A.18 Naleving
ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie
Norm | Titel | Doelstellingen en beheersmaatregelen | Deelnemer | BSNk | BO | Opmerkingen | Toelichting en referenties |
---|---|---|---|---|---|---|---|
A.18. | Naleving | ||||||
A.18.1 | Naleving van wettelijke en contractuele eisen | Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen. | |||||
A.18.1.1 | Vaststellen van toepasselijke wetgeving en contractuele eisen | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor elk informatiesysteem en de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden. | Sv | Sv | Sv |
| Conform Juridisch kader. Deelnemers, BSNk en BO moeten zelf een overzicht vast te stellen van toepasselijke wetgeving en contractuele eisen. |
A.18.1.2 | Intellectuele eigendomsrechten | Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele- | Sv | Sv | Sv | Deelnemers, BSNk en BO dienen dit zelf in te vullen. De Eigenaar van het stelsel moet de verantwoordelijkheid nemen voor borging van de IPR betreffende stelselbrede rechten zoals het merkenrecht. | |
A.18.1.3 | Beschermen van registraties | Registraties moeten in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. | Sv | Sv | Sv | Beschermingsniveau afhankelijk van classificatie. | Conform Juridisch kader en Operationeel handboek |
A.18.1.4 | Privacy en bescherming van persoonsgegevens | Privacy en bescherming van persoonsgegevens moeten, voor zover van toepassing, worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. | Sv | Sv | Sv | Er behoort door de Deelnemers, BSNk en de BO een beleid voor bescherming van persoonsgegevens te worden ontwikkeld en ingevoerd. Dit beleid behoort te worden gecommuniceerd naar alle personen die betrokken zijn bij het verwerken van persoonsgegevens. | Conform Privacybeleid. En specifiek betreft dit het omgaan met persoonsgegevens i.c. het gebruik van pseudoniemen binnen het netwerk. |
A.18.1.5 | Voorschriften voor het gebruik van | Cryptografische beheersmaatregelen moeten worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving. | S | S | S |
| Conform Juridisch kader en Interface specifications. |
A.18.2 | Informatiebeveiligingsbeoordelingen | Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie. | |||||
A.18.2.1 | Onafhankelijke beoordeling van | De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen worden beoordeeld. | S | S | S | Voor de deelnemers, het BSNk en de Beheerorganisatie gaat het om het laten uitvoeren van (interne en externe) audits en reviews. Onderdeel van de ISO 27001 certificering is het periodiek/jaarlijks uitvoeren van een controleaudit door de certificerende organisatie. |
|
A.18.2.2 | Naleving van beveiligingsbeleid en -normen | De directie moet regelmatig de naleving van de informatieverwerking en -procedures binnen haar | Sv | Sv | S | Opstellen en uitvoeren van een controleplan op basis waarvan procedures regelmatig worden gecontroleerd op naleving. | De Deelnemers, BSNk en BO moeten de naleving van informatiebeveiliging kunnen aantonen. De Toezichthouder op het stelsel toetst de naleving van Stelselafspraken door Deelnemers, BSNk en BO. |
A.18.2.3 | Beoordeling van technische naleving | Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. | Sv | Sv | S | Opstellen en uitvoeren van een controleplan op basis waarvan informatiesystemen regelmatig worden gecontroleerd op de implementatie van beveiligingsstandaards. | Conform Operationeel handboek. De beheersmaatregel op stelselniveau betreft het (laten) uitvoeren van security assessments zoals pentesten en code reviews. |