VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord
Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling en het bijbehorende risicobehandelingsplan. Dit document bevat een verwijzing naar de beheerdoelstellingen en maatregelen uit bijlage A van de ISO 27001:2013 norm, welke voor Broad Horizon Cloud BV zijn geimplementeerd. De volgorde van de maatregelen, zoals gepresenteerd in de ISO 27001:2013 norm, is in dit document aangehouden. Tevens is er een mapping gemaakt naar de NEN 7510:2011 normering. Voor een zo volledig mogelijke dekking van het ISMS (Information Security Management System) binnen de bedrijfsvoering van de organisatie en de geboden services aan haar klanten heeft de directie er voor gekozen om alle beheersmaatregelen uit bijlage A van de ISO 27001:2013 en de NEN 7510:2011 norm in scope te plaatsen van betreffende certificering. Aan de Verklaring van toepasselijkheid kunnen geen rechten ontleend worden. Voor uw overeenkomst met True Webspace, True Workspace Amsterdam verwijzen wij u naar betreffend overeengekomen contract. Verklaring van toepasselijkheid
Verklaring van toepasselijkheid NormMaatregel Omschrijving maatregel Geimplementeerd ISO 27001:2013/A.5.1.1 Beleidsregels voor informatiebeveiliging NEN 7510:2011/5.1.1 Beleidsdocument voor informatiebeveiliging ISO 27001:2013/A.5.1.2 Beoordeling van het informatiebeveiligingsbeleid NEN 7510:2011/5.1.2 Beoordeling van het informatiebeveiligingsbeleid ISO 27001:2013/A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging NEN 7510:2011/6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging NEN 7510:2011/8.1.1 Rollen en verantwoordelijkheden ISO 27001:2013/A.6.1.2 Scheiding van taken NEN 7510:2011/10.1.3 Functiescheiding ISO 27001:2013/A.6.1.3 Contact met overheidsinstanties NEN 7510:2011/6.1.6 Contact met overheidsinstanties ISO 27001:2013/A.6.1.4 Contact met speciale belangengroepen NEN 7510:2011/6.1.7 Contact met speciale belangengroepen ISO 27001:2013/A.6.1.5 Informatiebeveiliging in projectbeheer ISO 27001:2013/A.6.2.1 Beleid voor mobiele apparatuur NEN 7510:2011/11.7.1 Draagbare computers en communicatievoorzieningen ISO 27001:2013/A.6.2.2 Telewerken NEN 7510:2011/11.7.2 Telewerken ISO 27001:2013/A.7.1.1 Screening NEN 7510:2011/8.1.2 Screening ISO 27001:2013/A.7.1.2 Arbeidsvoorwaarden NEN 7510:2011/8.1.3 Arbeidsvoorwaarden ISO 27001:2013/A.7.2.1 Directieverantwoordelijkheden NEN 7510:2011/8.2.1 Directieverantwoordelijkheid ISO 27001:2013/A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging NEN 7510:2011/8.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging ISO 27001:2013/A.7.2.3 Disciplinaire procedure NEN 7510:2011/8.2.3 Disciplinaire maatregelen ISO 27001:2013/A.7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband NEN 7510:2011/8.3.1 Beëindiging van verantwoordelijkheden ISO 27001:2013/A.8.1.1 Inventariseren van bedrijfsmiddelen NEN 7510:2011/7.1.1 Inventarisatie van bedrijfsmiddelen ISO 27001:2013/A.8.1.2 Eigendom van bedrijfsmiddelen NEN 7510:2011/7.1.2 Verantwoordelijken voor de bedrijfsmiddelen ISO 27001:2013/A.8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen NEN 7510:2011/7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen ISO 