Skip to main content
Skip table of contents

A.18 Naleving

ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie

Norm

Titel

Doelstellingen en beheersmaatregelen

Deelnemer

BSNk

BO

Opmerkingen

Toelichting en referenties

A.18.

Naleving 

A.18.1

Naleving van wettelijke en contractuele eisen 

Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen. 

A.18.1.1

Vaststellen van toepasselijke wetgeving en contractuele eisen 

Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor elk informatiesysteem en de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden. 

Sv

Sv

Sv

 

Conform Juridisch kader.

Deelnemers, BSNk en BO moeten zelf een overzicht vast te stellen van toepasselijke wetgeving en contractuele eisen.

A.18.1.2

Intellectuele eigendomsrechten

Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele-
eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen moeten passende procedures worden geïmplementeerd. 

Sv

Sv

Sv

Deelnemers, BSNk en BO dienen dit zelf in te vullen.

De Eigenaar van het stelsel moet de verantwoordelijkheid nemen voor borging van de IPR betreffende stelselbrede rechten zoals het merkenrecht.

A.18.1.3

Beschermen van registraties 

Registraties moeten in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. 

Sv

Sv

Sv

Beschermingsniveau afhankelijk van classificatie.

Conform Juridisch kader en Operationeel handboek

A.18.1.4

Privacy en bescherming van persoonsgegevens

Privacy en bescherming van persoonsgegevens moeten, voor zover van toepassing, worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.

Sv

Sv

Sv

Er behoort door de Deelnemers, BSNk en de BO een beleid voor bescherming van persoonsgegevens te worden ontwikkeld en ingevoerd. Dit beleid behoort te worden gecommuniceerd naar alle personen die betrokken zijn bij het verwerken van persoonsgegevens.

Conform Privacybeleid.

En specifiek betreft dit het omgaan met persoonsgegevens i.c. het gebruik van pseudoniemen binnen het netwerk.

A.18.1.5

Voorschriften voor het gebruik van
cryptografische beheersmaatregelen 

Cryptografische beheersmaatregelen moeten worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving. 

S

S

S

 

Conform Juridisch kader en Interface specifications.

A.18.2

Informatiebeveiligingsbeoordelingen

Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie. 

A.18.2.1

Onafhankelijke beoordeling van
informatiebeveiliging 

De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen worden beoordeeld. 

S

S

S

Voor de deelnemers, het BSNk en de Beheerorganisatie gaat het om het laten uitvoeren van (interne en externe) audits en reviews. Onderdeel van de ISO 27001 certificering is het periodiek/jaarlijks uitvoeren van een controleaudit door de certificerende organisatie.

  1. De beheersmaatregelen uit dit document moeten door deelnemers (afhankelijk van hun rol(len) in het stelsel) in hun individuele VvT worden opgenomen.

    1. Verplichte maatregelen uit het Gemeenschappelijk normenkader informatiebeveiliging mogen niet ontbreken in de VvT. Voor dit type maatregel zijn er op stelselniveau reeds uitwerkingen vastgesteld zoals koppelvlakspecificaties, operationeel handboek en procedure- en procesbeschrijvingen.

    2. Overige gemeenschappelijke maatregelen zijn maatregelen die de deelnemer of beheerorganisatie vanuit zijn rol zou moeten nemen. De deelnemer mag de beheersmaatregel 'niet van toepassing' verklaren maar in dat geval moet deze uitsluiting met argumenten zijn omkleed in de VvT.

  2. Deelnemers moeten binnen 3 maanden na vaststelling van de bijstelling van het Gemeenschappelijk normenkader informatiebeveiliging deze hebben geïmplementeerd tenzij het Tactisch Beraad anders besluit.

  3. Deelnemers die voor het eerst willen toetreden en de genoemde certificaten of TPM's nog niet kunnen overleggen moeten om te worden toegelaten:

    • zelf verklaren dat zij aan de materiële eisen van ISO 27001 (inclusief het Gemeenschappelijk Normenkader) voldoen, alsmede aan de gestelde eisen voor de dienstverlening van de betrouwbaarheidsniveaus die geleverd gaan worden. 

    • voorbereidingen in gang hebben gezet voor de ISO 27001 certificatie en/of een TPM van het managementsysteem voor informatiebeveiliging, zoals bedoeld in ISO 27001, alsook de specifieke eisen die zijn gesteld aan de betrouwbaarheidsniveaus van de te leveren diensten.

    • een risicoanalyse overleggen die op de Elektronische Toegangsdiensten betrekking heeft (en de Stelselrisicoanalyse als input heeft) met daarin aangegeven de reeds genomen, nog te nemen maatregelen en de restrisico's.

    • een GAP-analyse overleggen waarin ten opzichte van het Gemeenschappelijk normenkader informatiebeveiliging is aangegeven welke maatregelen reeds zijn geïmplementeerd en welke maatregelen nog moeten worden geïmplementeerd. 

  4. De Beheerorganisatie moet per deelnemer bijhouden welke versie van het normenkader van toepassing was bij de audits in het kader van certificering of TPM.

A.18.2.2

Naleving van beveiligingsbeleid en -normen

De directie moet regelmatig de naleving van de informatieverwerking en -procedures binnen haar
verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. 

Sv

Sv

S

Opstellen en uitvoeren van een controleplan op basis waarvan procedures regelmatig worden gecontroleerd op naleving.

De Deelnemers, BSNk en BO moeten de naleving van informatiebeveiliging kunnen aantonen.

De Toezichthouder op het stelsel toetst de naleving van Stelselafspraken door Deelnemers, BSNk en BO.

A.18.2.3

Beoordeling van technische naleving 

Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. 

Sv

Sv

S

Opstellen en uitvoeren van een controleplan op basis waarvan informatiesystemen regelmatig worden gecontroleerd op de implementatie van beveiligingsstandaards.

Conform Operationeel handboek.

De beheersmaatregel op stelselniveau betreft het (laten) uitvoeren van security assessments  zoals pentesten en code reviews.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.