A.6 Organiseren van informatiebeveiliging
ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie
Norm | Titel | Doelstellingen en beheersmaatregelen | Deelnemer | BSNk | BO | Opmerkingen | Toelichting en referenties |
|---|---|---|---|---|---|---|---|
A.6 | Organiseren van informatiebeveiliging | ||||||
A.6.1 | Interne organisatie | Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen. |
| ||||
A.6.1.1 | Rollen en verantwoordelijkheden bij | Alle verantwoordelijkheden bij informatiebeveiliging moeten worden gedefinieerd en toegewezen. | Sv | Sv | S | Beheerorganisatie coördineert t.b.v. het stelsel. Concreet door toewijzing van de rollen van security officer, riskmanager en incidentmanager. | |
A.6.1.2 | Scheiding van taken | Conflicterende taken en verantwoordelijkheidsgebieden | Sv | v | v | Voor MU al standaard bij PKI. Zo mogelijk moet functiescheiding worden toegepast. Waar dit voor kleine organisaties niet mogelijk is moeten compenserende maatregelen worden genomen (bijv. audit trails). | Zwaarte van de maatregelen moet in relatie staan tot de geleverde betrouwbaarheidsniveaus van de dienst. Deelnemers, BSNk en BO richten dit naar eigen inzicht in. |
A.6.1.3 | Contact met overheidsinstanties | Er moeten passende contacten met relevante overheidsinstanties worden onderhouden. | v | v | S | Stelseltaak voor BO | De BO onderhoudt op stelselniveau contact met relevante overheidsinstanties. |
A.6.1.4 | Contact met speciale | Er moeten passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en professionele organisaties worden onderhouden. | v | v | S | Stelseltaak voor BO | De BO onderhoudt contact met speciale groepen of fora zoals bij Europese ontwikkelingen (eIDAS) en het NCSC specifiek voor informatiebeveiliging. |
A.6.1.5 | Informatiebeveiliging in | Informatiebeveiliging moet aan de orde komen in projectbeheer, ongeacht het soort project. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.6.2 | Mobiele apparatuur en telewerken | Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur. | Mogelijk ontstaat vanuit bestaande normenkaders (hogere betrouwbaarheidsniveaus) een beperking op de mogelijkheid om werkzaamheden via mobiele apparatuur uit te voeren. | Indien draagbare computers en communicatievoorzieningen ten behoeve van het verlenen van stelseldiensten of stelselbeheer worden toegestaan MOETEN passende maatregelen te worden genomen. | |||
A.6.2.1 | Beleid voor mobiele apparatuur | Beleid en ondersteunende beveiligingsmaatregelen moeten worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.6.2.2 | Telewerken | Beleid en ondersteunende beveiligingsmaatregelen moeten worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt bereikt, verwerkt of opgeslagen. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |