Informatieclassificatieraamwerk - Vlaamse overheid
Zie volgende link voor de termen en definities omschreven in het Informatieclassificatieraamwerk (ICR) van de Vlaamse overheid.
Termen en definities - Informatieclassificatieraamwerk (ICR)
Enterprise Architectuur - Digitaal Vlaanderen
Zie volgende link voor meer IT-generieke afkortingen en verklarende woordenlijst.
Afkortingenlijst / Verklarende woordenlijst - Enterprise Architectuur
ISMS - Digitaal Vlaanderen
Specifieke termen of bijkomende verklaringen van bestaande termen die van toepassing zijn op het ISMS van Digitaal Vlaanderen worden hieronder toegelicht.
Om vlot te navigeren binnen deze woordenlijst kunt u gebruik maken van onderstaande letters.
Table of Contents | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Term
Voluit
Verklaring
Bron
4EYES Validatie
4-ogen principe
4EYES validatie houdt in dat een bepaalde activiteit (beslissing, transactie, etc.) door ten minste twee personen moet goedgekeurd worden.
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
AAA | Authentication, Authorization, Accounting | Afkorting voor Authenticatie, Authorisatie, Administratie. | |||||||
aanval | proberen een asset te vernietigen, bloot te leggen, te wijzigen, onbruikbaar te maken, te stelen of ongeautoriseerde toegang te verkrijgen tot of ongeautoriseerd gebruik te maken van een asset | ISO 27000:2018 | |||||||
Aanvullende Maatregelen (ICR) | Aanvullende maatregelen zijn niet afdwingbare maatregelen die worden toegepast na risicoanalyse. Hierbij reduceert, verplaatst of aanvaardt men de rest risico’s die worden geïdentificeerd na toepassing van de algemene en specifieke minimale maatregelen. | Vo-ICR | |||||||
Acceptatie | Bij acceptatie worden geen (additionele) maatregelen genomen om een geïdentificeerd risico te behandelen, management aanvaardt de kans en mogelijke gevolgen van een bedreiging. | Vo-ICR | |||||||
Acceptatietest | Een acceptatietest wordt uitgevoerd door zowel gebruikers (gebruiksacceptatie) als de beheerders (productie-acceptatietest). De acceptatietest maakt deel uit van het geheel aan testen die in het kader van een wijziging plaatsvinden. | Vo-ICR | |||||||
Account | Een account is een technische vertegenwoordiging van een fysieke of een virtuele identiteit. Een account laat een individu (fysieke identiteit) of toepassing (virtuele identiteit) toe zich te authenticeren in een al dan niet geautomatiseerd proces. We maken dus een onderscheid tussen; Een account dat een fysieke identiteit/persoon Een account dat een geautomatiseerd proces (batch), een applicatie of een systeem … toelaat zich te identificeren in een proces. | ISMS Digitaal Vlaanderen | |||||||
afgeleide maatregel | actie om de oorzaak van een non-conformiteit (3.47) weg te nemen en herhaling te voorkomen’ maatregel (3.42) die is gedefinieerd als een functie van twee of meer waarden van basismetingen (3.8) [BRON: ISO/IEC/IEEE 15939:2017, 3.8, aangepast - Opmerking 1 bij het item is verwijderd.] | ISO 27000:2018 | |||||||
Algemene Minimale Maatregelen (ICR) | Algemene minimale maatregelen zijn maatregelen die worden afgedwongen op basis van generieke informatieverwerkingscriteria. | Vo-ICR | |||||||
Alleen lezen toegang | datamodus die overeenkomt met een transponder waarvan de data-inhoud vóór gebruik wordt gecodeerd en die niet kan worden gewijzigd door de lezer/ondervrager | ISO 21007:2005 | |||||||
Antimalware | Antimalware is een verzamelnaam voor programma’s die computersystemen kunnen beschermen tegen malware. | Vo-ICR | |||||||
Antivirus | programma dat is ontworpen om virussen te detecteren en mogelijk corrigerende maatregelen voor te stellen of te ondernemen | ISO/IEC 2382:2015 | |||||||
Applicatie log | Verzamelt gebeurtenissen van een toepassing zoals berichten, uitzonderingen en fouten. | Vo-ICR | |||||||
Application Server | Een application server is infrastructurele software die tot doel heeft applicatiecomponenten te herbergen en allerlei services aan die applicatiecomponenten aan te bieden. | Vo-ICR | |||||||
