Normenkaderwijzer

Een strategie en visie op informatie- en cybersecurity is leidend voor alle activiteiten en maatregelen met betrekking tot informatie beveiliging.

De organisatie heeft een (informatie)beveiligingsbeleid vastgesteld, beschreven en gecommuniceerd met medewerkers. Indien van toepassing wordt het beleid ook actief mee gedeeld aan leveranciers en contractpartners.

Bedrijfsdoelstellingen, risico’s en compliance-eisen worden vertaald in een algemeen informatie- beveiligingsplan en/of cybersecurityplan, rekening houdend met de IT-infrastructuur en de veiligheidscultuur.

Er is een Enterprise Information Architecture Model (EIAM) opgesteld en toegepast om applicatieontwikkeling en beslissingsondersteunende activiteiten mogelijk te maken, conform informatie- of IT-plannen.

Onafhankelijke assurance (intern of extern) wordt verkregen om te bepalen in hoeverre de informatievoorziening (inclusief IT) voldoet aan relevante wet- en regelgeving, het beleid van de organisatie, de normen en procedures van de organisatie, algemeen aanvaarde werkwijzen en effectieve en efficiënte prestaties van IT.

Informatiebeveiliging wordt beheerst op alle toepasselijke organisatieniveaus en informatie- beveiligings- (of informatierisico) management wordt beheerst in overeenstemming met business requirements/risico’s. Eigenaarschap, rollen, verantwoordelijkheden en aansprakelijkheid zijn formeel toegewezen en ingebed in de organisatie.

Rollen en verantwoordelijkheden zijn gescheiden om de kans te verkleinen dat individuele personen kritieke processen in gevaar brengen. Het personeel voert alleen geautoriseerde taken uit die bij hun respectievelijke functies en rol horen.

Er is een raamwerk voor informatierisicomanagement opgesteld en afgestemd op de doelstellingen van de organisatie en het raamwerk voor organisatierisicomanagement. Het raamwerk voor informatierisicomanagement helpt bij het goed uitvoeren van analyses, het juist interpreteren van de risico’s en het opstellen van beheersmaatregelen.

Risicobeoordelingen worden uitgevoerd om actuele risicoprofielen met betrekking tot bedrijfsdoelstellingen te bepalen. De waarschijnlijkheid en impact van alle geïdentificeerde risico’s worden regelmatig beoordeeld, met behulp van kwalitatieve en kwantitatieve methoden. De waarschijnlijkheid en impact van inherente en restrisico’s worden bepaald per categorie, op portfoliobasis.

Beheersactiviteiten worden op alle niveaus geprioriteerd en gepland om de benodigde mitigerende maatregelen te implementeren, inclusief het bepalen van kosten en baten en de verantwoordelijkheid voor de uitvoering. Goedkeuring wordt verkregen voor aanbevolen acties en acceptatie van restrisico’s en er wordt voor gezorgd dat uitgevoerde acties onder verantwoordelijkheid van betrokken proceseigenaar(s) vallen. De uitvoering van plannen wordt bewaakt en eventuele afwijkingen worden gerapporteerd aan het bevoegd gezag.

Rekruteringsprocessen voor personeel worden onderhouden in overeenstemming met het algemene personeelsbeleid en de procedures van de organisatie (bijvoorbeeld werving, positieve werkomgeving, oriëntatie, enzovoorts). Processen worden geïmplementeerd om ervoor te zorgen dat de organisatie beschikt over geschikt (IT-)personeel, met de vaardigheden die nodig zijn om de organisatiedoelen te bereiken.

Opleiding, training en/of ervaring worden regelmatig getoetst om te zien of het personeel over de benodigde competenties beschikt om taken naar behoren te vervullen. Basis (IT-)competenties zijn vastgesteld en, indien nodig, worden kwalificatie- en certificeringsprogramma’s gebruikt om te controleren of ze worden bijgehouden.

