Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Alle Aangeslotenen van Zorgeloos Vastgoed dienen in het bezit te zijn van een geldige ISO 27001-certificering. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het Zorgeloos Vastgoed stelsel gebonden zijn aan de normen vanuit ISO 27001. Zorgeloos Vastgoed stelt de volgende eisen aan Aangeslotenen:

  • Aangeslotenen moeten de Dienstverleners als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in het Juridisch Kader);

  • Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;

In aanvulling op de ISO 27001-certificering gelden voor Aangeslotenen een aantal stelselspecifieke eisen met betrekking tot implementatie. Indien de toepassing van een ISO 27001-norm voor Zorgeloos Vastgoed afwijkt van de beschrijving vanuit ISO 27001, wordt die nader toegelicht in dit Normenkader Informatiebeveiliging. Het normenkader specificeert daartoe per norm wat de reden, implementatiewijze, beoordelingsmethode en de van toepassing zijnde stelselrollen zijn. 

De Aangeslotene toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage aan te voldoen aan het Normenkader Informatiebeveiliging van Zorgeloos Vastgoed. Voor de onderbouwende rapportage bij de auditverklaring wordt door Zorgeloos Vastgoed een format beschikbaar gesteld.
Indien uit de aanvullende auditverklaring blijkt dat de Aangeslotene niet (meer) voldoet, dan beoordeelt Zorgeloos Vastgoed op basis van de onderbouwende rapportage of, en op welke manier het Nalevingsbeleid moet worden toegepast. 

De ISO 27001-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die ISO 27001-geaccrediteerd is. 

Normenkader 

Beheersmaatregel

SLD

SLC

BH

BO

Implementatie

A.5.1.1 Beleidsregels voor informatiebeveiliging

De beleidsdocumenten moeten de beleidsmaatregelen die van toepassing zijn op Zorgeloos Vastgoed (onder andere gespecificeerd in Informatiebeveiligingsbeleid) specifiek benoemen.

A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging

De (eind)verantwoordelijkheid voor informatiebeveiliging moet belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van Zorgeloos Vastgoed en deze besluiten met spoed te kunnen (laten) realiseren.

De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur. 

A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

De verantwoordelijke functionaris(sen) zoals benoemd in A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging moeten(en) deelgenomen hebben aan een training over de algemene werking van het stelsel. 

A.8.2.1 Classificatie van informatie

Alle gegevens die binnen of ten behoeve van Zorgeloos Vastgoed worden verwerkt, worden geclassificeerd als persoonsgegevens, en dienen overeenkomstig te worden behandeld.

A.9.1.1 Beleid voor toegangsbeveiliging

Er moeten technische en organisatorische maatregelen worden genomen om inzage van persoonlijke gegevens door medewerkers te voorkomen. De organisatie dient minimaal elk halfjaar en na grote wijzigingen een self-assessment uit te voeren om vast te stellen dat deze maatregelen nog effectief zijn.

A.9.2.5 Beoordeling van toegangsrechten van gebruikers

  1. Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gegevens worden worden verwerkt moeten ten minste maandelijks worden gecontroleerd.

  2. Hierbij moet functiescheiding gewaarborgd zijn.

  3. Dit geldt ook voor eventuele onderaannemers.

  4. Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).

A.9.4.1 Beperking toegang tot informatie

Authenticatie en autorisatie van personen (eindgebruikers) moet plaatsvinden aansluitend bij het Informatieclassificatiebeleid en het bijbehorende eIDAS niveau (zie link en link). 

De rechten die gebruikers hebben binnen applicaties (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.

A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

Opgeslagen persoonlijke gegevens moeten beschermd worden door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near term protection' en 'long-term protection', zie https://www.keylength.com/ .

A.12.1.2 (1) Wijzigingsbeheer

De IT-beheerprocessen moeten aansluiten op het Zorgeloos Vastgoed Change- en releasebeleid.

A.12.1.2 (2) Wijzigingsbeheer

Niet-standaard wijzigingen op de IT componenten die gebruikt worden binnen de scope van Zorgeloos Vastgoed moeten op basis van het vier-ogen-principe worden uitgevoerd.

A.12.1.2 (3) Wijzigingsbeheer

Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op de informatiebeveiliging, moet de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze componenten opnieuw uitgevoerd worden.

A.12.1.3 Capaciteitsbeheer

Maatregelen moeten zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in de Aansluitovereenkomsten.

SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie

  • No labels