27001:2013/A.8.1.4 Teruggeven van bedrijfsmiddelen NEN 7510:2011/8.3.2 Retournering van bedrijfsmiddelen ISO 27001:2013/A.8.2.1 Classificatie van informatie NEN 7510:2011/7.2.1 Richtlijnen voor classificatie ISO 27001:2013/A.8.2.2 Informatie labelen NEN 7510:2011/7.2.2 Labeling en verwerking van informatie ISO 27001:2013/A.8.2.3 Behandelen van bedrijfsmiddelen NEN 7510:2011/10.7.3 Procedures voor de behandeling van informatie ISO 27001:2013/A.8.3.1 Beheer van verwijderbare media NEN 7510:2011/10.7.1 Beheer van verwijderbare media ISO 27001:2013/A.8.3.2 Verwijderen van media NEN 7510:2011/10.7.2 Verwijdering van media ISO 27001:2013/A.8.3.3 Media fysiek overdragen NEN 7510:2011/10.8.3 Fysiek transport van media ISO 27001:2013/A.9.1.1 Beleid voor toegangsbeveiliging NEN 7510:2011/11.1.1 Toegangsbeleid ISO 27001:2013/A.9.1.2 Toegang tot netwerken en netwerkdiensten NEN 7510:2011/11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten ISO 27001:2013/A.9.2.1 Registratie en afmelden van gebruikers NEN 7510:2011/11.2.1 Registratie van gebruikers NEN 7510:2011/11.5.2 Gebruikersindentificatie en -authenticatie ISO 27001:2013/A.9.2.2 Gebruikers toegang verlenen NEN 7510:2011/11.2.1 Registratie van gebruikers ISO 27001:2013/A.9.2.3 Beheren van speciale toegangsrechten NEN 7510:2011/11.2.2 Beheer van speciale bevoegdheden ISO 27001:2013/A.9.2.4 Beheer van geheime authenticatie-informatie van gebruikers NEN 7510:2011/11.2.3 Beheer van gebruikerswachtwoorden ISO 27001:2013/A.9.2.5 Beoordeling van toegangsrechten van gebruikers NEN 7510:2011/11.2.4 Beoordeling van toegangsrechten van gebruikers ISO 27001:2013/A.9.2.6 Toegangsrechten intrekken of aanpassen NEN 7510:2011/8.3.3 Intrekken van toegangsrechten
ISO 27001:2013/A.9.3.1 Geheime authenticatie-informatie gebruiken NEN 7510:2011/11.3.1 Gebruik van wachtwoorden ISO 27001:2013/A.9.4.1 Beperking toegang tot informatie NEN 7510:2011/11.6.1 Beheersen van toegang tot informatie ISO 27001:2013/A.9.4.2 Beveiligde inlogprocedures NEN 7510:2011/11.5.1 Beveiligde inlogprocedures NEN 7510:2011/11.5.5 Time-out van sessies NEN 7510:2011/11.5.6 Beperking van verbindingstijd ISO 27001:2013/A.9.4.3 Systeem voor wachtwoordbeheer NEN 7510:2011/11.5.3 Systemen voor wachtwoordbeheer ISO 27001:2013/A.9.4.4 Speciale systeemhulpmiddelen gebruiken NEN 7510:2011/11.5.4 Gebruik van systeemhulpmiddelen ISO 27001:2013/A.9.4.5 Toegangsbeveiliging op programmabroncode NEN 7510:2011/12.4.3 Toegangsbeheersing voor broncode van programmatuur ISO 27001:2013/A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen NEN 7510:2011/12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen ISO 27001:2013/A.10.1.2 Sleutelbeheer NEN 7510:2011/12.3.2 Sleutelbeheer ISO 27001:2013/A.11.1.1 Fysieke beveiligingszone NEN 7510:2011/9.1.1 Fysieke beveiliging van de omgeving ISO 27001:2013/A.11.1.2 Fysieke toegangsbeveiliging NEN 7510:2011/9.1.2 Fysieke toegangsbeveiliging ISO 27001:2013/A.11.1.3 Kantoren, ruimten en faciliteiten beveiligen NEN 7510:2011/9.1.3 Beveiliging van kantoren, ruimten en faciliteiten ISO 27001:2013/A.11.1.4 Beschermen tegen bedreigingen van buitenaf NEN 7510:2011/9.1.4 Bescherming tegen bedreigingen van buitenaf ISO 27001:2013/A.11.1.5 Werken