Bijlage D

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
(informatief)

Richtlijnen voor het beoordelen van geïmplementeerde beheersmaatregelen volgens NEN 7510

D.1   Doelstelling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

D.1.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Deze bijlage bevat richtlijnen voor het beoordelen van de implementatie van de in NEN 7510 opgesomde beheersmaatregelen, en voor het verzamelen van auditbewijsmateriaal ten aanzien van de prestatie van deze maatregelen tijdens de initiële audit en de volgende controlebezoeken. De implementatie van alle door de klant voor het ISMS geselecteerde beheersmaatregelen (volgens de Verklaring van Toepasselijkheid) behoort tijdens fase 2 van de initiële audit en tijdens controle- of hercertificatieactiviteiten te worden beoordeeld.
Het auditbewijsmateriaal dat de certificatie-instelling verzamelt, behoort voldoende te zijn om te concluderen of de beheersmaatregelen doeltreffend zijn. De verwachting over de prestatie van een beheersmaatregel wordt vastgelegd in procedures of beleid van de klant zoals vermeld in of als verwijzing uit de Verklaring van Toepasselijkheid. Beheersmaatregelen buiten het toepassingsgebied van het ISMS zijn geen onderwerp van de audit.

D.1.2   Auditbewijsmateriaal

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Eigen waarneming van de auditor levert auditbewijsmateriaal met de hoogste kwaliteit (bijv. een deur die moet zijn afgesloten is daadwerkelijk op slot, vertrouwelijke overeenkomsten zijn ondertekend, het register van bedrijfsmiddelen bestaat en bevat de waargenomen bedrijfsmiddelen, de systeeminstellingen zijn volgens afspraak, enz.).
Bewijsmateriaal kan op verschillende manieren worden verzameld:
  • a) door de resultaten te zien van de prestatie van een beheersmaatregel (bijv. afdrukken van verleende toegangsrechten zijn ondertekend door de juiste goedkeurende functionaris, registraties van het oplossen van incidenten, procesbevoegdheden zijn ondertekend door de juiste goedkeurende functionaris, notulen van management vergaderingen, enz.);
  • b) door rechtstreeks testen van een beheersmaatregel (bijv. proberen taken te verrichten die door de beheersmaatregelen zijn verboden, vaststellen of software ter bescherming tegen foutief coderen op machines is geïnstalleerd en actueel is, nagaan of aan personen verleende toegangsrechten kloppen met hun bevoegdheden, enz.);
  • c) door vraaggesprekken te hebben met werknemers/aannemers over processen en beheersmaatregelen en vast te stellen of wat zij vertellen feitelijk correct is.

D.2   Aanwijzingen voor de toepassing van tabel D.1

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

D.2.1   Kolommen ‘Beheersmaatregel m.b.t. de organisatie’ en ‘Technische beheersmaatregel’

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Een ‘X’ in de desbetreffende kolom geeft aan of de beheersmaatregel betrekking heeft op de organisatie of op technische onderwerpen. Wanneer de beheersmaatregel zowel betrekking heeft op de organisatie als op technische onderwerpen is in beide kolommen een ‘X’ geplaatst.
Bewijsmateriaal van de prestatie van beheersmaatregelen m.b.t. de organisatie kan worden verkregen door beoordeling van de registraties van de prestatie van beheersmaatregelen, vraaggesprekken, waarneming en fysieke inspectie. Bewijsmateriaal van de prestatie van technische beheersmaatregelen kan vaak worden verkregen door systemen te testen (zie D.2.2) of door gebruikmaking van gespecialiseerde audit-/rapportage-instrumenten.

