worden worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, aangesloten op een vertrouwede zone? apparatuur (Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde zone. 11.4.4.1 11. Toegangsbeveiliging Bescherming op afstand van poorten Poorten, diensten en soortgelijke voorzieningen op een netwerk of voor diagnose en configuraties computer die niet vereist zijn voor de dienst dienen te worden afgesloten. Is er patch en poort management? Blad 10 van 15 bladen

11.4.5.1 11. Toegangsbeveiliging Scheiding van netwerken [A] Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is. Is verkeer tussen verschillende netwerk zones niet mogelijk? 11.4.5.2 11. Toegangsbeveiliging Scheiding van netwerken [A] De indeling van zones binnen de technische infrastructuur vindt Is er beleid over zonering en wordt deze geëvalueerd? plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden. 11.4.5.3 11. Toegangsbeveiliging Scheiding van netwerken [A] Elke zone heeft een gedefinieerd beveiligingsniveau Zodat de Hebben zones gedefinieerde beveiligingsniveaus? filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op protocol, inhoud en richting van de communicatie. 11.4.5.4 11. Toegangsbeveiliging Scheiding van netwerken [A] Beheer en audit van zones vindt plaats vanuit een minimaal logisch gescheiden, separate zone. Is er voor beheer en audit een logische gescheiden zone? 11.4.5.5 11. Toegangsbeveiliging Scheiding van netwerken Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen). Is er hardening? 11.4.6.1 11. Toegangsbeveiliging Beheersmaatregelen voor Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van Is er toegangsbeleid bij zone overschrijdende gemeenschappelijke netwerkverbindingen de organisatie overschrijden, behoren de toegangsmogelijkheden voor netwerken? gebruikers te worden beperkt, overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1). 11.4.7.1 11. Toegangsbeveiliging Beheersmaatregelen voor Netwerken zijn voorzien van beheersmaatregelen voor routering Zijn er beheersmaatregelen voor routering en verificatie van bron en netwerkroutering gebaseerd op mechanismen ter verificatie van bron en bestemming? bestemmingsadressen. 11.5.1.1 11. Toegangsbeveiliging Beveiligde inlogprocedures [A] Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie. Wordt er gebruik gemaakt van two-factor bij kritische of hoog belang toepassingen? 11.5.1.2 11. Toegangsbeveiliging Beveiligde inlogprocedures Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Is een wachtwoord bij invoer onleesbaar? Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens. 11.5.1.3 11. Toegangsbeveiliging Beveiligde inlogprocedures Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden. Is er een melding over geautoriseerd gebruik bij inloggen? 11.5.1.4 11. Toegangsbeveiliging Beveiligde inlogprocedures Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem. Is er bij een succesvolle login een melding van de voorgaande login? 11.5.1.5 11. Toegangsbeveiliging Beveiligde inlogprocedures [A] Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord Is er een lockoutperiode? gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten. 11.5.2.1 11. Toegangsbeveiliging Gebruikersindentificatie en authenticatie Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel. Is er controle op de uitgifte van authenticatiemiddelen? 11.5.2.2 11. Toegangsbeveiliging Gebruikersindentificatie en authenticatie Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal Is er minimaal een wachtwoord nodig bij authenticatie van gebruikers geauthentiseerd op basis van wachtwoorden. (intern)? 11.5.2.3 11. Toegangsbeveiliging Gebruikersindentificatie en [A] Applicaties mogen niet onnodig en niet langer dan noodzakelijk Hebben applicaties niet meer rechten dan nodig? authenticatie onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een unprivileged user). 11.5.3.1 11. Toegangsbeveiliging Systemen voor wachtwoordenbeheer Er wordt automatisch gecontroleerd op goed gebruik van Wordt er automatisch gecontroleerd op het gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden, regelmatige wachtwoorden, bijvoorbeeld door een policy setting in de systemen wijziging, directe wijziging van initieel wachtwoord). of in de applicatie? 11.5.3.2 11. Toegangsbeveiliging Systemen voor wachtwoordenbeheer [A] Wachtwoorden hebben een geldigheidsduur zoals beschreven bij Is de geldigheidsduur van wachtwoorden in te stellen en wordt dit 11.2.3. Daarbinnen dient het wachtwoord te worden gewijzigd. afgedwongen, bijvoorbeeld door een policy setting in de systemen of Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd. in de applicatie? 11.5.3.3 11. Toegangsbeveiliging Systemen voor wachtwoordenbeheer [A] Wachtwoorden die gereset zijn en initiële wachtwoorden hebben Is een verstrekt tijdelijk wachtwoord beperkt in geldigheidsduur, en is een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik er een regel/policy die afdwingt dat dit wachtwoord bij eerste gebruik worden gewijzigd. dient te worden gewijzigd? 11.5.3.4 11. Toegangsbeveiliging Systemen voor wachtwoordenbeheer De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen Hebben de gebruikers de mogelijkheid hun eigen wachtwoord te en te wijzigen. Hierbij geldt het volgende: kiezen en te wijzigen? voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de Hierbij geldt het volgende: gebruiker opnieuw geauthentiseerd. voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er gebruiker opnieuw geauthentiseerd. een bevestigingsprocedure. ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure. 11.5.4.1 11. Toegangsbeveiliging Gebruik van systeemhulpmiddelen Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst. is het gebruik van hulpprogrammatuur waarmee systeem en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, beperkt tot beheerders? 11.5.5.1 11. Toegangsbeveiliging Time-out van sessies [A] De periode van inactiviteit van een werkstation is vastgesteld op Is er een time out ingesteld van 15 minuten of korter voor het maximaal 15 minuten. Daarna wordt de PC vergrendeld. Bij remote werkstation? desktop sessies geldt dat na maximaal 15 minuten inactiviteit de sessie Is dit ook voor remote sessies zo ingesteld? verbroken wordt. Blad 11 van 15 bladen

11.5.6.1 11. Toegangsbeveiliging Beperking van verbindingstijd [A] De toegang voor onderhoud op afstand door een leverancier wordt Worden er systemen onderhouden door derden die daar vanaf alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. afstand bij mogen, waarbij alleen op basis van een wijzigingsverzoek Met 2-factor authenticatie en tunneling. of storingsmelding toegang wordt verleend door middel van 2 factor authenticering en tunneling? 11.6.1.1 11. Toegangsbeveiliging Beperken van toegang tot informatie In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden. 11.6.1.2 11. Toegangsbeveiliging Beperken van toegang tot informatie [A] Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten. 11.6.1.3 11. Toegangsbeveiliging Beperken van toegang tot informatie [A] Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke Vind bij toegang vanuit een onvertrouwde omgeving 2 factor authenticatie (two-factor) van gebruikers plaats. authenticatie plaats? 11.6.1.4 11. Toegangsbeveiliging Beperken van toegang tot informatie [A] Een beheerder gebruikt two-factor authenticatie voor het beheer Wordt voor beheer van systemen gebruik gemaakt van 2 factor van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een authenticatie, zoals in het voorbeeld genoemd? password of een token en een password. 11.6.2.1 11. Toegangsbeveiliging Isoleren van gevoelige systemen [A] Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden. Zijn gevoelige systemen geïsoleerd van andere systemen? 11.7.1.1 11. Toegangsbeveiliging Draagbare computers en [A] Het mobiele apparaat is waar mogelijk zo ingericht dat geen Worden er mobiele apparaten binnen de gemeente toegestaan voor communicatievoorzieningen bedrijfsinformatie wordt opgeslagen ( zero footprint ). Voor het geval toegang tot bedrijfsinformatie? dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, geldt: Is daarvoor zero footprint software in gebruik een mobiel apparaat (zoals een handheld computer, tablet, of een wachtwoord (pincode) en versleuteling van gegevens? smartphone, PDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een wachtwoord en versleuteling van die gegevens. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats 11.7.1.2 11. Toegangsbeveiliging Draagbare computers en [A] Er zijn, waar mogelijk, voorzieningen om de actualiteit van anti- Op mobiele apparaten van de gemeente wordt anti malware software communicatievoorzieningen malware programmatuur op mobiele apparaten te garanderen. gebruikt welke regelmatig wordt geupdate. 11.7.1.3 11. Toegangsbeveiliging Draagbare computers en [A] Bij melding van verlies of diefstal wordt de Wordt bij melding van verlies of diefstal de communicatievoorzieningen communicatiemogelijkheid met de centrale applicaties afgesloten. communicatiemogelijkheid met centrale applicaties afgesloten? 