Architectuur (organisatie) | reeks principes waarop de logische structuur en onderlinge relaties met een organisatie en bedrijfscontext zijn gebaseerd | ISO/TR 18307:2001 | |||||||
Architectuur (systeem / applicaties) | fundamentele concepten of eigenschappen van een systeem (3.1.2.1) in zijn omgeving (3.1.3.11) belichaamd in zijn elementen (3.1.3.10), relaties (3.1.6.8) en in de principes van zijn ontwerp en evolutie | ISO/IEC/IEEE 42010:2011, 3.2 | |||||||
Asset | Een asset is elk middel nodig om een ICT-dienstverlening te kunnen leveren. Deze omvatten fysieke componenten zoals hardware, software, maar ook niet-fysieke componenten zoals informatie (data) en kennis (mensen). Assets worden geïnventariseerd in een asset database. Zie ook bedrijfsmiddel | Vo-ICR | |||||||
Asset database | Een asset database is een gegevensbank waar assets in worden geïnventariseerd. | Vo-ICR | |||||||
Asset en configuratie beheer | Het proces dat verantwoordelijk is om te garanderen dat de bedrijfsmiddelen, die nodig zijn om ICT-diensten te leveren op een adequate wijze worden beheerd, en dat accurate en betrouwbare informatie over die bedrijfsmiddelen beschikbaar is, wanneer en waar dat nodig is. Die informatie omvat details over hoe de bedrijfsmiddelen zijn samengesteld en details over relaties tussen bedrijfsmiddelen. | Vo-ICR | |||||||
Asymmetrische encryptie | Bij asymmetrische encryptie wordt een wiskundig algoritme gebruikt dat werkt op basis van een sleutelpaar: een publieke (of openbare) sleutel en een private sleutel. Er worden dus verschillende cryptografische sleutels gebruikt voor encrypteren en decrypteren. | Vo-ICR | |||||||
Attribuut | Een attribuut beschrijft de karakteristieken van een configuratie-item. | Vo-ICR | |||||||
Audit | "systematisch, onafhankelijk en gedocumenteerd proces (3.54) voor het verkrijgen van auditinformatie en het objectief evalueren ervan om te bepalen in welke mate aan de auditcriteria wordt voldaan Opmerking 1 bij de term: Een audit kan een interne audit (eerste partij) of een externe audit (tweede partij of derde partij) zijn, en het kan een gecombineerde audit zijn (waarbij twee of meer disciplines worden gecombineerd). Noot 2 bij de term: Een interne audit wordt uitgevoerd door de organisatie zelf, of namens haar door een externe partij. Opmerking 3 bij de term: ""Auditbewijs"" en ""auditcriteria"" zijn gedefinieerd in ISO 19011." | ISO 27000:2018 | |||||||
Audit log | Een audit log bestaat uit systeem informatie gebruikt om systeem- en gebruikersactiviteiten op te sporen en te koppelen aan gebeurtenissen (events). | Vo-ICR | |||||||
Audit record | Een audit record is een voor de veiligheid relevant chronologisch document, dat documentair bewijs levert van de opeenvolging van activiteiten die op een bepaald moment een specifieke operatie, procedure of gebeurtenis hebben beïnvloed. | Vo-ICR | |||||||
Audit Trail | Een audit trail of controlespoor stelt een onderneming of toezichthouder in staat om transacties administratief te volgen en te controleren. | Vo-ICR | |||||||
Authenticatie | het verschaffen van zekerheid dat een geclaimd kenmerk van een entiteit juist is | ISO 27000:2018 | |||||||
Authenticiteit | eigenschap dat een entiteit is wat zij beweert te zijn | ISO 27000:2018 | |||||||
Availability (CIA) | In het kader van informatiebeveiliging betekent availability (beschikbaarheid) dat informatie toegankelijk moet zijn voor geautoriseerde gebruikers en systemen. Zie ook beschikbaarheid | Vo-ICR | |||||||
AVG | Algemene Verordening Gegevensbescherming | De algemene verordening gegevensbescherming is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele EU standaardiseert. Zie ook GDPR | Vo-ICR | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
Back-up | betekent het maken van een duplicaat van een bestand, programma, enz. als beveiliging tegen verlies of corruptie van het origineel | ISO 21745:2019 | |||||||