D.2.2   Kolom ‘Systemen testen’

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
‘Systemen testen’ betekent rechtreekse beoordeling van systemen (bijv. beoordelen van systeeminstellingen of configuratie). De vragen van de auditor kunnen worden beantwoord aan het bedieningspaneel van het systeem of door evaluatie van de resultaten van testinstrumenten. Wanneer de klant een ICT-instrument in gebruik heeft waarmee de auditor bekend is kan dit tijdens de audit worden gebruikt . Anders kunnen de resultaten van een door de klant (of diens onderaannemer) verrichte evaluatie worden beoordeeld.
Er zijn twee categorieën voor het beoordelen van technische beheersmaatregelen:
  • ‘mogelijk’: testen van het systeem is mogelijk voor de evaluatie van de implementatie van de beheersmaatregel, maar gewoonlijk niet noodzakelijk;
  • ‘aanbevolen’: testen van het systeem is gewoonlijk noodzakelijk.

D.2.3   Kolom ‘Visuele inspectie’

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Een ‘X’ in de kolom ‘Visuele inspectie’ betekent dat de beheersmaatregel gewoonlijk een visuele inspectie op de locatie vereist om de doeltreffendheid ervan te evalueren. Dit betekent dat het niet voldoende is om de desbetreffende documentatie op papier of via vraaggesprekken te beoordelen - de auditor behoort de beheersmaatregel te verifiëren op de locatie waar deze is geïmplementeerd.

D.2.4   Kolom ‘Richtlijnen voor beoordeling audit’