Er is een opvolgingsplanning en een back-upplan voor vitale medewerkers en afdelingen. Om de continuïteit van de functie te waarborgen is het belangrijk dat de taken van sleutelfiguren kunnen worden overgenomen door anderen en dat snel gesignaleerd wordt als er problemen bij het behoud of de werving van vitale afdelingen ontstaan.

Wanneer er functiewijzigingen plaatsvinden, met name beëindiging van het dienstverband, wordt direct effectief actie ondernomen. Kennisoverdracht wordt geregeld, verantwoordelijkheden worden opnieuw toegewezen en toegangsrechten worden verwijderd, zodat risico’s worden geminimaliseerd en de continuïteit van de functie wordt gewaarborgd.

Overdracht van kennis en vaardigheden is geregeld, zodat eindgebruikers het systeem effectief en efficiënt kunnen gebruiken om bedrijfsprocessen te ondersteunen. Kennis en vaardigheden worden overgedragen zodat beheerders en technisch ondersteunend personeel het systeem en de bijbehorende infrastructuur op effectieve en efficiënte wijze kunnen leveren, ondersteunen en onderhouden.

Er is een bewustwordingsprogramma om gebruikers bewust te maken van hun verantwoordelijkheid om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie (middelen) te beschermen.

Er zijn configuratieprocedures vastgesteld om het beheer en loggen van alle wijzigingen in de configuratiedatabase te ondersteunen. Deze procedures zijn in overeenstemming met (en een voorwaarde voor) procedures voor change, incident en problem management.

Een supporttool en een centrale opslag zijn ingericht voor alle relevante informatie over configuratie- items. Alle middelen en wijzigingen aan deze middelen worden gemonitord en vastgelegd. Na wijzigingen wordt voor ieder systeem en elke dienst als benchmark een baseline van configuratie-items geïmplementeerd.

Een formeel incidentmanagementproces wordt gecommuniceerd en geïmplementeerd. Er zijn procedures ingesteld om ervoor te zorgen dat alle incidenten en storingen worden geregistreerd, geanalyseerd, gecategoriseerd en geprioriteerd naar impact. Alle incidenten worden bijgehouden en periodiek beoordeeld om ervoor te zorgen dat ze tijdig worden verholpen.

Er worden procedures voor incidentmanagement (of voor de Servicedesk) vastgesteld, zodat wanneer incidenten niet binnen de afgesproken termijn kunnen worden opgelost, serviceniveaus adequaat worden geëscaleerd en, indien nodig, wordt voorzien in een tijdelijke oplossing. Eigenaarschap van incidenten en levenscyclusmonitoring blijven de verantwoordelijkheid van de Servicedesk voor gebruikersincidenten, ongeacht welke IT-groep aan de oplossing werkt.

De organisatie beschikt over mogelijkheden voor incidentrespons om (cyber) beveiligingsincidenten snel te detecteren, te isoleren en de impact te beperken en om diensten op een betrouwbare manier te herstellen en weer in de lucht te brengen. Door een goede incidentrespons wordt schade door grote verstoringen van de infrastructuur, datalekken of informatiediefstal met financiële en/of imagoschade beperkt.

Een formeel problem managementproces is gedefinieerd en geïmplementeerd. Er zijn procedures ingesteld om oorzaken van (potentiële) incidenten en problemen (proactief en reactief) te identificeren en bekende fouten te beheersen totdat ze zijn opgelost. Structurele fouten in IT-services worden geminimaliseerd, zodat aantal en impact van mogelijke problemen wordt verminderd. Problem management draagt bij aan het verminderen van structurele fouten in IT-services, zowel in aantal als in impact ervan.

Procedures voor formeel change management zijn opgezet om alle aanvragen (inclusief onderhoud en patches) voor wijzigingen in applicaties, procedures, processen, systeem- en serviceparameters en de onderliggende platforms op een gestandaardiseerde manier te behandelen. Goede procedures rondom wijzigingen helpen bij het borgen van de continuïteit van de bedrijfsvoering, doordat het beoordelen, autoriseren, testen, implementeren, documenteren en vrijgeven van voorgestelde wijzigingen gestructureerd gebeurt.

Alle wijzigingsverzoeken worden op een gestructureerde manier beoordeeld om de impact te bepalen voor operationele systemen en functionaliteit. Alle wijzigingen zijn gecategoriseerd, geprioriteerd en geautoriseerd. Door het gestructureerd beoordelen van wijzigingsverzoeken wordt het risico op verstoring, verminking of verlies van (vertrouwelijke) data gereduceerd.

Wijzigingen tijdens een noodsituatie die onmiddellijke implementatie vereisen, worden op de juiste manier afgehandeld om minimale impact op systemen en IT-toepassingen te garanderen. De noodsituatiewijziging wordt na implementatie geregistreerd, geëvalueerd, getest en goedgekeurd door het senior management.

Er is een beveiligde testomgeving gedefinieerd en ingericht, die representatief is voor de geplande productieomgeving met betrekking tot beveiliging, interne controles, operationele procedures, gegevenskwaliteit, privacy vereisten en systeembelasting. Door middel van een representatieve testomgeving kunnen wijzigingen worden getest zonder dat het gevolgen heeft voor de productieomgeving én is duidelijk wat het effect van de wijziging in de productieomgeving is.

Voorafgaand aan migratie naar de operationele omgeving worden wijzigingen op onafhankelijke wijze getest in overeenstemming met het gedefinieerde testplan. Er wordt voor gezorgd dat het plan rekening houdt met beveiliging en prestaties. Met zorgvuldig testen kunnen fouten worden gevonden voordat de wijzigingen in de productieomgeving zijn doorgevoerd. Dit draagt bij aan het borgen van de continuïteit van de bedrijfsvoering en de betrouwbaarheid van de gegevensverwerking.

Na testen wordt het gewijzigde systeem op gecontroleerde wijze en volgens het implementatieplan overgezet naar productie. Goedkeuring wordt verkregen van belangrijke stakeholders, zoals gebruikers, systeemeigenaar en operationeel management. Waar nodig wordt het gewijzigde systeem enige tijd naast het oude systeem gebruikt en worden gedrag en resultaten vergeleken.

Er is een gestructureerde aanpak (levenscyclus voor veilige softwareontwikkeling) voor interne ontwikkeling en aanschaf van software geïmplementeerd, die ervoor zorgt dat potentiële risico’s voor bedrijfsvoering adequaat worden beoordeeld en beperkt, en dat de aspecten vertrouwelijkheid, integriteit en beschikbaarheid worden meegenomen. Voor elke nieuwe ontwikkeling of acquisitie is goedkeuring vereist door het juiste niveau van bedrijfs- en IT-management.

Medewerkers (ontwikkelaars) die betrokken zijn bij de ontwikkeling en implementatie van wijzigingen in applicaties en ondersteunende besturingssystemen en databases, hebben geen schrijftoegang tot de productieomgeving. Medewerkers (ontwikkelaars) die verantwoordelijk zijn voor het vrijgeven van de broncode voor productie hebben geen schrijftoegang tot de test of ontwikkelomgeving. Scheiding van taken tussen ontwikkelaars helpt bij het voorkomen van ongeoorloofde toegang tot of wijzigingen in programma’s en gegevens.

Het management beschikt over beheersmaatregelen om te zorgen dat de dataconversie accuraat en volledig is. Deze dataconversie-controles zijn opgesteld om de data-integriteit gedurende het conversieproces te behouden.

De organisatie beschikt over procedures en hulpmiddelen waarmee zij de verantwoordelijkheid voor het eigenaarschap van informatie en informatiesystemen kan adresseren. Eigenaren nemen beslissingen over het classificeren van informatie en (informatie)systemen en beschermen ze in overeenstemming met deze classificatie.