basismaatregel | "Opmerking 1 bij de term: Een basismaatregel is functioneel onafhankelijk van andere maatregelen. [BRON: ISO/IEC/IEEE 15939:2017, 3.3, aangepast - Opmerking 2 bij het item is verwijderd.]" | ISO 27000:2018 | |||||||
Bedreiging | mogelijke oorzaak van een ongewenst incident, dat tot schade aan een systeem of organisatie kan leiden (3.50) | ISO 27000:2018 | |||||||
Bedrijfsmiddel | Zie asset | Vo-ICR | |||||||
Beheer serviceaanvragen voor toegang | Het proces dat zorgt voor verlenen en onderhouden van toegang aan gebruikers, waaronder de toewijzing van rollen aan gebruikers in functie van hun taken en verantwoordelijkheden. | Vo-ICR | |||||||
beheer van informatiebeveiliging | systeem waarmee de (3.50) informatiebeveiligingsactiviteiten (3.28) van een organisatie worden aangestuurd en gecontroleerd | ISO 27000:2018 | |||||||
beheer van informatiebeveiligingsincidenten | reeks processen (3.54) voor het detecteren, rapporteren, beoordelen, reageren op, omgaan met en leren van informatiebeveiligingsincidenten (3.31) | ISO 27000:2018 | |||||||
beheersysteem | "reeks onderling verbonden of op elkaar inwerkende elementen van een organisatie (3.50 om beleid vast te stellen (3.53) en doelstellingen (3.49) en processen (3.54) om die doelstellingen te bereiken Noot 1 bij de term: Een managementsysteem kan zich richten op één discipline of op meerdere disciplines. Opmerking 2 bij de term: De systeemelementen omvatten de structuur van de organisatie, rollen en verantwoordelijkheden, planning en werking. Opmerking 3 bij de term: De reikwijdte van een managementsysteem kan de hele organisatie omvatten, specifieke en geïdentificeerde functies van de organisatie, specifieke en geïdentificeerde delen van de organisatie, of een of meer functies binnen een groep organisaties. | ISO 27000:2018 | |||||||
Beheerszone (ICR) | De beheerszone is de zone voor het beheer van netwerk- en andere gekoppelde apparatuur. | Vo-ICR | |||||||
belanghebbenden | persoon of organisatie (3.3) die een beslissing of activiteit kan beïnvloeden, erdoor beïnvloed kan worden, of de indruk heeft dat hij erdoor beïnvloed wordt | ISO/TS 37008:2023 | |||||||
beleid | intenties en richting van een organisatie (3,50), zoals formeel uitgedrukt door het topmanagement (3,75) | ISO 27000:2018 | |||||||
beoordeling | "activiteit ondernomen om de geschiktheid, geschiktheid en effectiviteit (3.20) van het onderwerp te bepalen om vastgestelde doelstellingen te bereiken (3.49) [BRON: ISO Guide 73:2009, 3.8.2.2, aangepast - Opmerking 1 bij de term is verwijderd.]" | ISO 27000:2018 | |||||||
beoordelingsobject | specifiek item dat wordt beoordeeld | ISO 27000:2018 | |||||||
bescherming van persoonsgegevens | Implementatie van de AVG verordening (Zie AVG) | ||||||||
beschikbaarheid | eigenschap dat het op verzoek toegankelijk en bruikbaar is door een geautoriseerde entiteit | ISO 27000:2018 | |||||||
Beschikbaarheid (CIA) | Zie availability | Vo-ICR | |||||||
besmetting (malware) | Een actief virus of andere vormen van malware, exploit (zie malware) | ||||||||
Bestaan (Audit) | TODO | ||||||||
bestuursorgaan | "persoon of groep mensen die verantwoordelijk zijn voor de prestaties (3.52) en conformiteit van de organisatie (3.50) Opmerking 1 bij de term: Het bestuursorgaan kan in sommige rechtsgebieden een raad van bestuur zijn." | ISO 27000:2018 | |||||||
betrouwbaarheid | eigenschap van consistent beoogd gedrag en resultaten | ISO 27000:2018 | |||||||
beveiligingseis | eisen die een direct effect hebben op de veilige werking van een systeem of die conformiteit met een gespecificeerd beveiligingsbeleid afdwingen | ISO/IEC 21827:2008 | |||||||
Beveiligingsupdate | Een beveiligingsupdate of patch wordt uitgevoerd om fouten op te lossen of updates uit te voeren. | Vo-ICR | |||||||
bevoorrechte toegang (privileged access) | In een technologische omgeving verwijst geprivilegieerde toegang naar accounts met meer mogelijkheden dan reguliere gebruikers. In een Linux-omgeving kan de rootgebruiker bijvoorbeeld gebruikers toevoegen, wijzigen of verwijderen; software installeren en verwijderen en toegang krijgen tot beperkte delen van besturingssystemen die niet toegankelijk zijn voor een standaardgebruiker. | ||||||||