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Ingeval het nuttig is om te beschikken over richtlijnen voor het uitvoeren van een audit op een bepaalde beheersmaatregel, bevat de kolom ‘Richtlijnen voor beoordeling audit’ mogelijke aandachtsgebieden voor de evaluatie van de beheersmaatregel.
Tabel D.1Classificatie van beheersmaatregelen
Beheersmaatregelen in NEN 7510 Beheers-maatregel m.b.t. de organisatie Technische beheers-maatregel Systemen testen Visuele inspectie Richtlijnen voor beoordeling audit
5. Beveiligingsbeleid          
5.1 Informatiebeveiligingsbeleid          
5.1.1 Beleidsdocument voor Informatiebeveiliging X        
5.1.2 Beoordeling van het informatiebeveiligingsbeleid X       Notulen managementbeoordeling
6. Organisatie van informatiebeveiliging          
6.1 Interne organisatie          
6.1.1 Betrokkenheid van de directie bij informatiebeveiliging X       Notulen managementvergadering
6.1.2 Coördinatie van informatiebeveiliging X       Notulen managementvergadering
6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging X        
6.1.4 Goedkeuringsproces voor middelen voor de informatievoorziening X        
6.1.5 Geheimhoudingsovereenkomst X       Steekproeven bij enkele gearchiveerde overeenkomsten nemen
6.1.6 Contact met overheidsinstanties X        
6.1.7 Contact met speciale belangengroepen X        
6.1.8 Onafhankelijke beoordeling van informatiebeveiliging X       Rapporten lezen
6.2 Externe partijen          
6.2.1 Identificatie van risico's die betrekking hebben externe partijen X        
6.2.2 Beveiliging in de omgang met klanten X        
6.2.3 Beveiliging in overeenkomsten met een derde partij X       Een aantal contractvoorwaarden testen
7. Beheer van bedrijfsmiddelen          
7.1 Verantwoordelijkheid voor bedrijfsmiddelen          
7.1.1 Inventarisatie van bedrijfsmiddelen X       Bedrijfsmiddelen identificeren
7.1.2 Verantwoordelijken voor de bedrijfsmiddelen X        
7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen X        
7.2 Classificatie van informatie          
7.2.1 Richtlijnen voor classificatie X        
7.2.2 Labeling en verwerking van informatie X       Benoemen: directory, bestanden, afgedrukte rapporten, opgenomen media (bijv. banden, diskettes, cd's) elektronische berichten en bestandsoverdrachten
8. Personeel         Steekproeven nemen bij enkele human resourcesbestanden
8.1 Voorafgaand aan het dienstverband          
8.1.1 Rollen en verantwoordelijkheden X        
8.1.2 Screening X        
8.1.3 Arbeidsvoorwaarden X        
8.2 Tijdens het dienstverband          
8.2.1 Directieverantwoordelijkheid X        
8.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging X       Medewerkers vragen of zij zich bewust zijn van specifieke zaken waarvan zij zich bewust zouden moeten zijn
8.2.3 Disciplinaire maatregelen X        
8.3 Beëindiging of wijziging van dienstverband          
8.3.1 Beëindiging van verantwoordelijkheden X        
8.3.2 Retourneringvan bedrijfsmiddelen X        
8.3.3 Intrekken van toegangsrechten X X Aanbevolen    
9 Fysieke beveiliging en beveiliging van de omgeving          
9.1 Beveiligde ruimten          
9.1.1 Fysieke beveiliging van de omgeving X        
9.1.2 Fysieke toegangsbeveiliging X X Mogelijk X Toegangsregistraties archiveren
9.1.3 Beveiliging van kantoren, ruimten en faciliteiten X     X  
9.1.4 Bescherming tegen bedreigingen van buitenaf X     X  
9.1.5 Werken in beveiligde ruimten X     X  
9.1.6 Openbare toegang en gebieden voor laden en lossen X     X  
9.2 Beveiliging van apparatuur          
9.2.1 Plaatsing en bescherming van apparatuur X X Mogelijk X  
9.2.2 Nutsvoorzieningen X X Mogelijk X  
9.2.3 Beveiliging van kabels X     X  
9.2.4 Onderhoud van apparatuur X        
9.2.5 Beveiliging van apparatuur buiten het terrein X X Mogelijk   Draagbare apparatuur versleutelen
9.2.6 Veilig verwijderen of hergebruiken van apparatuur X X Mogelijk X  
9.2.7 Verwijdering van bedrijfseigendommen X        
10 Beheer van communicatie- en bedieningsprocessen          
10.1 Bedieningsprocedures en verantwoordelijkheden          
10.1.1 Gedocumenteerde bedieningssprocedures X        
10.1.2 Wijzigingsbeheer X X Aanbevolen    
10.1.3 Functiescheiding X        