Stel een classificatieschema op dat in de hele organisatie van toepassing is, op basis van de kriticiteit en gevoeligheid (bijvoorbeeld openbaar, vertrouwelijk, topgeheim) van organisatiegegevens. Dit schema bevat details over het eigenaarschap van gegevens; gedefinieerde passende (informatie)beveiligingsniveaus en beschermingsmaatregelen; en een korte beschrijving van eisen voor het bewaren en vernietigen van gegevens, en gevoeligheid.

Beleid en procedures zijn vastgesteld en geïmplementeerd om (informatie)beveiligingseisen te identificeren en toe te passen op de ontvangst, verwerking, opslag en doorgifte van relevante gegevens in lijn met bedrijfsdoelstellingen, het (informatie)beveiligingsbeleid van de organisatie en wettelijke vereisten (bijvoorbeeld privacy van bepaalde gegevens).

Er zijn procedures gedefinieerd en geïmplementeerd voor het effectief en efficiënt opslaan, bewaren en archiveren van gegevens, zodat wordt voldaan aan organisatiedoelstellingen, het (informatie)beveiligingsbeleid van de organisatie en wettelijke vereisten. Procedures worden gedefinieerd en geïmplementeerd om te voldoen aan de organisatiedoelstellingen, het (informatie)beveiligingsbeleid van de organisatie en de wettelijke vereisten.

(Cyber)beleid en procedures zijn vastgesteld en geïmplementeerd, zodat aan bedrijfseisen voor de bescherming van gegevens en software wordt voldaan wanneer gegevens en software worden uitgewisseld binnen de organisatie of met een externe partij. Gevoelige transactiegegevens worden alleen uitgewisseld via een vertrouwd pad of medium waarbij (cyber)maatregelen zijn genomen om de authenticiteit van de inhoud, bewijs van versturen, bewijs van ontvangst en onweerlegbaarheid van de oorsprong aan te tonen.

Er zijn (cyber)procedures vastgesteld en geïmplementeerd om ervoor te zorgen dat aan business requirements voor het beschermen van (gevoelige) gegevens en software wordt voldaan bij het verwijderen of overdragen van gegevens of hardware.

De organisatie heeft toegangsgroepen (of rollen) gedefinieerd op basis van vastgestelde bedrijfsregels, waaronder functiescheiding, in een Autorisatiematrix. Er zijn procedures die tijdige initiatie en update in de autorisatiematrices voor alle toepassingen regelen. Het management keurt wijzigingen in vastgestelde rechten voor toegangsgroepen (of rollen) goed. Alle gebruikersactiviteiten zijn traceerbaar tot op het individu (bijvoorbeeld gebaseerd op een combinatie van gebruikersnaam en wachtwoord of token of biometrische informatie).

Toegangsrechten voor werknemers worden toegewezen in overeenstemming met toegewezen taakverantwoordelijkheden (bijvoorbeeld via op rollen gebaseerde toegang). Beheerprocedures zijn beschikbaar om activiteiten vast te stellen voor het aanvragen, uitgeven of sluiten van een account en de bijbehorende toegangsrechten voor gebruikers. De procedure omvat tevens de methode die door het bevoegd gezag wordt gebruikt om deze activiteiten op de juiste wijze te autoriseren. Toegang wordt verschaft op basis van het need-to-know/need-to--have-principe.

Het management heeft maatregelen ingevoerd die ervoor zorgen dat superusertoegang beperkt is tot de juiste (beperkte) groep individuen en dat activiteiten die worden uitgevoerd met superuseraccounts worden gemonitord. Superuseraccounts moeten worden goedgekeurd door het verantwoordelijk management.

Er is een noodprocedure vastgesteld om in geval van noodtoegang tot accounts met superuserrechten te beheren, die door de organisatie wordt gevolgd. Om tijdens een noodgeval adequaat te kunnen handelen is een noodprocedure nodig.