bewaartermijn (data) | tijdsduur gedurende welke gegevens (3.24) op een gegevensdrager (3.46) moeten worden bewaard | ISO/IEC 15944-9:2023 | |||||||
bewijsmateriaal | direct meetbare kenmerken van een proces en/of product die een objectief, aantoonbaar bewijs vormen dat een specifieke activiteit aan een gespecificeerde eis voldoet. | ISO/IEC 21827:2008 | |||||||
Big bang optie | Er zijn verschillende opties waarop de uitrol in de productie zal worden uitgevoerd: Big bang optie, gefaseerde aanpak of Pull optie. De big bang optie is de nieuwe of gewijzigde functionaliteit die wordt uitgerold naar alle betrokken gebruikers tegelijk in één enkele operatie. | Vo-ICR | |||||||
Broncode | computerinstructies en gegevensdefinities, uitgedrukt in een vorm die geschikt is voor invoer in een assembler, compiler of andere vertaler | ISO/IEC/IEEE 24765:2017 | |||||||
Business Rules | Business rules zijn vooraf gedefinieerde criteria en regels waarmee gebeurtenissen worden vergeleken om correlatie mogelijk te maken. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
CA | Certificate Authority | Een certificaatautoriteit of certificate authority is in de cryptografie een entiteit die digitale certificaten verleent aan de andere partijen. | Vo-ICR | ||||||
CAB | Change Advisory Board | Een groep mensen die het beoordelen, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een wijzigingsadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de IT-serviceprovider, het bedrijf en derden (zoals leveranciers). | Vo-ICR | ||||||
Capaciteit | Beschikbare hoeveelheid systemen, infrastructuur, bandbreedte of enig ander bedrijfsmiddel van de organisatie. | ||||||||
Computer Emergency Response Team | Het http://CERT.be is de operationele dienst van het CCB België. http://CERT.be heeft als opdracht het online opsporen, observeren en analyseren van veiligheidsproblemen en de verschillende doelgroepen hierover informeren. | Vo-ICR | |||||||
certificaat autoriteit | autoriteit die bevoegdheden toekent door attribuutcertificaten uit te geven | ETSI TR 119 001:1.2.1 | |||||||
certificaatbeheer | proces dat de volledige levenscyclus bestrijkt, van de initialisatiefase tot de uitgiftefase en de annuleringsfase | ISO/IEC 27099:2022 | |||||||
CIA | Confidentiality, Integrity, Availability | Ook bekend als BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid) | Vo-ICR | ||||||
CISO | Chief Information Security Officer | De centrale security officer van een organisatie. | Vo-ICR | ||||||
classificatie (ICR) | |||||||||
Clientauthenticatie | Clientauthenticatie wordt gebruikt om de identiteit van de client (bv. laptop, desktop, een andere server) te verifiëren wanneer die contact zoekt met een server. Dit gebeurt meestal aan de hand van een clientcertificaat. | Vo-ICR | |||||||
Clouddienst | een of meer mogelijkheden die worden aangeboden via cloud computing en worden aangeroepen met behulp van een gedefinieerde interface | ISO/IEC 22123-1:2021 | |||||||
CMDB | Configuration Management Database | De Configuratie Database is een database die wordt gebruikt door een organisatie om informatie op te slaan over hardware en software assets. | Vo-ICR | ||||||
CMS | Configuration Management System (Configuratie beheersysteem) | CMS is een opslagruimte bestaande uit databanken, bestanden enz. gebruikt om de configuratieregistraties op te slaan, te analyseren en bij te werken tijdens hun levenscyclus. Een CMS slaat attributen van configuratie-items op, evenals hun relaties met andere configuratieitems. CMS is de opvolger van CMDB. | Vo-ICR | ||||||
COBIT | COBIT (Control Objectives for Information and Related Technologies) is een raamwerk gecreëerd door ISACA voor informatietechnologie (IT) management en IT-governance. | ||||||||
