Voorwoord
|
2
|
Deel 1
|
4
|
1.
|
|
Informatiebeveiliging bij de overheid
|
4
|
|
1.1.
|
Inleiding
|
4
|
|
1.2.
|
Informatiebeveiligingskaders en uitgangspunten overheid
|
5
|
|
1.3.
|
ISO 27002
|
6
|
|
1.4.
|
Evaluatie en bijstelling
|
6
|
|
1.5.
|
Forum Standaardisatie
|
6
|
2.
|
|
Opzet van de BIO
|
7
|
|
2.1.
|
Opzet BBN’s
|
7
|
|
2.2.
|
Controls
|
7
|
|
2.3.
|
Implementatierichtlijnen
|
7
|
|
2.4.
|
Overheidsmaatregelen
|
7
|
|
2.5.
|
Addendum
|
8
|
|
2.6.
|
Operationalisering in handreikingen
|
8
|
|
2.7.
|
Rollen
|
8
|
3.
|
Basisbeveiligingsniveaus
|
9
|
|
3.1.
|
BBN1
|
9
|
|
3.2.
|
BBN2
|
9
|
|
3.3.
|
BBN3
|
9
|
4.
|
Verantwoording over de BIO
|
10
|
|
4.1.
|
Verantwoordelijkheid afhankelijk van basisbeveiligingsniveau
|
10
|
|
4.2.
|
Explains op overheidsmaatregelen
|
10
|
|
4.3.
|
Ketensamenwerking
|
11
|
|
4.4.
|
Dienstenleveranciers
|
11
|
Deel 2
|
12
|
Inleiding
|
12
|
BBN-toets
|
12
|
Controls en overheidsmaatregelen
|
13
|
5.
|
|
Informatiebeveiligingsbeleid
|
13
|
|
5.1.
|
Aansturing door de directie van de informatiebeveiliging
|
13
|
6.
|
|
Organiseren van informatiebeveiliging
|
14
|
|
6.1.
|
Interne organisatie
|
14
|
|
6.2.
|
Mobiele apparatuur en telewerken
|
24
|
7.
|
Veilig personeel
|
15
|
|
7.1.
|
Voorafgaand aan het dienstverband
|
15
|
|
7.2.
|
Tijdens het dienstverband
|
15
|
|
7.3.
|
Beëindiging en wijziging van dienstverband
|
15
|
8.
|
Beheer van bedrijfsmiddelen
|
16
|
|
8.1.
|
Verantwoordelijkheid voor bedrijfsmiddelen
|
16
|
|
8.2.
|
Informatieclassificatie
|
16
|
|
8.3.
|
Behandelen van media
|
17
|
9.
|
|
Toegangsbeveiliging
|
17
|
|
9.1.
|
Bedrijfseisen voor toegangsbeveiliging
|
17
|
|
9.2.
|
Beheer van toegangsrechten van gebruikers
|
18
|
|
9.3.
|
Verantwoordelijkheden van gebruikers
|
18
|
|
9.4.
|
Toegangsbeveiliging van systeem en toepassing
|
19
|
10.
|
Cryptografie
|
19
|
|
10.1.
|
Cryptografische beheersmaatregelen
|
20
|
11.
|
Fysieke beveiliging en beveiliging van de omgeving
|
20
|
|
11.1.
|
Beveiligde gebieden
|
20
|
|
11.2.
|
Apparatuur
|
21
|
12.
|
Beveiliging bedrijfsvoering
|
22
|
|
12.1.
|
Bedieningsprocedures en verantwoordelijkheden
|
22
|
|
12.2.
|
Bescherming tegen malware
|
22
|
|
12.3.
|
Back-up
|
23
|
|
12.4.
|
Verslaglegging en monitoren
|
23
|
|
12.5.
|
Beheersing van operationele software
|
24
|
|
12.6.
|
Beheer van technische kwetsbaarheden
|
24
|
|
12.7.
|
Overwegingen betreffende audits van informatiesystemen
|
24
|
13.
|
Communicatiebeveiliging
|
25
|
|
13.1.
|
Beheer van netwerkbeveiliging
|
25
|
|
13.2.
|
Informatietransport
|
25
|
14.
|
Acquisitie, ontwikkeling en onderhoud van informatiesystemen
|
26
|
|
14.1.
|
Beveiligingseisen voor informatiesystemen
|
26
|
|
14.2.
|
Beveiliging in ontwikkelings- en ondersteunende processen
|
27
|
|
14.3.
|
Testgegevens
|
27
|
15.
|
Leveranciersrelaties
|
28
|
|
15.1.
|
Informatiebeveiliging in leveranciersrelaties
|
28
|
|
15.2.
|
Beheer van dienstverlening van leveranciers
|
28
|
16.
|
Beheer van informatiebeveiligingsincidenten
|
29
|
|
16.1.
|
Beheer van informatiebeveiligingsincidenten en -verbeteringen
|
29
|
17.
|
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
|
30
|
|
17.1.
|
Informatiebeveiligingscontinuïteit
|
30
|
|
17.2.
|
Redundante componenten
|
30
|
18.
|
Naleving
|
31
|
|
18.1.
|
Naleving van wettelijke en contractuele eisen
|
31
|
|
18.2.
|
Informatiebeveiligingsbeoordelingen
|
31
|
Bijlage 1: Wet- en regelgeving
|
32
|
Bijlage 2: Basisbeveiligingsniveaus
|
32
|
Deel 3
|
34
|
Inleiding Addendum
|
34
|
5.
|
Informatiebeveiligingsbeleid
|
34
|
|
5.1.
|
Aansturing door de directie van de informatiebeveiliging
|
34
|
6.
|
Organiseren van informatiebeveiliging
|
35
|
|
6.1.
|
Interne organisatie
|
35
|
7.
|
Veilig personeel
|
35
|
|
7.1.
|
Voorafgaand aan het dienstverband
|
35
|
|
7.2.
|
Tijdens het dienstverband
|
35
|
8.
|
Beheer van bedrijfsmiddelen
|
35
|
|
8.1.
|
Verantwoordelijkheid voor bedrijfsmiddelen
|
35
|
|
8.3.
|
Behandelen van media
|
35
|
11.
|
Fysieke beveiliging en beveiliging van de omgeving
|
35
|
|
11.1.
|
Beveiligde gebieden
|
35
|
14.
|
Acquisitie, ontwikkeling en onderhoud van informatiesystemen
|
35
|
|
14.1.
|
Beveiligingseisen voor informatiesystemen 54
|
35
|
15.
|
Leveranciersrelaties
|
36
|
|
15.1.
|
Informatiebeveiliging in leveranciersrelaties
|
36
|
16.
|
Beheer van informatiebeveiligingsincidenten
|
36
|
|
16.1.
|
Beheer van informatiebeveiligingsincidenten en -verbeteringen
|
36
|