10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie X X Mogelijk    
10.2 Beheer van de dienstverlening door een derde partij          
10.2.1 Dienstverlening X        
10.2.2 Controle en beoordeling van dienstverlening door een derde partij X X Mogelijk    
10.2.3 Beheer van wijzgingen in dienstverlening door een derde partij X        
10.3 Systeemplanning en -acceptatie          
10.3.1 Capaciteitsbeheer X X Mogelijk    
10.3.2 Systeemacceptatie X        
10.4 Bescherming tegen kwaadaardige programmatuur en 'mobile code'          
10.4.1 Maatregelen tegen kwaadaardige programmatuur X X Aanbevolen   Steekproeven bij servers, desktop pc's, gateways
10.4.2 Maatregelen tegen 'mobile code' X X Mogelijk    
10.5 Back-up en herstel          
10.5.1 Reservekopieën (back-ups) X X Aanbevolen   Herstel proberen
10.6 Beheer van netwerkbeveiliging          
10.6.1 Maatregelen voor netwerken X X Mogelijk    
10.6.2 Beveiliging van netwerkdiensten X       SLA’s, veiligheidskenmerken
10.7 Behandeling van media          
10.7.1 Beheer van verwijderbare media X X Mogelijk    
10.7.2 Verwijdering van media X        
10.7.3 Procedures voor de behandeling van informatie X        
10.7.4 Beveiliging van systeemdocumentatie X X Mogelijk X  
10.8 Uitwisseling van informatie          
10.8.1 Beleid en procedures voor informatie-uitwisseling X        
10.8.2 Uitwisselingsovereenkomsten X        
10.8.3 Fysiek transport van media X X Mogelijk   Versleuteling of fysieke bescherming
10.8.4 Elektronische berichtenuitwisseling X X Mogelijk   Steekproeven van berichten bevestigen conform beleid/procedures
10.8.5 Systemen voor bedrijfsinformatie X        
10.9 Diensten voor e-commerce          
10.9.1 E-commerce X X Mogelijk    
10.9.2 Onlinetransacties X X Aanbevolen   Controleren: integriteit, toegangsmachtiging
10.9.3 Openbaar beschikbare informatie X X Mogelijk    
10.10 Controle          
10.10.1 Aanmaken van audit-logbestanden X X Mogelijk   Via internet of in afgedrukte vorm
10.10.2 Controle van systeemgebruik X X Mogelijk    
10.10.3 Bescherming van informatie in logbestanden X X Mogelijk    
10.10.4 Logbestanden van administrators en operators X X Mogelijk    
10.10.5 Registratie van storingen X        
10.10.6 Synchronisatie van systeemklokken   X Mogelijk    
11 Toegangsbeveiliging          
11.1 Bedrijfseisen ten aanzien van toegangsbeheersing          
11.1.1 Toegangsbeleid X        
11.2 Beheer van toegangsrechten van gebruikers          
11.2.1 Registratie van gebruikers X       Steekproeven bij werknemers/aannemers betreffende machtigingen voor alle toegangsrechten voor alle systemen
11.2.2 Beheer van speciale bevoegdheden X X Mogelijk   Interne overplaatsing van medewerkers
11.2.3 Beheer van gebruikerswachtwoorden X        
11.2.4 Beoordeling van toegangsrechten van gebruikers X        
11.3 Verantwoordelijkheden van gebruikers          
11.3.1 Gebruik van wachtwoorden X       Aanwezig(e) richtlijnen/beleid voor gebruikers verifiëren
11.3.2 Onbeheerde gebruikersapparatuur X       Aanwezig(e) richtlijnen/beleid voor gebruikers verifiëren
11.3.3 'clear desk'- en 'clear screen'-beleid X     X  
11.4 Toegangsbeheersing voor netwerken          
11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten X        
11.4.2 Authenticatie van gebruikers bij externe verbindingen X X Aanbevolen    
11.4.3 Identificatie van netwerkapparatuur   X      
11.4.4 Bescherming op afstand van poorten voor diagnose en configuratie   X Aanbevolen    
11.4.5 Scheiding van netwerken X X Mogelijk   Netwerkdiagrammen: WAN, LAN, VLAN, VPN, netwerkobjecten, netwerksegmenten (bijv. DMZ)
11.4.6 Beheersmaatregelen voor netwerkverbindingen X X Aanbevolen   Gedeelde netwerken niet erg gebruikelijk
11.4.7 Beheersmaatregelen voor netwerkroutering X X Aanbevolen   Firewalls, routers/wissels: regelbasis, ACL's, beleid toegangscontrole
11.5 Toegangsbeveiliging voor besturingssystemen          
11.5.1 Beveiligingslogprocedures X X Aanbevolen    
11.5.2 Gebruikersidentificatie en -authenticatie X X Aanbevolen    
11.5.3 Systemen voor wachtwoordbeheer X X Aanbevolen    
11.5.4 Gebruik van systeemhulpmiddelen X X Aanbevolen    
11.5.5 Time-out van sessies X X Mogelijk X  
11.5.6 Beperking van verbindingstijd X X Mogelijk X  