11.7.2.1 11. Toegangsbeveiliging Telewerken Er wordt een beleid met gedragsregels en een geschikte implementatie van de techniek opgesteld t.a.v. telewerken. Is er telewerk beleid binnen de gemeente (indien van toepassing?) 11.7.2.2 11. Toegangsbeveiliging Telewerken Er wordt beleid vastgesteld met daarin de uitwerking welke systemen Is er in dit telewerk beleid vastgesteld welke systemen wel en welke niet en welke systemen wel vanuit de thuiswerkplek of andere systemen niet mogen worden geraadpleegd? telewerkvoorzieningen mogen worden geraadpleegd. Dit beleid wordt Is hiervoor aparte software die dit ondersteund? bij voorkeur ondersteund door een MDM-oplossing (mobile device management). 11.7.2.3 11. Toegangsbeveiliging Telewerken [A] De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de Is de telewerk voorziening zo ingericht dat op de telewerk werkplek werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt geen data lokaal kan worden opgeslagen? opgeslagen ( zero footprint ) en mogelijke malware vanaf de werkplek En dat eventuele malware niet in het vertrouwde deel terecht kan niet in het vertrouwde deel terecht kan komen. komen? Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats. 12.1.1.1 12. Verwerving, Analyse en specificatie van In projecten worden een beveiligingsrisicoanalyse en Is er een procedure die nageleefd wordt dat bij projecten een beveiligingseisen maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij risicoanalyse en maatregelbepaling onderdeel is van het ontwerp? wijzigingen worden de veiligheidsconsequenties meegenomen. Wordt dit ook gedaan in de wijzigingsbeheer procedure? 12.1.1.2 12. Verwerving, Analyse en specificatie van In standaarden voor analyse, en testen van Wordt bij analyse, ontwikkelen en testen van informatiesystemen beveiligingseisen informatiesystemen wordt structureel aandacht besteed aan aandacht besteed aan het testen van beveiligingsaspecten? beveiligingsaspecten. Waar mogelijk wordt gebruikt gemaakt van bestaande richtlijnen (bijv. secure coding guidelines ). 12.1.1.3 12. Verwerving, Analyse en specificatie van Bij aanschaf van producten wordt een proces gevolgd waarbij Wordt bij aanbesteding van producten beveiliging meegenomen als beveiligingseisen beveiliging een onderdeel is van de specificatie. onderdeel van de specificatie? 12.1.1.4 12. Verwerving, Analyse en specificatie van Waar het gaat om beveiligingsrelevante producten wordt de keuze voor Zijn er voor beveiligingsrelevante producten die gebruikt worden beveiligingseisen een bepaald product verantwoord onderbouwd. verantwoorde onderbouwingen? 12.1.1.5 12. Verwerving, Analyse en specificatie van Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen voor beveiliging gebruikte componenten aantoonbaar aan beveiligingseisen voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring beveiligingscriteria van het NBV of volgens ISO/IEC 15408? of certificering volgens ISO/IEC 15408 (common criteria). 12.1.1.6 12. Verwerving, Analyse en specificatie van Er is expliciet aandacht voor leveranciers accounts, hardcoded Controleer of er een procedure is voor het aanpassen van standaard beveiligingseisen wachtwoorden en mogelijke achterdeurtjes. leveranciers wachtwoorden. Controleer of er een log of registratie is van aangepaste wachtwoorden. 12.2.1.1 12. Verwerving, Validatie van invoergegevens Er moeten controles worden uitgevoerd op de invoer van gegevens. Controleer of bij applicaties aandacht is voor het controleren van de Daarbij wordt minimaal gecontroleerd op grenswaarden, ongeldige invoer van gegevens. Met name aandacht hebben voor web tekens, onvolledige gegevens, gegevens die niet aan het juiste format applicaties, hanteer hierbij NCSC of OWASP richtlijnen. voldoen, toevoegen van parameters (SQL-Injection) en inconsistentie van gegevens. 12.2.2.1 12. Verwerving, Beheersing van interne Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te Zijn er voldoende mogelijkheden om reeds ingevoerde gegevens aan gegevensverwerking kunnen corrigeren door er gegevens aan te kunnen toevoegen. te vullen. Blad 12 van 15 bladen