command-and-control server | systeem dat effectief noodsituatiebeheer van alle beschikbare middelen ondersteunt in een voorbereidings-, incidentrespons-, continuïteits- en/of herstel-) proces | ||||||||
competentie | vermogen om kennis en vaardigheden toe te passen om de beoogde resultaten te bereiken | ISO 27000:2018 | |||||||
Confidentiality (CIA) | In het kader van informatiebeveiliging betekent confidentiality (vertrouwelijkheid) dat informatie alleen mag benaderd en verwerkt worden indien geautoriseerd door de eigenaar van die informatie. Zie ook Vertrouwelijkheid | Vo-ICR | |||||||
Configuratie-item | Een configuratie-item is elke component of ander bedrijfsmiddel dat beheerd moet worden voor de levering van een ICT-dienst en waarvoor verschillende eigenschappen moeten worden bijgehouden. | Vo-ICR | |||||||
configuratieprofiel | Specificatie van de configuratie voor een systeem voor een bepaalde doeleinde | ||||||||
content delivery netwerk (CDN) | Content Delivery Network | Centrale bron van informatie gebruikt voor het ophalen van software die veel word gebruikt door (Web Applicaties) | |||||||
continue verbetering | terugkerende activiteit om de prestaties te verbeteren (3,52) | ISO 27000:2018 | |||||||
continuiteit | vermogen van de organisatie om de levering van producten of diensten op een aanvaardbaar, vooraf gedefinieerd niveau voort te zetten na een disruptief incident | ISO/IEC 22301:2012 | |||||||
Continuïteit van informatiebeveiliging | processen (3.54) en procedures voor het waarborgen van voortdurende informatiebeveiligingsactiviteiten (3.28). | ISO 27000:2018 | |||||||
controle | "maatstaf die het risico wijzigt (3.61) Opmerking 1 bij de term: Controles omvatten elk proces (3.54), beleid (3.53), apparaat, praktijk of andere acties die het risico wijzigen (3.61). Opmerking 2 bij de term: Het is mogelijk dat controles niet altijd het beoogde of veronderstelde wijzigende effect uitoefenen. [BRON: ISO Guide 73:2009, 3.8.1.1 - Opmerking 2 bij de term is gewijzigd.]" | ISO 27000:2018 | |||||||
controle doelstelling | verklaring waarin wordt beschreven wat er moet worden bereikt als resultaat van de implementatie van controles | ISO 27000:2018 | |||||||
Controlemaatregel | Middelen voor het managen van een bedreiging. Meestal wordt een control ingezet als technische of organisatorische beveiligingsmaatregel. | Vo-ICR | |||||||
correctie | actie om een gedetecteerde non-conformiteit te elimineren (3.47) | ISO 27000:2018 | |||||||
Correlation Engine | Correlatie wordt meestal uitgevoerd door een correlation engine die vaak deel uitmaakt van een event management tool. | Vo-ICR | |||||||
corrigerende actie | actie om de oorzaak van een afwijking (3.47) weg te nemen en herhaling te voorkomen | ISO 27000:2018 | |||||||
CPU | Central Processing Unit | Centrale verwerkingseenheid | ISO/IEC 19678:2015 | ||||||
crisis | gebeurtenis of situatie die de organisatie of de door haar geleverde diensten beïnvloedt of waarschijnlijk zal beïnvloeden en waarvoor meer dan de gebruikelijke middelen en/of organisatiestructuren nodig zijn om hiermee om te gaan | ISO 24527:2020(en) | |||||||
CRL | Certificate Revocation List | Een CRL is een lijst van digitale identiteitscertificaten die vervallen of ongeldig zijn. | Vo-ICR | ||||||
Cryptografie | Cryptografie is de wetenschappelijke discipline om aan de hand van wiskundige technieken informatie te beveiligen. | Vo-ICR | |||||||
CSP | Certificate Service Provider | De CSP beheert de (public key infrastructure) PKI-omgeving en garandeert de echtheid en de oorsprong van de certificaten. Een CSP moet zelf ook aan kwaliteitseisen voldoen. | Vo-ICR | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
(Digitaal) Certificaat | Een (digitaal) certificaat kan worden vergeleken met een paspoort of een identiteitskaart. Het wordt gebruikt als officiële legitimatie, om aan te tonen dat je bent wie je zegt dat je bent. | Vo-ICR | |||||||
DAR | Data at rest | Data at rest zijn inactieve gegevens die fysiek worden opgeslagen in elke digitale vorm. | Vo-ICR | ||||||