11.6 Toegangsbeveiliging voor toepassingen en informatie          
11.6.1 Beheersen van toegang tot informatie X X Aanbevolen    
11.6.2 Isoleren van gevoelige systemen X X Mogelijk    
11.7 Draagbare computers en telewerken          
11.7.1 Draagbare computers en communicatievoorzieningen X X Mogelijk    
11.7.2 Telewerken X X Mogelijk    
12 Verwerving, ontwikkeling en onderhoud van informatiesystemen          
12.1 Beveiligingseisen voor informatiesystemen          
12.1.1 Analyse en specificatie van beveiligingseisen X        
12.2 Correcte verwerking in toepassingen          
12.2.1 Validatie van invoergegevens X X Aanbevolen   Richtlijnen softwareontwikkeling, software testen, bevestigen in steekproeven bedrijfstoepassingen dat beheersmaatregelen die gebruikers nodig hebben, in de praktijk bestaan
12.2.2 Beheersing van interne gegevensverwerking X X Mogelijk   Richtlijnen softwareontwikkeling, software testen, bevestigen in steekproeven bedrijfstoepassingen dat beheersmaatregelen die gebruikers nodig hebben, in de praktijk bestaan
12.2.3 Integriteit van berichten   X Mogelijk    
12.2.4 Validatie van uitvoergegevens X X Mogelijk   Richtlijnen softwareontwikkeling, software testen, bevestigen in steekproeven bedrijfstoepassingen dat beheersmaatregelen die gebruikers nodig hebben, in de praktijk bestaan
12.3 Cryptografische beheersmaatregelen          
12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen X X Mogelijk   Waar van toepassing ook implementatie van beleid controleren
12.3.2 Sleutelbeheer X X Aanbevolen    
12.4 Beveiliging van systeembestanden          
12.4.1 Beheersing van operationele programmatuur X X Mogelijk    
12.4.2 Bescherming van testdata X X Mogelijk X  
12.4.3 Toegangsbeheersing voor broncode van programmatuur X X Aanbevolen    
12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen          
12.5.1 Procedures voor wijzigingsbeheer X        
12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem X        
12.5.3 Restricties op wijzigingen in prgrammatuurpakketten X        
12.5.4 Informatielekken X X Mogelijk   Onbekende diensten
12.5.5 Uitbestede ontwikkeling van programmatuur X        
12.6 Beheer van technische kwetsbaarheden          
12.6.1 Beheersing van technische kwetsbaarheden X X Aanbevolen   Patch distributie
13 Beheer van informatiebeveiligingsincidenten          
13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken          
13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen X        
13.1.2 Rapportage zwakke plekken in de beveiliging X        
13.2 Beheer van informatiebeveiligingsincidenten en -verbeteringen          
13.2.1 Verantwoordelijkheden en procedures X        
13.2.2 Leren van informatiebeveiligingsincidenten X        
13.2.3 Verzamelen van bewijsmateriaal X        
14 Bedrijfscontinuïteitsbeheer          
14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer         Notulen managementbeoordeling
14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer X        
14.1.2 Bedrijfscontinuïteit en risicobeoordeling X        
14.1.3 Continuïteitsplannen en informatievoorziening X X Mogelijk X Inspectie van uitwijkvoorziening, afstand van uitwijkvoorziening volgens risicobeoordeling en toepasselijke wet-/regelgevende eisen.
14.1.4 Kader voor de bedrijfscontinuïteitsplanning X        
14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen X        
15 Naleving          
15.1 Naleving van wettelijke voorschriften          
15.1.1 Identificatie van toepasselijke wetgeving X        
15.1.2 Intellectuele eigendomsrechten (Intellectual property rights, IPR) X        
15.1.3 Bescherming van bedrijfsdocumenten X X Mogelijk    
15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens X X Mogelijk    
15.1.5 Voorkomen van misbruik van IT-voorzieningen X        
15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen X        
15.2 Naleving van beveiligingsbeleid en -normen          
15.2.1 Naleving van veiligheidsbeleid en -normen X        
15.2.2 Controle op technische naleving X X     Proces en opvolging beoordelen
15.3 Overwegingen bij audits van informatiesystemen          
15.3.1 Beheersmaatregelen voor audits van informatiesystemen X        
15.3.2 Bescherming van audithulpmiddelen voor audits van informatiesystemen X X Mogelijk