Beveiligingsbeheerprocessen
Naast de in het Normenkader Informatiebeveiliging specifieker benoemde normen wordt van Aangeslotenen verwacht dat ze de volgende beveiligingsbeheerprocessen voldoende hebben ingericht:
Servicemanagement: Het servicemanagementbeleid formuleert richtlijnen voor beheerprocessen, controle-activiteiten en rapportages ten behoeve van het beheer van ICT-diensten.
Compliancemanagement: De inrichting en de beveiliging van het informatiesysteem wordt procesmatig en procedureel gecontroleerd (compliancy checks).
Vulnerability assessments: Vulnerability assessments (security scans) worden procesmatig en procedureel uitgevoerd door Aangeslotenen. (Zie ook norm A.12.6.1 Beheer van technische kwetsbaarheden.)
Penetratietesten: Penetratietesten worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd door Aangeslotenen. (Zie ook norm A.18.2.3 Beoordeling van technische naleving.)
Wijzigingenbeheer: Wijzigingenbeheer wordt procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in het ecosysteem tijdig, geautoriseerd en getest worden doorgevoerd. (Zie ook het Change- en Releasebeleid en normen A.12.1.2 (1) Wijzigingsbeheer, A.12.1.2 (2) Wijzigingsbeheer en A.12.1.2 (3) Wijzigingsbeheer.)
Patchmanagement: Patchmanagement wordt procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings-)patches tijdig zijn geïnstalleerd in het ecosysteem. (Zie ook norm A.12.6.1 Beheer van technische kwetsbaarheden.)
Incidenten- en calamiteitenproces: Het incidenten- en calamiteitenproces is ingericht om incidenten en calamiteiten binnen bij het afsprakenstelsel aangesloten partijen op gestructureerde wijze af te handelen. Daarbij dient de dienstverlening zo min mogelijk te worden verstoord. Aangeslotenen en Stelselbeheerder zijn verplicht elkaar te informeren over alle incidenten en calamiteiten die de operationele werking van het netwerk beïnvloeden en hebben allen één persoon binnen de eigen organisatie aangewezen als eindverantwoordelijke en centraal contactpersoon voor informatiebeveiligingsincidenten en -calamiteiten. (Zie ook de Aansluitovereenkomsten en norm A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging.)
Beschikbaarheidsbeheer: Beschikbaarheidsbeheer is procesmatig ingericht, zodat bij calamiteiten systemen binnen de gestelde termijn wordt hersteld en voortgezet. (Zie ook norm A.12.3.1 Back-up van informatie.)
Configuratiebeheer: Het configuratiebeheer is procesmatig ingericht en zorgt ervoor dat slechts operationele informatiesystemen in gebruik zijn.