Het management beoordeelt periodiek de gebruikerstoegang die geïmplementeerd is voor de relevante applicaties (IST-situatie) om de juistheid van geïmplementeerde accounts en rollen (de toegangsrechten) te bevestigen, en valideert dat toegangsrechten passend zijn voor toegewezen taken, zoals bepaald door de toegangsregels (SOLL-situatie). Elke onjuiste toegang die tijdens het beoordelingsproces wordt opgemerkt, wordt direct ingetrokken. Deze controle houdt in dat SOLL- en IST-matrices worden vergeleken door het verantwoordelijke management.

IT security baselines en richtlijnen voor IT-infrastructuur zijn vastgesteld om het risico van ongeoorloofde toegang tot IT-middelen te beperken. Beveiligingsbaselines worden formeel vastgelegd, periodiek geactualiseerd en goedgekeurd door het bevoegd gezag. Verantwoordelijk IT-personeel wordt hiervan op de hoogte gesteld. Geïmplementeerde beveiligingsinstellingen voor IT-middelen worden periodiek beoordeeld op naleving van beveiligingsbaselines. Afwijkingen van de baselines zijn gedocumenteerd en goedgekeurd.

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op IT-systemen moeten uniek identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve ID’s in relevante applicaties om te bepalen of unieke user ID’s zijn geïmplementeerd om traceerbaarheid te garanderen en ervoor te zorgen dat algemene en systeemaccounts geblokkeerd of op andere wijze beschermd zijn.

Informatiebeveiliging wordt geborgd bij het gebruik van mobiele apparaten en telewerkfaciliteiten. Mobile device management, versleuteling en bescherming tegen malware zijn aanwezig om de risico’s te beperken.

Eisen voor logging zijn gedefinieerd op basis van monitoring- en rapportagebehoeften en geïmplementeerd in systemen, databases en netwerkcomponenten. Logs worden periodiek beoordeeld op indicaties van ongepaste of ongebruikelijke activiteiten en er worden adequate follow-up-acties gedefinieerd. Bewaartermijnen van logs en toegangsrechten zijn in lijn met de business requirements.

Implementatie van IT-beveiliging wordt proactief getest en bewaakt. IT-beveiliging moet regelmatig worden getoetst om ervoor te zorgen dat de door de organisatie goedgekeurde baseline voor informatiebeveiliging wordt gehandhaafd. Een log- en bewakingsfunctie maakt vroegtijdige preventie en/of detectie en daaropvolgende tijdige rapportage van ongebruikelijke en/of abnormale activiteiten die moeten worden aangepakt, mogelijk.

Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van CSIRT en/of leveranciers.

Er is een proces voor Threat en Vulnerability Management geïmplementeerd om bedreigingen te identificeren en kwetsbaarheden, die kunnen leiden tot een verslechtering van de prestaties van of een aan val op bedrijfsmiddelen, tijdig te detecteren en te verhelpen. Het aantal aanvalsvectoren wordt ook beschouwd, waardoor de algehele blootstelling wordt verminderd.

Interne beheers-, beveiligings- en auditmaatregelen worden geïmplementeerd tijdens configuratie, integratie en onderhoud van hardware en infrastructuursoftware om middelen te beschermen en beschikbaarheid en integriteit te waarborgen. Verantwoordelijkheden voor het gebruik van gevoelige infrastructuurcomponenten zijn duidelijk gedefinieerd en bekend bij degenen die infrastructuurcomponenten ontwikkelen en integreren. Het gebruik ervan wordt gecontroleerd en geëvalueerd. Door de IT-infrastructuur te beveiligen wordt de beschikbaarheid en integriteit gewaarborgd.

Interne beheers-, beveiligings- en auditmaatregelen worden geïmplementeerd tijdens configuratie, integratie en onderhoud van hardware en infrastructuursoftware om middelen te beschermen en beschikbaarheid en integriteit te waarborgen. Verantwoordelijkheden voor het gebruik van gevoelige infrastructuurcomponenten zijn duidelijk gedefinieerd en bekend bij degenen die infrastructuurcomponenten ontwikkelen en integreren. Het gebruik ervan wordt gecontroleerd en geëvalueerd. Door de IT-infrastructuur te beveiligen wordt de beschikbaarheid en integriteit gewaarborgd.