in beveiligde gebieden NEN 7510:2011/9.1.5 Werken in beveiligde ruimten ISO 27001:2013/A.11.1.6 Laad- en loslocatie NEN 7510:2011/9.1.6 Openbare toegang en gebieden voor laden en lossen ISO 27001:2013/A.11.2.1 Plaatsing en bescherming van apparatuur NEN 7510:2011/9.2.1 Plaatsing en bescherming van apparatuur ISO 27001:2013/A.11.2.2 Nutsvoorzieningen NEN 7510:2011/9.2.2 Nutsvoorzieningen ISO 27001:2013/A.11.2.3 Beveiliging van bekabeling NEN 7510:2011/9.2.3 Beveiliging van kabels ISO 27001:2013/A.11.2.4 Onderhoud van apparatuur NEN 7510:2011/9.2.4 Onderhoud van apparatuur ISO 27001:2013/A.11.2.5 Verwijdering van bedrijfsmiddelen NEN 7510:2011/9.2.7 Verwijdering van bedrijfseigendommen ISO 27001:2013/A.11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein NEN 7510:2011/9.2.5 Beveiliging van apparatuur buiten het terrein ISO 27001:2013/A.11.2.7 Veilig verwijderen of hergebruiken van apparatuur NEN 7510:2011/9.2.6 Veilig verwijderen of hergebruiken van apparatuur ISO 27001:2013/A.11.2.8 Onbeheerde gebruikersapparatuur NEN 7510:2011/11.3.2 Onbeheerde gebruikersapparatuur ISO 27001:2013/A.11.2.9 Clear desk - en clear screen -beleid NEN 7510:2011/11.3.3 Clear desk - en clear screen -beleid ISO 27001:2013/A.12.1.1 Gedocumenteerde bedieningsprocedures NEN 7510:2011/10.1.1 Gedocumenteerde bedieningsprocedures ISO 27001:2013/A.12.1.2 Wijzigingsbeheer NEN 7510:2011/10.1.2 Wijzigingsbeheer ISO 27001:2013/A.12.1.3 Capaciteitsbeheer NEN 7510:2011/10.3.1 Capaciteitsbeheer ISO 27001:2013/A.12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen NEN 7510:2011/10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie ISO 27001:2013/A.12.2.1 Beheersmaatregelen tegen malware NEN 7510:2011/10.4.1 Maatregelen tegen kwaadaardige programmatuur NEN 7510:2011/10.4.2 Maatregelen tegen mobile code ISO 27001:2013/A.12.3.1 Back-up van informatie NEN 7510:2011/10.5.1 Reservekopieën (back-ups) ISO 27001:2013/A.12.4.1 Gebeurtenissen registreren NEN 7510:2011/10.10.1 Aanmaken audit-logbestanden NEN 7510:2011/10.10.2 Controle van systeemgebruik NEN 7510:2011/10.10.5 Registratie van storingen ISO 27001:2013/A.12.4.2 Beschermen van informatie in logbestanden NEN 7510:2011/10.10.3 Bescherming van informatie in logbestanden
ISO 27001:2013/A.12.4.3 Logbestanden van beheerders en operators NEN 7510:2011/10.10.3 Bescherming van informatie in logbestanden NEN 7510:2011/10.10.4 Logbestanden van administrators en operators ISO 27001:2013/A.12.4.4 Kloksynchronisatie NEN 7510:2011/10.10.6 Synchronisatie van systeemklokken ISO 27001:2013/A.12.5.1 Software installeren op operationele systemen NEN 7510:2011/12.4.1 Beheersing van operationele programmatuur ISO 27001:2013/A.12.6.1 Beheer van technische kwetsbaarheden NEN 7510:2011/12.6.1 Beheersing van technische kwetsbaarheden ISO 27001:2013/A.12.6.2 Beperkingen voor het installeren van software ISO 27001:2013/A.12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen NEN 7510:2011/15.3.1 Beheersmaatregelen voor audits van informatiesystemen NEN 7510:2011/15.3.2 Bescherming van audithulpmiddelen voor audits van informatiesystemen ISO 27001:2013/A.13.1.1 Beheersmaatregelen voor netwerken NEN 7510:2011/10.6.1 Maatregelen voor netwerken ISO 