Het garanderen van een correcte en veilige bediening van IT- voorzieningen.

Er dienen verantwoordelijkheden en procedures te worden vastgesteld –waaronder bedieningsinstructies en procedures voor het reageren op incidenten – voor het beheer en de bediening van alle IT-voorzieningen.

 

Het documenteren en onderhouden van de in het beveiligingsbeleid en de werkprocessen vastgestelde bedieningsprocedures om fouten in de bediening te voorkomen.

• De bedieningsprocedures zijn vastgelegd, beschreven, bekend gemaakt en de documentatie is voor de betreffende gebruikers of beheerder toegankelijk;
• Wijzigingen in de ICT-infrastructuur die wijzigingen in de bedieningsprocedures ten gevolge hebben, dienen te worden gedocumenteerd en verwerkt tot vernieuwde, verwijderde of aanvullende bedieningsprocedures;
• De wijzigingen in de procedures worden aan de gebruikers(groepen) bekend gemaakt;
• Voor de bulkverwerking van persoonsgegevens dient een productiehandleiding beschikbaar te zijn waarin duidelijk is aangegeven welke persoonsgegevens het betreft, met welke software er wordt gewerkt, welke bestanden nodig zijn en welke verwerkingsstappen worden uitgevoerd (BXIV 8.1, CBP 4.10).
• Voor de afhandeling van calamiteiten tijdens de geautomatiseerde bulkverwerking van persoonsgegevens dienen er procedures beschikbaar te zijn; in het geval van een calamiteit worden de oorzaak, de gevolgen en de getroffen maatregelen schriftelijk vastgelegd in een productielogboek (BXIV 8.1, CBP 4.10).

Wijzigingen in de ICT-infrastructuur dienen te worden beheerst, gecontroleerd en moeten blijven voldoen aan de gestelde beveiligingseisen.

• Noodzakelijke wijzigingen in de ICT-infrastructuur dienen uitsluitend te worden aangebracht indien ze:
  • Zijn gefiatteerd door de hiervoor verantwoordelijke persoon;
  • Geen afbreuk doen aan het beveiligingsniveau;
  • Geen afbreuk doen aan de integriteit van de bestaande systemen en applicaties;
  • Zorgvuldig getest en gedocumenteerd zijn.

Het optimaal en efficiënt afhandelen van beveiligingsincidenten, door vastgelegde verantwoordelijkheden en procedures.

• Incidenten dienen volgens de eisen in 6.3 Reageren op beveiligingsincidenten en storingen gerapporteerd te worden;
• Er is een procedure voor de afhandeling van beveiligingsincidenten vastgesteld en aan de medewerkers bekend gemaakt, alsmede een overzicht van de verantwoordelijken en hun verantwoordelijkheden;
• De incidentenprocedure wordt periodiek bij de medewerkers onder de aandacht gebracht en is bij elke afhandeling onderwerp van evaluatie;
• Afspraken rondom het behandelen van beveiligingsincidenten worden ook vastgelegd in de betreffende SLA’s.

Het scheiden van taken en verantwoordelijkheidsgebieden met betrekking tot uitvoer en controle daarop, om het risico van onbevoegde verandering of misbruik van gegevens of diensten te verkleinen.

• Per functiegroep of taakgroep zijn de benodigde verantwoordelijkheden, rechten en toegangen tot gegevens, systemen en ruimten vastgelegd (BXIV 4.1, CBP 4.2);
• Uitvoeringstaken en de controle daarop dient door verschillende personen te geschieden (BXIV 4.1, CBP 4.2);
• De verstrekte rechten tot toegang tot gegevens en systemen worden uitsluitend gebruikt voor de daaraan gekoppelde gebruiksdoelen;
• De uitwisseling van toegangsmachtigingen – en daarmee de uitwisseling van authenticatiegegevens zoals wachtwoorden – is nadrukkelijk niet toegestaan.
• Taken en verantwoordelijkheden van betrokken partijen en hun medewerkers zijn vastgelegd.

Voorkomen dat vanuit de ontwikkel- en testomgeving de productieomgeving kan worden benaderd of gewijzigd.

• De ontwikkel- en productieomgeving dienen logisch van elkaar gescheiden te zijn;
• Vanuit de ontwikkelomgeving kan geen ongeautoriseerde toegang verkregen worden naar de productieomgeving.

Handhaven van het beveiligingsniveau bij het extern beleggen van het beheer van de ICT- systemen.

• De externe partij legt zich contractueel vast om aan het vastgestelde beveiligingsniveau en de bijbehorende beveiligingsnormen te voldoen binnen de kaders van de uit te voeren taken;
• Er worden contractueel sancties vastgelegd, of er wordt verwezen naar wettelijke sancties die van toepassing zijn.