1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

1. Governance

1.1 Governance inrichting

Bij de inrichting van governance heeft de organisatie rekening gehouden met cyberbeveiligingsrisico's. *
Governance gaat over besturen en beheersen, over verantwoordelijkheid en zeggenschap en over toezicht en verantwoording.

1.2 Formele goedkeuring beheersmaatregelen

Het bestuursorgaan heeft de beheersmaatregelen die zijn genomen op de cyberbeveiligingsrisico's formeel goedgekeurd. *
Bestuursorgaan: een orgaan van een rechtspersoon (zoals een directie) die krachtens publiekrecht is ingesteld of een ander persoon of college, met enig gezag bekleed.

1.3 Opleiding identificeren risico's

De leden van het bestuursorgaan hebben een opleiding of een cursus gevolgd die hen in staat stelt om cyberbeveiligingsrisico's te identificeren. *

1.4 Opleiding beoordelen risico's

De leden van het bestuursorgaan hebben een opleiding of een cursus gevolgd die hen in staat stelt om cyberbeveiligingsrisico's te beoordelen? *

1.5 Aanbod opleidingen werknemers

Opleidingen of cursussen op het gebied van cyberbeveiliging worden aangeboden aan werknemers. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

2. Beleid risicoanalyse en beveiliging van informatiesystemen

2.1 Beleid risicoanalyse

De organisatie heeft beleid bepaald op het gebied van risicoanalyse. *
Beleid risicoanalyse: Het risicomanagementbeleid is een (schriftelijke) uitwerking van de kaders van risicomanagement van een organisatie. Het beleid is in te delen in vier componenten: opzet van de risicomanagementorganisatie; gekozen risicostrategie; risicojaarplan; procedures, instructies en tools.

2.2 Cyberbeveiligingsrisico's

Cyberbeveiligingsrisico's worden geïdentificeerd, geanalyseerd en geëvalueerd. *

2.3 Risicobeheersing en restrisico-acceptatie

Voor de onderkende cyberbeveiligingsrisico's zijn beheersmaatregelen genomen of zijn deze als restrisico's geaccepteerd door het bestuursorgaan. *

2.4 Evaluatie beheersmaatregelen

De geïmplementeerde beheersmaatregelen worden geëvalueerd op effectiviteit. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

3. Incidentenbehandeling

3.1 Proces beveiligingsincidenten

De organisatie heeft een proces voor het behandelen van beveiligingsincidenten. *
Beveiligingsincident: een beveiligingsincident is een inbreuk op de beveiliging, waarbij de beschikbaarheid, de integriteit of de vertrouwelijkheid van (digitale) informatie in gevaar is of kan komen.

3.2 Registratie, beoordeling en afhandeling

Beveiligingsincidenten worden geregistreerd, beoordeeld en afgehandeld. *

3.3 Rapportage

Beveiligingsincidenten worden gerapporteerd aan het verantwoordelijk management. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

4. Bedrijfscontinuïteit

4.1 Proces

Er is een bedrijfscontinuïteitsproces geïmplementeerd voor de dienst(en) van de organisatie. *
Bedrijfscontinuïteitsproces: een proces waarbij o.a. het back-upbeheer, de noodvoorzieningenplannen en crisisbeheer is geregeld.

4.2 Cyberbeveiliging

Cyberbeveiliging maakt onderdeel uit van het bedrijfscontinuïteitsproces. *

4.3 Continuïteitseisen

Er zijn continuïteitseisen gesteld voor de dienst(en) van de organisatie. *

4.4 Testen

Bedrijfscontinuïteitsplannen worden door de organisatie getest. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

5. De beveiliging van de toeleveringsketen

5.1 Overzicht leveranciers en risico's

Er is een actueel overzicht van toeleveranciers waar de organisatie afhankelijk van is, inclusief zicht op de risico's rondom deze leveranciers. *

5.2 Overeenkomsten

De beveiligingseisen en verantwoordelijkheden inovereenkomsten met de toeleverancier(s) zijn vastgelegd. *

5.3 Evaluatie

De naleving van de beveiligingseisen in de overeenkomsten met de toeleveranciers worden geëvalueerd en beoordeeld op effectiviteit. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

6. Beveiliging van netwerk- en informatiesystemen

6.1 Beleid

Er is een beveiligingsbeleid voor de gehele levenscyclus van een netwerk- en informatiesystemen. *
Levenscyclus: de levenscyclus begint bij de inventarisatie en specificatie van de (beveiligings)eisen aan een netwerk- en informatiesysteem, het ontwerpen, ontwikkelen, testen of de inkoop van het netwerk- en informatiesysteem. Daarnaast omvat dit ook het onderhoud en de ondersteuning van het netwerk- en informatiesysteem en eindigt na het afvoeren en/of vernietigen van het netwerk- en informatiesysteem.

6.2 Procedure kwetsbaarheden

Er is een procedure voor het melden van kwetsbaarheden op het gebied van informatieveiligheid bij de aanschaf en bij de ontwikkeling en onderhoud van netwerk en informatiesystemen en de afhandeling van deze kwetsbaarheden. *

6.3 Toetsing actualiteit en naleving

Het beveiligingsbeleid en de meldingsprocedure van kwetsbaarheden worden getoetst op actualiteit en naleving hiervan. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

7. Beoordelen effectiviteit van maatregelen

7.1 Beleid

De organisatie heeft een beleid omtrent de onafhankelijke beoordeling van de effectiviteit van de beheersmaatregelen. *
Onafhankelijke beoordeling: denk bij een onafhankelijke beoordeling bijvoorbeeld aan audits of certificeringen door een onafhankelijke partij.