27001:2013/A.13.1.2 Beveiliging van netwerkdiensten NEN 7510:2011/10.6.2 Beveiliging van netwerkdiensten ISO 27001:2013/A.13.1.3 Scheiding in netwerken NEN 7510:2011/11.4.5 Scheiding van netwerken ISO 27001:2013/A.13.2.1 Beleid en procedures voor informatietransport NEN 7510:2011/10.8.1 Beleid en procedures voor informatie-uitwisseling ISO 27001:2013/A.13.2.2 Overeenkomsten over informatietransport NEN 7510:2011/10.8.2 Uitwisselingsovereenkomsten ISO 27001:2013/A.13.2.3 Elektronische berichten NEN 7510:2011/10.8.4 Elektronische berichtenuitwisseling ISO 27001:2013/A.13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst NEN 7510:2011/6.1.5 Geheimhoudingsovereenkomst ISO 27001:2013/A.14.1.1 Analyse en specificatie van informatiebeveiligingseisen NEN 7510:2011/12.1.1 Analyse en specificatie van beveiligingseisen ISO 27001:2013/A.14.1.2 Toepassingen op openbare netwerken beveiligen NEN 7510:2011/10.9.1 E-commerce NEN 7510:2011/10.9.3 Openbaar beschikbare informatie ISO 27001:2013/A.14.1.3 Transacties van toepassingen beschermen NEN 7510:2011/10.9.2 Onlinetransacties ISO 27001:2013/A.14.2.1 Beleid voor beveiligd ontwikkelen ISO 27001:2013/A.14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen NEN 7510:2011/12.5.1 Procedures voor wijzigingsbeheer ISO 27001:2013/A.14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform NEN 7510:2011/12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem ISO 27001:2013/A.14.2.4 Beperkingen op wijzigingen aan softwarepakketten NEN 7510:2011/12.5.3 Restricties op wijzigingen in programmatuurpakketten ISO 27001:2013/A.14.2.5 Principes voor engineering van beveiligde systemen ISO 27001:2013/A.14.2.6 Beveiligde ontwikkelomgeving ISO 27001:2013/A.14.2.7 Uitbestede softwareontwikkeling NEN 7510:2011/12.5.5 Uitbestede ontwikkeling van programmatuur ISO 27001:2013/A.14.2.8 Testen van systeembeveiliging ISO 27001:2013/A.14.2.9 Systeemacceptatietests NEN 7510:2011/10.3.2 Systeemacceptatie ISO 27001:2013/A.14.3.1 Bescherming van testgegevens NEN 7510:2011/12.4.2 Bescherming van testdata ISO 27001:2013/A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties ISO 27001:2013/A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten NEN 7510:2011/6.2.3 Beveiliging in overeenkomsten met een derde partij ISO 27001:2013/A.15.1.3 Toeleveringsketen van informatie- en communicatietechnologie ISO 27001:2013/A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers NEN 7510:2011/10.2.2 Controle en beoordeling van dienstverlening door een derde partij ISO 27001:2013/A.15.2.2 Beheer van veranderingen in dienstverlening van leveranciers NEN 7510:2011/10.2.3 Beheer van wijzigingen in dienstverlening door een derde partij ISO 27001:2013/A.16.1.1 Verantwoordelijkheden en procedures NEN 7510:2011/13.2.1 Verantwoordelijkheden en procedures ISO 27001:2013/A.16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen NEN 7510:2011/13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen ISO 27001:2013/A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging NEN 7510:2011/13.1.2 Rapportage van zwakke plekken in de beveiliging ISO 27001:2013/A.16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen ISO 27001:2013/A.16.1.5 Respons op informatiebeveiligingsincidenten ISO 27001:2013/A.16.1.6 Lering uit informatiebeveiligingsincidenten NEN 7510:2011/13.2.2 Leren van informatiebeveiligingsincidenten