database | verzameling van machinaal leesbare informatie (3.1.1.16), zo georganiseerd dat deze gemakkelijk toegankelijk is (3.11.1.01), beheerd en bijgewerkt | ISO 5127:2017 | |||||||
datalek | inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot beschermde gegevens die worden verzonden, opgeslagen of anderszins verwerkt | ISO/IEC 27040:2015 | |||||||
Datazone (ICR) | De datazone bevat alle ICT-apparatuur nodig voor gebruikerstoepassingen. | Vo-ICR | |||||||
decryptie | omkering van de overeenkomstige encryptie | ISO/IEC 11770-1:1996 | |||||||
Deployment | Deployment is de uitrol van een release pakket in de productie omgeving. | Vo-ICR | |||||||
Detectie | Detectie is het detecteren van de (potentiële) schade zou een bedreiging optreden. | Vo-ICR | |||||||
Detectie Maatregelen | Detectie maatregelen zijn maatregelen die ervoor zorgen dat een dreiging en het gevolg ervan tijdig ontdekt wordt. | Vo-ICR | |||||||
digitaal bewijsmateriaal | informatie of gegevens die in binaire vorm zijn opgeslagen of verzonden en waarop als bewijs kan worden vertrouwd | ISO/IEC 27037:2012 | |||||||
Digitale handtekening | Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie. | Vo-ICR | |||||||
Digitale sleutel | De sleutel is bij encryptie de set van gegevens die zijn gebruikt om een boodschap te versleutelen, en/of de set van gegevens die nodig zijn om een versleutelde boodschap te ontcijferen. | Vo-ICR | |||||||
DIM | Data in motion | Data in motion wordt gezien als informatie dat over het internet en binnen de grenzen van een particulier netwerk stromen. | Vo-ICR | ||||||
DIU | Data in use | Data in use zijn actieve gegevens die zijn opgeslagen in een nietpermanente digitale staat, gewoonlijk in het RAM (random access memory, dit is het computergeheugen met willekeurige toegang), in (het tijdelijk geheugen van de centrale verwerkingseenheid of central processing unit) CPU-caches of in CPU-registers. | Vo-ICR | ||||||
DMZ | Demilitarized Zone | Deze zone vormt een buffer tussen de organisatie en de buitenwereld. | Vo-ICR | ||||||
DNS | hiërarchisch, gedistribueerd mondiaal naamgevingssysteem dat wordt gebruikt om entiteiten te identificeren die met internet zijn verbonden | ISO/TR 14873:2013 | |||||||
doel/te behalen resultaat | "Opmerking 1 bij de term: Een doelstelling kan strategisch, tactisch of operationeel zijn. Opmerking 2 bij de term: Doelstellingen kunnen betrekking hebben op verschillende disciplines (zoals financiële, gezondheids- en veiligheids- en milieudoelstellingen) en kunnen op verschillende niveaus van toepassing zijn [zoals strategisch, organisatiebreed, project-, product- en proces(3.54)]. Opmerking 3 bij de term: Een doelstelling kan op andere manieren worden uitgedrukt, b.v. als een beoogd resultaat, een doel, een operationeel criterium, als een informatiebeveiligingsdoelstelling of door het gebruik van andere woorden met een vergelijkbare betekenis (bijvoorbeeld doel, doel of doelwit). Opmerking 4 bij de term: In de context van managementsystemen voor informatiebeveiliging worden door de organisatie informatiebeveiligingsdoelstellingen vastgesteld, in overeenstemming met het informatiebeveiligingsbeleid, om specifieke resultaten te bereiken." | ISO 27000:2018 | |||||||
DoS-aanval / DDoS-aanval | Denial of Service / Distributed Denial of Service | Een (D)DoS-aanval is een methode die wordt gebruikt om legitieme gebruikers van een netwerk of web-service te weren. Doorgaans wordt dit bereikt door het doelwit (vaak een web server) te overspoelen met een gigantische hoeveelheid dataverkeerd of door het versturen van malafide aanvragen waardoor de resources van het doelwit vastlopen of volledig crashen. | Vo-ICR | ||||||
DPO / FG | Data Protection Officer / Functionaris voor gegevensbescherming | De functionaris gegevensbescherming (DPO) is iemand die binnen de organisatie toezicht houdt op de toepassing en de naleving van de AVG. | Vo-ICR | ||||||
draagbare opslag apparatuur | Eenvoudig te connecteren data opslag media zoals USB, Externe hardeschijven etc. | ||||||||