12.2.2.2 12. Verwerving, Beheersing van interne Het informatiesysteem moet functies bevatten waarmee vastgesteld Worden transactie en/of verwerkingsfouten gedetecteerd door gegevensverwerking kan worden of gegevens correct verwerkt zijn. Hiermee wordt een middel van een automatische controle gevolgd door een melding / geautomatiseerde controle bedoeld waarmee (duidelijke) transactie- controle mogelijkheid welke nagelopen wordt? en verwerkingsfouten kunnen worden gedetecteerd. 12.2.2.3 12. Verwerving, Beheersing van interne Stapelen van fouten wordt voorkomen door toepassing van noodstop Zijn er noodstop mechanismen die er voor zorgen dat stapeling van gegevensverwerking mechanismen. fouten wordt voorkomen? 12.2.2.4 12. Verwerving, Beheersing van interne Verwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van Zijn verwerkingen herstelbaar in het geval van fouten? (bijvoorbeeld gegevensverwerking fouten en/of wegraken van informatie dit hersteld kan worden door het verwerken batchjobs, berichtenverwerking etcetera). opnieuw verwerken van de informatie. 12.2.3.1 12. Verwerving, Integriteit van berichten Er behoren eisen te worden vastgesteld, en geschikte Zijn er voorzieningen en beheersmaatregelen geïmplementeerd voor beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en beschermen van integriteit het bewerkstelligen van authenticiteit en het beschermen van van berichten in toepassingen. (denk aan afzender controle, integriteit van berichten in toepassingen. encryptie, apparaat authenticatie etcetera). 12.2.4.1 12. Verwerving, Validatie van uitvoergegevens De uitvoerfuncties van programma's maken het mogelijk om de Zijn er programma's met uitvoerfuncties waarbij de volledigheid en volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. juistheid van de gegevens kan worden vastgesteld. door checksums). 12.2.4.2 12. Verwerving, Validatie van uitvoergegevens Bij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste Worden gegevens die uitgevoerd worden met het juiste niveau van niveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. vertrouwelijkheid beschikbaar gesteld (behorend bij de classificatie?) beveiligd printen). 12.2.4.3 12. Verwerving, Validatie van uitvoergegevens Alleen gegevens die noodzakelijk zijn voor de doeleinden van de Wordt gebruik gemaakt van het need to know principe, zodat alleen gebruiker worden uitgevoerd (need to know). gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd? 12.3.1.1 12. Verwerving, Beleid voor het gebruik van De gebruikte cryptografische algoritmen voor versleuteling zijn als open Worden er alleen cryptografische algoritmen gebruikt die als open cryptografische beheersmaatregelen standaard gedocumenteerd en zijn door onafhankelijke betrouwbare standaard zijn gedefinieerd en door onafhankelijke deskundige deskundigen getoetst. getoetst? (bijvoorbeeld AES) 12.3.1.2 12. Verwerving, Beleid voor het gebruik van Bij de inzet van cryptografische producten volgt een afweging van de Is er beleid voor het inzetten van cryptografische producten waarbij cryptografische beheersmaatregelen risico s aangaande locaties, processen en behandelende partijen. de afweging gemaakt is aangaande locaties, processen en behandelende partijen? 12.3.1.3 12. Verwerving, Beleid voor het gebruik van [A] De cryptografische beveiligingsvoorzieningen en componenten Voldoen de cryptografische beveiligingsvoorzieningen aan de cryptografische beheersmaatregelen voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 algemeen gangbare beveiligingscriteria? en waar mogelijk NBV). 12.3.2.1 12. Verwerving, Sleutelbeheer In het sleutelbeheer is minimaal aandacht besteed aan het proces, de Is, als er gebruik gemaakt wordt van cryptografie een sleutelbeheer actoren en hun verantwoordelijkheden. proces met aandacht voor actoren en verantwoordelijkheden? 12.3.2.2 12. Verwerving, Sleutelbeheer De geldigheidsduur van cryptografische sleutels wordt bepaald aan de Is in het cryptografisch beleid vastgelegd welke geldigheidsduur voor hand van de beoogde toepassing en is vastgelegd in het cryptografisch sleutels geldt in relatie tot de toepassing? beleid. 12.3.2.3 12. Verwerving, Sleutelbeheer De vertrouwelijkheid van cryptografische sleutels dient te zijn Is binnen het sleutelbeheerproces waarborg dat de vertrouwelijkheid gewaarborgd tijdens generatie, gebruik, transport en opslag van de van sleutels is gegarandeerd tijdens generatie, gebruik, transport en sleutels. opslag? 12.3.2.4 12. Verwerving, Sleutelbeheer Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan Is er een procedure vastgesteld waarin is bepaald hoe wordt met gecompromitteerde sleutels. omgegaan met gecompromitteerde sleutels? 12.3.2.5 12. Verwerving, Sleutelbeheer [A] Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid Is sleutelmanagement bij voorkeur ingericht volgens PKI overheid? 