...
Aangeslotenen moeten de Dienstverleners als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in het Juridisch Kader);
Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;
...
De Aangeslotene toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage aan te voldoen aan het Normenkader Informatiebeveiliging van Zorgeloos Vastgoed. Voor de onderbouwende rapportage bij de auditverklaring wordt door Zorgeloos Vastgoed een format beschikbaar gesteld.
Indien uit de aanvullende auditverklaring blijkt dat de Aangeslotene niet (meer) voldoet, dan beoordeelt Zorgeloos Vastgoed op basis van de onderbouwende rapportage of, en op welke manier het Nalevingsbeleid moet worden toegepast.
De ISO 27001-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die ISO 27001-geaccrediteerd is.
...