Dreiging | Zie bedreiging | ||||||||
Drempelwaarde | Een gebeurtenis wordt gegenereerd wanneer een bepaalde drempelwaarde (threshold) wordt overschreden. | Vo-ICR | |||||||
DRP | Disaster Recovery Plan | Het Disaster Recovery Plan geeft van de cruciale IT-systemen in volgorde aan welke applicaties het eerst moeten worden hersteld op basis van welke infrastructuur, al dan niet gelegen op een uitwijklocatie. | Vo-ICR | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
e-mail server | |||||||||
Effectiviteit (beheersmaatregel) | ISO 27000: “Mate waarin geplande activiteiten worden gerealiseerd en geplande resultaten worden behaald”. Effectiviteit, in context van beheersmaatregelen, geeft aan of een beheersmaatregel het risico mitigeert waarvoor het bedoeld is. Toetsing van effectiviteit vindt plaats middels formele audit technieken en, afhankelijk van de diepgang van toetsing, geeft een bepaalde mate van zekerheid over de effectieve werking van een maatregel. Meestal wordt deze toetsing uitgedrukt in effectiviteit van de Opzet, het Bestaan en en de Werking van een beheersmaatregel. Zie ook Maturiteit. | ISO 27000:2018 en NOREA | |||||||
eigenaar | Natuurlijke persoon met een toegewezen verantwoordelijkheid voor een entiteit. Bijvoorbeeld: processen, afdelingen, hardware, infrastructuur, organisatie, toepassingen of enig ander bedrijfsmiddel of entiteit. | ||||||||
Encryptie | Encryptie is een mechanisme om informatie d.m.v. een wiskundig algoritme en cryptografische sleutel onleesbaar te maken voor onbevoegden. | Vo-ICR | |||||||
encryptie standaard | |||||||||
end-point-security | |||||||||
escrow overeenkomst | |||||||||
externe auditor | |||||||||
externe context | externe omgeving waarin de organisatie haar doelstellingen probeert te bereiken (3.49) Opmerking 1 bij de term: Externe context kan het volgende omvatten: de culturele, sociale, politieke, juridische, regelgevende, financiële, technologische, economische, natuurlijke en competitieve omgeving, zowel internationaal, nationaal, regionaal als lokaal; | ISO 27000:2018 | |||||||
Extranet | Het extranet is het gedeelte van het intranet (intern netwerk) dat beschikbaar is voor anderen, buiten de organisatie. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
faciliteit | ruimtes en paden die een specifieke infrastructuur huisvesten | ISO/IEC 22237-1:2021 | |||||||
Fall back procedure | In geval van problemen of falen van de uitrol worden fall back procedures gebruikt. | Vo-ICR | |||||||
Firewall | Een firewall controleert internetverkeer en laat het door of blokkeert het, op basis van een aantal parameters. | Vo-ICR | |||||||
firewall | soort beveiligingsbarrière geplaatst tussen netwerkomgevingen – bestaande uit een speciaal apparaat of een combinatie van verschillende componenten en technieken – waardoor al het verkeer van de ene netwerkomgeving naar de andere gaat, en vice versa, en alleen geautoriseerd verkeer, zoals gedefinieerd door de lokale beveiliging beleid mag passeren | ISO/IEC 27033-1:2015 | |||||||
Fout (error) | Een fout is een onvolkomenheid in het ontwerp of een storing die een degradatie in de ICT-dienstverlening veroorzaakt (dit kan ook een menselijke fout zijn). | Vo-ICR | |||||||
Functionele Escalatie | Doorverwijzing naar iemand met meer kennis, ook wel horizontale escalatie genoemd. | Vo-ICR | |||||||
Functionele integriteit | Functionele integriteit wil zeggen dat informatie juist, volledig, tijdig en geautoriseerd moet zijn. | Vo-ICR | |||||||
Fysieke beveiliging | Fysieke beveiliging omvat het geheel van maatregelen dat betrekking heeft op het voorkomen of beperken van schadelijke gevolgen van fysieke gebeurtenissen zoals verlies, vandalisme, inbraak, bliksem- of wateroverlast. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
GBA | Gegevensbeschermingsautoriteit | De Gegevensbeschermingsautoriteit waakt erover dat de grondbeginselen van gegevensbescherming correct nageleefd worden. | Vo-ICR | ||||||