Er zijn beleid en procedures voor het genereren, veranderen, intrekken, vernietigen, verspreiden, certificeren, opslag, invoer, gebruik en archivering van cryptografische sleutels om sleutels te beschermen tegen aanpassing en ongeautoriseerde toegang.

Beveiligingstechnieken en bijbehorende beheerprocedures (zoals firewalls, beveiligingsapparatuur, netwerksegmentatie en inbraakdetectie) worden gebruikt voor het autoriseren van toegangs- en besturingsinformatiestromen van en naar netwerken. Er wordt gebruikgemaakt van best practices op dit gebied (bijvoorbeeld NCSC, ISO/IEC, ITSec).

Preventie-, detectie- en correctiemaatregelen zijn aanwezig (met name actuele beveiligingspatches en virusscanning) in de hele organisatie om informatiesystemen en technologie te beschermen tegen malware (bijvoorbeeld virussen, wormen, spyware, spam).

Technologie gerelateerd aan beveiliging is bestand gemaakt tegen manipulatie en beveiligingsdocumentatie wordt niet onnodig openbaar gemaakt.

Voor specifieke (kantoor)ruimten waarin gevoelige informatie aanwezig is, of IT-componenten staan, heeft de organisatie fysieke beveiligingsmaatregelen vastgesteld en geïmplementeerd in overeenstemming met de organisatie-eisen, zodat de toegang tot informatiesystemen op passende wijze wordt beperkt en die er tevens voor zorgen dat risico’s met betrekking tot diefstal, temperatuur, brand, rook, water, trillingen, terreur, vandalisme, stroomuitval, chemicaliën of explosieven effectief worden voorkomen, gedetecteerd en beperkt.

Procedures worden vastgesteld en gevolgd om toegang tot IT-kritieke ruimtes of datacenters (zoals locaties, gebouwen en ruimten) toe te staan, te beperken en in te trekken, afhankelijk van organisatiebehoeften, inclusief noodtoegang. Adequate beveiligingsmaatregelen (zoals slot op deur, toegangssysteem met kaartsleutel, cijferslot, et cetera) worden gebruikt om fysieke toegang tot computerfaciliteiten waarin zich belangrijke applicaties bevinden te beperken.

De organisatie heeft procedures voor geautomatiseerde job scheduling. Taakactiviteiten worden gecontroleerd en omvatten: Het gebruik van interfaces tussen relevante systemen om te bevestigen dat de datatransmissies volledig, nauwkeurig en geldig zijn. De resultaten van de back-ups om de succesvolle uitvoering te bevestigen.

De organisatie heeft een strategie geïmplementeerd voor het maken van back-ups van relevante data en programma’s. Back-up en herstelprocedures zijn formeel gedefinieerd en geïmplementeerd voor alle daarvoor aangewezen systemen. Het back-upschema en de retentieperiode zijn in lijn met de door de organisatie geaccepteerde risico’s voor dataverlies gebaseerd op de gevoeligheid van het systeem en de kosten voor handmatig herstel. Herstelprocedures worden periodiek getest en gedocumenteerd.

De organisatie heeft procedures geïmplementeerd om ervoor te zorgen dat de prestaties en capaciteit van IT-services en de IT-infrastructuur de overeengekomen servicedoelstellingen op een kosteneffectieve en tijdige manier kunnen realiseren. Capacity and performance management houdt rekening met alle middelen die nodig zijn om de IT-service te leveren en met plannen voor korte, middellange en lange termijn business requirements, inclusief het voorspellen van toekomstige behoeften op basis van eisen voor werkbelasting, opslag en onvoorziene gebeurtenissen.

