A.8 Beheer van bedrijfsmiddelen

A.8.1

Verantwoordelijkheid voor bedrijfsmiddelen 

Bedrijfsmiddelen van de organisatie identificeren en passende verantwoordelijkheden ter bescherming definiëren. 

A.8.1.1

Inventariseren van bedrijfsmiddelen 

Bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen moet een inventaris worden opgesteld en onderhouden. 

Sv

Sv

Sv

Het stelsel beschikt niet over gemeenschappelijke bedrijfsmiddelen.

Vooralsnog zijn er geen gemeenschappelijke bedrijfsmiddelen onderkend. Indien dit wel het geval zou worden, is de Beheerorganisatie verantwoordelijk voor het bijhouden van de inventarisatie.

A.8.1.2

Eigendom van bedrijfsmiddelen

Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden moeten een eigenaar hebben. 

v

v

v

idem

A.8.1.3

Aanvaardbaar gebruik van bedrijfsmiddelen 

Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten regels worden geïdentificeerd, gedocumenteerd en geïmplementeerd. 

v

v

v

idem

A.8.1.4

Teruggeven van bedrijfsmiddelen 

Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst teruggeven. 

v

v

v

idem

A.8.2

Informatieclassificatie 

Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in overeenstemming is met het belang ervan voor de organisatie. 

A.8.2.1

Classificatie van informatie 

Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. 

S

S

S

Deelnemers, BSNk en BO moeten een eigen classificatie van hun informatie hebben gebaseerd op de richtlijnen voor classificatie van informatie uit het Informatiebeveiligingsbeleid, de stelselrisicoanalyse en hun eigen risicoanalyse.

Zie Afspraken Gemeenschappelijke Classificatie van Stelselinformatie

A.8.2.2

Informatie labelen

Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. 

Sv

Sv

S

idem

A.8.2.3

Behandelen van bedrijfsmiddelen 

Procedures voor het behandelen van bedrijfsmiddelen moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. 

v

v

v

Het stelsel Elektronische Toegangsdiensten beschikt niet over gemeenschappelijke bedrijfsmiddelen. 

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.8.3

Behandelen van media 

Onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van informatie die op media is opgeslagen voorkomen. 

A.8.3.1

Beheer van verwijderbare media 

Voor het beheren van verwijderbare media moeten procedures worden geïmplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld. 

Sv

Sv

Sv

Alleen specifiek: Deelnemers, BSNk en BO moeten ten minste een procedure inrichten voor voor zorgvuldig beheer van verwijderbare media die drager zijn van persoonsgegevens en metagegevens.

A.8.3.2

Verwijderen van media 

Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.

Sv

Sv

Sv

Media waar archiveringsgegevens zijn opgeslagen.

Media waar persoonsgegevens zijn opgeslagen.

Media waar metadata is opgeslagen.

De BO is verantwoordelijk voor het verwijderen van media binnen de eigen organisatiecontext en op het niveau van het stelsel. Deelnemers en BSNk zijn verantwoordelijk voor het verwijderen media binnen de eigen organisatie context.

A.8.3.3

Media fysiek overdragen

Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.

Sv

Sv

Sv

idem

idem