12.4.1.1 12. Verwerving, Beheersing van operationele Alleen geautoriseerd personeel kan functies en software installeren of Kan alleen geautoriseerd personeel functies en software installeren of programmatuur activeren. activeren? 12.4.1.2 12. Verwerving, Beheersing van operationele Programmatuur behoort pas te worden geïnstalleerd op een Wordt programmatuur geïnstalleerd op de productieomgeving na een programmatuur productieomgeving na een succesvolle test en acceptatie. succesvolle test en acceptatie? 12.4.1.3 12. Verwerving, Beheersing van operationele Geïnstalleerde programmatuur, configuraties en documentatie worden Worden geïnstalleerde programmatuur, configuraties en programmatuur bijgehouden in een configuratiedatabase. documentatie bijgehouden in een configuratiedatabase? 12.4.1.4 12. Verwerving, Beheersing van operationele Er worden alleen door de leverancier onderhouden (versies van) Worden er alleen door de leverancier onderhouden (versies van) programmatuur software gebruikt. software gebruikt? 12.4.1.5 12. Verwerving, Beheersing van operationele Van updates wordt een log bijgehouden. Is er een bijgehouden log van programmatuur updates? programmatuur 12.4.1.6 12. Verwerving, Beheersing van operationele Er is een rollbackstrategie. Is er voor de uitrol van nieuwe of gewijzigde versies programmatuur programmatuur een rollbackstrategie per uitrol / change / release? 12.4.2.1 12. Verwerving, Bescherming van testdata Het gebruik van kopieën van operationele databases voor testgegevens Wordt het gebruik van operationele database vermeden voor testen? wordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel En indien dit niet mogelijk is, wordt er dan gebruik gemaakt van mogelijk geanonimiseerd en na de test zorgvuldig verwijderd. geanonimiseerde data welke na test zorgvuldig wordt verwijderd? 12.4.3.1 12. Verwerving, Toegangsbeheersing voor broncode De toegang tot broncode wordt zoveel mogelijk beperkt om de code Wordt de toegang tot broncode zoveel mogelijk beperkt tot alleen van programmatuur tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde geautoriseerden personen, om de code tegen onbedoelde wijzigingen personen hebben toegang. te beschermen? 12.4.3.2 12. Verwerving, Toegangsbeheersing voor broncode van programmatuur Broncode staat op aparte (logische) systemen. Staat broncode op aparte (logische) systemen. (O-omgeving)? Blad 13 van 15 bladen

12.5.1.1 12. Verwerving, Procedures voor wijzigingsbeheer Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare Is er aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL. best practices zoals ITIL en voor applicaties ASL? 12.5.2.1 12. Verwerving, Technische beoordeling van Van aanpassingen (zoals updates) aan softwarematige componenten Wordt van aanpassingen (zoals updates) aan softwarematige toepassingen na wijzigingen in het van de technische infrastructuur wordt vastgesteld dat deze de juiste componenten van de technische infrastructuur vastgesteld dat deze besturingssysteem werking van de technische componenten niet in gevaar brengen. de juiste werking van de technische componenten niet in gevaar brengen door middel van testen? 12.5.3.1 12. Verwerving, Restricties op wijzigingen in Bij het instellen van besturingsprogrammatuur en programmapakketten Wordt bij het instellen van besturingsprogrammatuur en programmatuurpakketten wordt uitgegaan van de aanwijzingen van de leverancier. programmapakketten uitgegaan van de aanwijzingen van de leverancier? 12.5.4.1 12. Verwerving, Uitlekken van informatie Op het grensvlak van een vertrouwde en een onvertrouwde omgeving Vindt op het grensvlak van een vertrouwde en een onvertrouwde vindt content-scanning plaats. omgeving content-scanning plaats met als doel het uitlekken van informatie tegen te gaan? 12.5.4.2 12. Verwerving, Uitlekken van informatie Er dient een proces te zijn om te melden dat (persoons) informatie is Is er een proces ingericht om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1) uitgelekt? (zie 13.1.1) 12.5.5.1 12. Verwerving, Uitbestede van Uitbestede van programmatuur komt tot stand onder Wordt onder supervisie en verantwoordelijkheid van de programmatuur supervisie en verantwoordelijkheid van de uitbestedende organisatie. uitbestedende organisatie de uitbestede van Er worden maatregelen getroffen om de kwaliteit en vertrouwelijkheid programmatuur uitgevoerd? te borgen (bijv. stellen van veiligheidseisen, regelen van Worden er maatregelen getroffen om de kwaliteit en beschikbaarheid en eigendomsrecht van de code, certificatie, vertrouwelijkheid te borgen (bijv. stellen van veiligheidseisen, regelen kwaliteitsaudits, testen en aansprakelijkheidsregelingen). van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen)? 12.6.1.1 12. Verwerving, Beheersing van technische Er is een proces ingericht voor het beheer van technische Er is een proces ingericht voor het beheer van technische kwetsbaarheden kwetsbaarheden; dit omvat minimaal het melden van incidenten aan kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden de IBD, periodieke penetratietests, risicoanalyses van en patching. kwetsbaarheden en patching. 12.6.1.2 12. Verwerving, Beheersing van technische Van softwarematige voorzieningen van de technische infrastructuur kan Wordt van softwarematige voorzieningen van de technische kwetsbaarheden (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd of de updates (patches) in zijn doorgevoerd. Het doorvoeren van een update laatste updates (patches) in zijn doorgevoerd? vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier. 12.6.1.3 12. Verwerving, Beheersing van technische Indien een patch beschikbaar is, dienen de risico's verbonden met de Is er een vorm van patchmanagement waarbij indien een patch kwetsbaarheden installatie van de patch te worden geëvalueerd (de risico's verbonden beschikbaar is, de risico's verbonden met de installatie van de patch met de kwetsbaarheid dienen vergeleken te worden met de risico's van worden geëvalueerd? het installeren van de patch). 12.6.1.4 12. Verwerving, Beheersing van technische [A] Updates/patches voor kwetsbaarheden waarvan de kans op Worden kritische patches zo spoedig mogelijk, binnen een week, na kwetsbaarheden misbruik hoog is en waarvan de schade hoog is worden zo spoedig testen, geïmplementeerd? mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiliging-updates/patches moeten worden ingepland bij de eerst volgende onderhoudsronde. 12.6.1.5 12. Verwerving, Beheersing van technische Indien nog geen patch beschikbaar is dient gehandeld te worden Is er een proces waar het advies van het NCSC of een andere CERT kwetsbaarheden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld wordt meegenomen om met kwetsbaarheden om te gaan. het NCSC. 13.1.1.1 13. Beheer van incidenten Rapportage van Er is een procedure voor het rapporteren van Is er een incidentmanagement procedure en is deze in werking? sgebeurtenissen beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactieen escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident. 13.1.1.2 13. Beheer van incidenten Rapportage van sgebeurtenissen Er is een procedure voor communicatie met de IBD. Is er een procedure voor communicatie met de IBD? 13.1.1.3 13. Beheer van incidenten Rapportage van [A] Er is een contactpersoon (DSC) aangewezen voor het rapporteren Is er binnen de gemeente een ACIB en/of VCIB aangewezen? sgebeurtenissen van beveiligingsincidenten. Voor integriteitsschendingen is ook een Is er ook een vertrouwenspersoon binnen de gemeente voor vertrouwenspersoon aangewezen die meldingen in ontvangst neemt. integriteitsschendingen? 13.1.1.4 13. Beheer van incidenten Rapportage van Alle beveiligingsincidenten worden vastgelegd in een systeem en Worden beveiligingsincidenten vastgelegd in een systeem en vind sgebeurtenissen geëscaleerd aan de IBD. escalatie naar de IBD plaats? 13.1.1.5 13. Beheer van incidenten Rapportage van Vermissing of diefstal van apparatuur of media die gegevens van de Wordt vermissing of diefstal van apparatuur of media die gegevens sgebeurtenissen gemeente kunnen bevatten wordt altijd ook aangemerkt als bevatten of kunnen bevatten aangemerkt als sincident. sincident? 13.1.1.6 13. Beheer van incidenten Rapportage van Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld Wordt informatie over beveiligingsrelevante handelingen periodiek sgebeurtenissen loggegevens, foutieve inlogpogingen, van de gebruiker wordt nagekeken door bijvoorbeeld een beheerder. regelmatig nagekeken. De CISO bekijkt periodiek bij voorkeur Kijkt de CISO periodiek naar een samenvatting van de informatie (bij maandelijks - een samenvatting van de informatie. voorkeur maandelijks)? 13.1.2.1 13. Beheer van incidenten Rapportage van zwakke plekken in de Er is een proces om eenvoudig en snel beveiligingsincidenten en Is er een proces om eenvoudig en snel beveiligingsincidenten en beveiliging zwakke plekken in de beveiliging te melden. zwakke plekken in de beveiliging te melden? 