Business- en IT-continuïteitsplannen worden ontwikkeld op basis van het framework en zijn ontworpen om de impact van een grote verstoring op de belangrijkste bedrijfsfuncties en bedrijfsprocessen te verminderen. De plannen zijn gebaseerd op risicogericht inzicht in potentiële bedrijfsimpact en houden rekening met vereisten betreffende veerkracht, alternatieve verwerkings- en herstelmogelijkheden in alle kritieke IT-services. De plannen omvatten ook gebruiksrichtlijnen, rollen en verantwoordelijkheden, procedures, Communicatieprocessen en de testmethode.

Bedrijfs- en IT-continuïteitsplannen worden regelmatig getest om ervoor te zorgen dat essentiële systemen en diensten effectief kunnen worden hersteld, dat tekortkomingen worden aangepakt en dat het plan relevant blijft. Dit vereist een zorgvuldige voorbereiding, documentatie, rapportage de resultaten, de implementatie van een actieplan. De mate van testherstel in afzonderlijke applicaties varieert van geïntegreerde testscenario’s tot end-to-end- tests en geïntegreerde leverancierstests. Door het testen van bedrijfs- en IT-continuïteitsplannen komen tekortkomingen aan het licht en kunnen vervolgens de plannen worden verbeterd.

Alle kritieke back-upmedia, documentatie en andere IT-resources die nodig zijn in het kader van IT-herstel- en bedrijfscontinuïteitsplannen worden offsite opgeslagen. De inhoud van back-upopslag wordt bepaald in samenspraak met de eigenaren van bedrijfsprocessen en IT-personeel. Het beheer op de externe opslagfaciliteit werkt op basis van het beleid voor dataclassificatie en de gebruikelijk manier van mediaopslag van de organisatie. IT-management zorgt ervoor dat offsite-arrangementen periodiek, ten minste jaarlijks, worden beoordeeld op inhoud, bescherming tegen omgevingsfactoren en beveiliging. De compatibiliteit van hardware en software voor het herstellen van gearchiveerde gegevens is gewaarborgd en gearchiveerde gegevens worden periodiek getest en ververst.

Gegevensreplicatie is opgezet tussen de productiefaciliteit van de organisatie en de disaster-recoveryfaciliteit, zodat kritieke financiële en operationele gegevens op korte termijn beschikbaar zijn. Replicatiestatus wordt bewaakt als onderdeel van het bewakingsproces voor systeemtaken. Als datareplicatie goed is geconfigureerd zullen tijdens een incident gegevens tijdig beschikbaar zijn.

De organisatie heeft crisismanagement ingericht om snel, grondig en gecoördineerd op incidenten te reageren, de gevolgen te verminderen en de dienstverlening binnen een redelijke tijd te herstellen.

IT-services die aan de organisatie worden geleverd, worden gedefinieerd in het contract en bijhorende SLA. Er zijn maatregelen genomen om ervoor te zorgen dat diensten voldoen aan de huidige en toekomstige behoeften van de organisatie.

Business requirements en de manier waarop IT-services en serviceniveaus bedrijfsprocessen ondersteunen, worden periodiek geanalyseerd. Services en serviceniveaus worden besproken en overeengekomen met de organisatie en vergeleken met het huidige serviceportfolio om nieuwe of gewijzigde services of serviceniveau-opties te identificeren.

Risico’s met betrekking tot het vermogen van leveranciers om effectieve dienstverlening op een veilige en efficiënte manier voort te zetten worden voortdurend geïdentificeerd en beperkt. Contracten voldoen aan universele zakelijke standaarden in overeenstemming met wet- en regelgeving. Risicomanagement neemt aspecten als niet-openbaarmakingsovereenkomsten (non-disclosure agreements/NDA’s), escrow-contracten, voortdurende levensvatbaarheid van de leverancier, conformiteit met beveiligingseisen, alternatieve leveranciers, boetes en beloningen enzovoorts in overweging.

De status van de interne beheersmaatregelen van externe dienstverleners wordt beoordeeld. Er zijn procedures om te zorgen dat externe dienstverleners voldoen aan wet- en regelgeving en contractuele verplichtingen.