- Deelnemers, Beheerorganisatie en BSNk MOETEN in bezit zijn van een geldige certificaat conform de standaard ISO 27001 of een Third Party Mededeling (jaarlijks) inzake de conformiteit aan de genoemde ISO standaard.
- In de Verklaring van Toepasselijkheid behorende bij de certificatie dan wel Third Party Mededeling MOETEN minimaal de normen uit het Gemeenschappelijk normenkader informatiebeveiliging zijn opgenomen.
- Daar waar het Afsprakenstelsel geen maatregelen voorschrijft MOETEN de Deelnemers, Beheerorganisatie en BSNk op basis van risicoanalyse zelf de beheersmaatregelen voor hun activiteiten en infrastructuur definiëren.
- De stelselrisicoanalyse MOET aantoonbaar onderdeel zijn van in de risicoanalyses van Deelnemers, Beheerorganisatie en BSNk die zij in het kader van hun managementsysteem opstellen.
- De potentiële deelnemer MOET bij toetreding(en) tot het Stelsel (rollen, functionaliteiten en betrouwbaarheidsniveaus) de verplichting op zich nemen om binnen 6 maanden bij een initiële toetredingen zijn activiteiten voor het Stelsel te laten voorzien van certificatie of een TPM. De potentiële deelnemer MOET daarvoor op het moment van toetreden worden gebonden aan de op dat moment geldende versie van het Gemeenschappelijk Normenkader Informatiebeveiliging en de Stelselrisicoanalyse.
- Bestaande deelnemers MOETEN bij toetredingen tot nieuwe functionaliteiten, rollen, betrouwbaarheidsniveaus en bijstellingen van het normenkader een redelijke termijn krijgen om de geldende elementen van het Gemeenschappelijk Normenkader Informatiebeveiliging te implementeren en in hun certificatie of TMP in te passen.
Overview
Content Tools