13.2.1.1 13. Beheer van incidenten Verantwoordelijkheden en Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Zijn er procedures voor rapportage van gebeurtenissen en escalatie? procedures Alle medewerkers behoren op de hoogte te zijn van deze procedures. Zijn de medewerkers op de hoogte van deze procedures? 13.2.2.1 13. Beheer van incidenten Leren van De informatie verkregen uit het beoordelen van beveiligingsmeldingen Wordt de informatie verkregen uit het beoordelen van sincidenten wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. beveiligingsmeldingen wordt geëvalueerd met als doel (PDCA Cyclus) beheersmaatregelen te verbeteren? 13.2.3.1 13. Beheer van incidenten Verzamelen van bewijsmateriaal Voor een vervolgprocedure naar aanleiding van een Is er een proces/aanpak voor het verzamelen, bewaren en beveiligingsincident behoort bewijsmateriaal te worden verzameld, presenteren van bewijsmateriaal naar aanleiding van een bewaard en gepresenteerd overeenkomstig de voorschriften voor beveiligingsincidenmateriaal (overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd. bewijs die voor het relevante rechtsgebied zijn vastgelegd)? Blad 14 van 15 bladen

14.1.1.1 14. Informatiebeveiliging opnemen in het [A] Calamiteitenplannen worden gebruikt in de jaarlijkse Bedrijfscontinuiteitsbehee proces van bewustwording-, training- en testactiviteiten. r bedrijfscontinuïteitsbeheer 14.1.2.1 14. Bedrijfscontinuïteit en Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen Is er een Business Impact Analyse (BIA) waarin de gebeurtenissen Bedrijfscontinuiteitsbehee risicobeoordeling worden geïdentificeerd die kunnen leiden tot discontinuïteit in het worden geïdentificeerd die kunnen leiden tot discontinuïteit in het r bedrijfsproces. Aan de hand van een risicoanalyse zijn de bedrijfsproces? waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart Is hierbij in kaart gebracht de waarschijnlijkheid en de gevolgen van gebracht in termen van tijd, schade en herstelperiode. de discontinuïteit in termen van tijd, schade en herstelperiode? 14.1.3.1 14. Continuïteitsplannen ontwikkelen en In de continuïteitsplannen wordt minimaal aandacht besteed aan: Bedrijfscontinuiteitsbehee implementeren waaronder Iden fica e van essen ële procedures voor bedrijfscon nuïteit. r Wie het plan mag ac veren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. Veilig te stellen informa e (aanvaardbaarheid van verlies van informatie). Prioriteiten en volgorde van herstel en reconstruc e. Documenta e van systemen en processen. Kennis en kundigheid van personeel om de processen weer op te starten. Zijn er continuïteitsplannen? waar minimaal aandacht wordt besteed aan: iden fica e van essen ële procedures voor bedrijfscon nuïteit. wie het plan mag ac veren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. veilig te stellen informa e (aanvaardbaarheid van verlies van informatie). prioriteiten en volgorde van herstel en reconstruc e. documenta e van systemen en processen. kennis en kundigheid van personeel om de processen weer op te starten. 14.1.4.1 14. Kader voor de Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te Wordt er een enkelvoudig kader voor bedrijfscontinuïteitsplannen Bedrijfscontinuiteitsbehee bedrijfscontinuïteitsplanning worden gehandhaafd om te bewerkstelligen dat alle plannen consistent gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, r zijn, om eisen voor op consistente wijze te om eisen voor op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en behandelen en om prioriteiten vast te stellen voor testen en onderhoud. onderhoud? 14.1.5.1 14. #N/A [A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om [A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden Bedrijfscontinuiteitsbehee de bedrijfscontinuïteitsplannen en mate van readiness van de om de bedrijfscontinuïteitsplannen en mate van readiness van de r organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van resultaten worden de plannen bijgesteld en wordt de organisatie de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold. bijgeschoold. 