ISO 27001:2013/A.16.1.7 Verzamelen van bewijsmateriaal NEN 7510:2011/13.2.3 Verzamelen van bewijsmateriaal ISO 27001:2013/A.17.1.1 Informatiebeveiligingscontinuïteit plannen NEN 7510:2011/14.1.2 Bedrijfscontinuïteit en risicobeoordeling ISO 27001:2013/A.17.1.2 Informatiebeveiligingscontinuïteit implementeren NEN 7510:2011/14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer NEN 7510:2011/14.1.3 Continuïteitsplannen en informatievoorziening NEN 7510:2011/14.1.4 Kader voor de bedrijfscontinuïteitsplanning ISO 27001:2013/A.17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren NEN 7510:2011/14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen ISO 27001:2013/A.17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten ISO 27001:2013/A.18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen NEN 7510:2011/15.1.1 Identificatie van toepasselijke wetgeving ISO 27001:2013/A.18.1.2 Intellectuele-eigendomsrechten NEN 7510:2011/15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) ISO 27001:2013/A.18.1.3 Beschermen van registraties NEN 7510:2011/15.1.3 Bescherming van bedrijfsdocumenten ISO 27001:2013/A.18.1.4 Privacy en bescherming van persoonsgegevens NEN 7510:2011/15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens ISO 27001:2013/A.18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen NEN 7510:2011/15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen ISO 27001:2013/A.18.2.1 Onafhankelijke beoordeling van informatiebeveiliging NEN 7510:2011/6.1.8 Onafhankelijke beoordeling van informatiebeveiliging ISO 27001:2013/A.18.2.2 Naleving van beveiligingsbeleid en -normen NEN 7510:2011/15.2.1 Naleving van beveiligingsbeleid en -normen ISO 27001:2013/A.18.2.3 Beoordeling van technische naleving NEN 7510:2011/15.2.2 Controle op technische naleving NormMaatregel Omschrijving maatregel Geimplementeerd NEN 7510:2011/6.1.1 Betrokkenheid van de directie bij informatiebeveiliging NEN 7510:2011/6.1.2 Coördinatie van informatiebeveiliging NEN 7510:2011/6.1.4 Goedkeuringsproces voor middelen voor de informatievoorziening NEN 7510:2011/6.2.1 Identificatie van risico's die betrekking hebben op externe partijen NEN 7510:2011/6.2.2 Beveiliging in de omgang met klanten NEN 7510:2011/10.2.1 Dienstverlening NEN 7510:2011/10.7.4 Beveiliging van systeemdocumentatie NEN 7510:2011/10.8.5 Systemen voor bedrijfsinformatie NEN 7510:2011/11.4.2 Authenticatie van gebruikers bij externe verbindingen NEN 7510:2011/11.4.3 Identificatie van netwerkapparatuur NEN 7510:2011/11.4.4 Bescherming op afstand van poorten voor diagnose en configuratie NEN 7510:2011/11.4.6 Beheersmaatregelen voor netwerkverbindingen NEN 7510:2011/11.4.7 Beheersmaatregelen voor netwerkroutering NEN 7510:2011/11.6.2 Isoleren van gevoelige systemen NEN 7510:2011/12.2.1 Validatie van invoergegevens NEN 7510:2011/12.2.2 Beheersing van interne gegevensverwerking NEN 7510:2011/12.2.3 Integriteit van berichten NEN 7510:2011/12.2.4 Validatie van uitvoergegevens NEN 7510:2011/12.5.4 Informatielekken NEN 7510:2011/15.1.5 Voorkomen van misbruik van IT-voorzieningen