7.2 Procedure

Er is een procedure beschreven voor het beoordelen van de effectiviteit van de beheersmaatregelen. *

7.3 Rapportage

Over de effectiviteit van de beheersmaatregelen wordt regelmatig gerapporteerd aan het verantwoordelijk management. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

8. Cyberhygiëne en opleiding

8.1 Beleid

Er een cyberhygiënebeleid beschreven voor de organisatie. *
Cyberhygiënebeleid: omvat een gemeenschappelijke basisreeks van praktijken met inbegrip van van software- en hardware-updates, de wijziging van wachtwoorden, het beheer van nieuwe installaties, de beperking van toegangsaccounts op beheersniveau en het back-uppen van gegevens, en het maakt een proactief kader mogelijk met betrekking tot paraatheid en algemene veiligheid en beveiliging in geval van incidenten of cyberdreigingen.

8.2 Passende kennis werknemers

Werknemers hebben, bijvoorbeeld door het volgen van een opleiding of cursus of door zelfstudie, cyberveiligheid kennis opgedaan die passend is bij hun functie. *

8.3 Toetsing kennis en vaardigheden

Werknemers worden getoetst op hun kennis (en vaardigheden) met betrekking tot cyberbeveiliging en naleving van het cyberhygiënebeleid. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

9. Cryptografie en encryptie

9.1 Beleid

Er is een beleid over cryptografie en encryptie opgesteld en beschreven. *
Cryptografie: beleid en technieken die ingezet worden om de vertrouwelijkheid en integriteit van informatie te waarborgen. Encryptie: het versleutelen van gegevens op basis van een cryptografisch algoritme.

9.2 Procedure

Er is een procedure beschreven voor het gebruik van cryptografie en encryptie binnen de organisatie. *

9.3 Toetsing effectiviteit

Beleid en procedure voor cryptografie en encryptie worden getoetst op effectiviteit. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

10. Beveiligingsaspecten voor personeel, toegangsbeleid en beheer van activa

10.1 Beleid personeel

Er is een beveiligingsbeleid beschreven met betrekking tot personeel. Bijvoorbeeld screeningsvereisten bij een bepaald functieprofiel. *

10.2 Beleid toegangsbeveiliging

Er is een beleid beschreven voor toegangsbeveiliging. *
Toegangsbeveiliging: toegangsbeveiliging omvat logische en fysieke toegangsbeveiliging. Logische toegangsbeveiliging: het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken etc. van een organisatie. Fysieke toegangsbeveiliging: het geheel van processen en middelen om gebruikers veilig en gecontroleerd toegang te verlenen tot terreinen, gebouwen en ruimten.

10.3 Beleid beheer activa/assets

Er is beleid beschreven voor beheer van activa/assets. *
Activa/assets: dit zijn bedrijfsmiddelen zoals personeel, gebouwen, machines, apparatuur, etc. die onderdeel uitmaken van het productieproces in een essentiële en/of belangrijke dienst.

10.4 Toezicht actualiteit en naleving

Er wordt regelmatig toegezien op actualiteit en naleving van bovengenoemde beleidsaspecten. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

11. Authenticatieoplossingen en communicatiesystemen binnen de organisatie

11.1 Proces

De organisatie heeft een authenticatie(management)proces beschreven. *
Authenticatieproces: omvat de activiteiten die uitgevoerd worden om de identiteit van een actor succesvol vast te stellen. Authenticatiemanagement: het beleid, de processen en de techniek om effectief het authenticatieproces te besturen en te beheersen.

11.2 Passend gebruik

Het gebruik van authenticatiemiddelen (zoals een wachtwoord of MFA) is passend bij de dataclassificatie waartoe men toegang heeft. *
Multi-Factor Authenticatie (MFA): een authenticatie methode waarbij de online gebruiker twee of meer stappen succesvol moet doorlopen om ergens toegang tot te krijgen. Dit soort authenticatie wordt ook wel Two-Factor Authenticatie (2FA) genoemd.

11.3 MFA voor speciale accounts en externe toegang

De organisatie maakt gebruik van MFA bij accounts met beheerdersrechten, accounts met toegang tot systemen met bedrijfsgevoelige informatie en accounts die vanaf het internet inloggen. *
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

12. Meldingsprocedure: Significante incidenten

12.1 Procedure

Voor incidenten met aanzienlijke gevolgen is een meldingsprocedure beschreven die gericht is aan het sectorale CSIRT en de bevoegde autoriteit. *
Incidenten met aanzienlijke gevolgen: aanzienlijke gevolgen worden beschouwd wanneer een incident: a) een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; b) andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

13. Rapportageverplichtingen: Zo snel mogelijk meedelen maatregelen

13.1 Tijdig informeren bij cyberdreiging

Ontvangers worden tijdig geïnformeerd over de beheersmaatregelen die ze kunnen nemen bij een significante cyberdreiging in de organisatie. *
Ontvangers: de persoon of organisatie die de dienst ontvangt en/of waarmee een contract is afgesloten over de dienstverlening. Significante cyberdreiging: een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat zij ernstige gevolgen kan hebben voor de netwerk- en informatiesystemen van een organisatie of de gebruikers van de diensten van de organisatie door het veroorzaken van aanzienlijke materiële of immateriële schade.
1
1
2
2
3
3
4
4
5
5
6
6
7
7
8
8
9
9
10
10
11
11
12
12
13
13
14
Last Page

14. Gegevens

Naam *
Bedrijfsnaam *
Functie *
E-mailadres *