15.1.1.1 15. Naleving Identificatie van toepasselijke wetgeving Worden calamiteitenplannen gebruikt in de jaarlijkse bewustwording-, training- en testactiviteiten? Waar blijkt dat uit? Er is vastgesteld welke wetten en wettelijke maatregelen van Er is een overzicht aanwezig waarin is vastgelegd welke wetten en/of toepassing zijn op de organisatie of organisatieonderdelen. wettelijke maatregelen van toepassing zijn op de organisatie Deze lijst is in conceptvorm te vinden op: (onderdelen)? Zo ja waar ligt deze en is deze actueel? http://www.kinggemeenten.nl/media/190590/20101126_conceptlijstaanvullende-inhoud-informatiebeveiliging-v040.pdf 15.1.2.1 15. Naleving Intellectuele eigendomsrechten Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. Is er toezicht op het naleven van wettelijke verplichtingen m.b.t. (Intellectual Property Rights) intellectueel eigendom, auteursrechten en gebruiksrechten. intellectueel eigendom, auteursrechten en gebruiksrechten? 15.1.3.1 15. Naleving Bescherming van bedrijfsdocumenten Belangrijke registraties behoren te worden beschermd tegen verlies, Worden belangrijke registraties behoren te worden beschermd tegen vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende verlies, vernietiging en vervalsing, overeenkomstig wettelijke en eisen, contractuele verplichtingen en bedrijfsmatige eisen. regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen? 15.1.4.1 15. Naleving Bescherming van gegevens en De bescherming van gegevens en privacy behoort te worden Wordt de bescherming van gegevens en privacy bewerkstelligd geheimhouding van bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en overeenkomstig relevante wetgeving, voorschriften en indien van persoonsgegevens indien van toepassing contractuele bepalingen. toepassing contractuele bepalingen? 15.1.5.1 15. Naleving Voorkomen van misbruik van IT- Er is een beleid met betrekking tot het gebruik van IT voorzieningen Is er een beleid met betrekking tot het gebruik van IT voorzieningen voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking door gebruikers? ervan wordt toegezien Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien 15.1.6.1 15. Naleving Voorschriften voor het gebruik van Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften Is bekend welke overeenkomsten, wetten en voorschriften het cryptografische beheersmaatregelen de toepassing van cryptografische technieken moet voldoen. Zie ook gebruik van cryptografie verplicht stellen en aan welke eisen moet 12.3. worden voldaan? 15.2.1.1 15. Naleving Naleving van beveiligingsbeleid en - Het lijnmanagement is verantwoordelijk voor uitvoering en Is er een audit venster en zijn daar de periode beveiligingsaudits in normen beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control meegenomen. Deze audits kunnen externe en interne audits zijn. verklaring). Conform het BIG (strategisch kader) zorgt de CISO, namens Wordt daarover gerapporteerd? de Gemeente Secretaris, voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne of externe auditteams. 15.2.1.2 15. Naleving Naleving van beveiligingsbeleid en - [A] In de P&C cyclus wordt gerapporteerd over Wordt in de P&C cyclus gerapporteerd over aan normen aan de hand van het in control statement. de hand van het in control statement? 15.2.2.1 15. Naleving Controle op technische naleving Informatiesystemen worden regelmatig gecontroleerd op naleving van Worden informatiesystemen regelmatig gecontroleerd op naleving beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en van beveiligingsnormen? penetratietesten. Zie ook 12.6.1.1. Bijvoorbeeld door kwetsbaarheidsanalyses en penetratietesten 15.3.1.1 15. Naleving Beheersmaatregelen voor audits van Eisen voor audits en andere activiteiten waarbij controles worden Worden audits en andere activiteiten waarbij controles worden informatiesystemen uitgevoerd op productiesystemen, behoren zorgvuldig te worden uitgevoerd op productiesystemen, zorgvuldig gepland en gepland en goedgekeurd om het risico van verstoring van goedgekeurd om het risico van verstoring van bedrijfsprocessen tot bedrijfsprocessen tot een minimum te beperken. een minimum te beperken? 15.3.2.1 15. Naleving Bescherming van hulpmiddelen voor Toegang tot hulpmiddelen voor audits van informatiesystemen behoort Wordt de toegang tot hulpmiddelen voor audits van audits van informatiesystemen te worden beschermd om mogelijk misbruik of compromittering te informatiesystemen behoort beschermd om mogelijk misbruik of voorkomen. compromittering te voorkomen? 104.1.1.1 104. ISMS ISMS De organisatie dient een gedocumenteerd ISMS te ontwikkelen, te Is er een gedocumenteerd ISMS? onderhouden en constant te verbeteren, binnen het kader van de Wordt dit ISMS onderhouden en verbeterd? bedrijfsactiviteiten en risico van de organisatie. Ten behoeve van deze standaard wordt het onderliggende proces Blad 15 van 15 bladen