GDPR | General Data Protection Regulation | De algemene verordening gegevensbescherming is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele EU standaardiseert. Zie ook AVG | Vo-ICR | ||||||
Gebeurtenis (Event) | Een gebeurtenis/event is een waarneembare verandering in het normale gedrag van een systeem, proces of workflow. | Vo-ICR | |||||||
gebeurtennis | "Het optreden of de verandering van een bepaalde reeks omstandigheden Opmerking 1 bij de term: Een gebeurtenis kan uit één of meerdere gebeurtenissen bestaan en kan meerdere oorzaken hebben. Opmerking 2 bij de term: Een gebeurtenis kan bestaan uit iets dat niet gebeurt. Opmerking 3 bij de term: Een gebeurtenis kan soms een “incident” of “ongeval” worden genoemd. [BRON: ISO Guide 73:2009, 3.5.1.3, aangepast - Opmerking 4 bij de term is verwijderd.]" | ISO 27000:2018 | |||||||
gebruikersapparatuur | Apparatuur die door eindgebruikers direct word gebruikt. | ||||||||
Gebruikersauthenticatie | Gebruikersauthenticatie is de controle van de identiteit van gebruikers, door middel van PIN/paswoord, biometrische verificatie of 2-factor verificatie. | Vo-ICR | |||||||
Gebruikerszone (ICR) | In de gebruikerszone bevindt zich in de gebruikersapparatuur, d.w.z. dit is de enige zone waarin gebruikers interageren met ICTapparatuur. | Vo-ICR | |||||||
gedocumenteerde informatie | informatie die moet worden beheerd en onderhouden door een organisatie (3.50) en het medium waarop deze is opgeslagen Opmerking 1 bij de term: Gedocumenteerde informatie kan in elk formaat en medium en uit elke bron voorkomen. Opmerking 2 bij de term: Gedocumenteerde informatie kan verwijzen naar het managementsysteem (3.41, inclusief bijbehorende processen (3.54); informatie die is gecreëerd om de organisatie (3.50) te laten functioneren (documentatie); bewijs van behaalde resultaten (records). | ISO 27000:2018 | |||||||
gedragscode | Regelement voor personeel. | ||||||||
Gefaseerde Aanpak | Er zijn verschillende opties waarop de uitrol in de productie zal worden uitgevoerd: Big bang optie, gefaseerde aanpak of Pull optie. De gefaseerde aanpak is de nieuwe of gewijzigde functionaliteit die eerst wordt uitgerold naar een beperkte groep gebruikers, vervolgens wordt de operatie herhaald volgens planning naar andere groepen gebruikers, net zo vaak als nodig is om de doelgroep volledig te bereiken. | Vo-ICR | |||||||
geheimhoudeingsovereenkomst | contract waarbij de partijen overeenkomen de informatie die onder het contract valt, niet openbaar te maken | ISO 20771:2020 | |||||||
geïnteresseerde (voorkeursterm) | persoon of organisatie (3.50) die een beslissing of activiteit kan beïnvloeden, erdoor beïnvloed kan worden, of zichzelf als beïnvloeder kan beschouwen | ISO 27000:2018 | |||||||
Gekende Fout | Een probleem waarvan de achterliggende oorzaak en de work around is gekend en gedocumenteerd. | Vo-ICR | |||||||
Gelimiteerde pull | Er zijn verschillende opties waarop de uitrol in de productie zal worden uitgevoerd: Big bang optie, gefaseerde aanpak of Pull optie. Indien geopteerd wordt voor een pull optie, wordt vaak aangeraden om deze optie slechts een beperkte tijd beschikbaar te houden, gevolgd door een geforceerde of push uitrol (volgens big bang of gefaseerde aanpak) aangezien er altijd wel gebruikers zullen zijn die geen gebruik maken van de pull optie. Deze optie noemen we de gelimiteerde pull. | Vo-ICR | |||||||
gemeenschap voor het delen van informatie | "groep organisaties (3,50) die overeenkomen informatie te delen Opmerking 1 bij de term: Een organisatie kan een individu zijn." | ISO 27000:2018 | |||||||
geografische filter (geo blocking) | Het blokkeren van gebruikers op basis van geografische locatie. | ||||||||
Gestapelde Maatregelen (ICR) | Gestapelde maatregelen impliceert dat de minimale maatregelen van de onderliggend informatieklasse ook op de bovenliggende klassen van toepassingen blijven, met uitzondering van onverenigbare technische maatregelen. | Vo-ICR | |||||||
gevolg | "resultaat van een gebeurtenis (3.21) die van invloed is op de doelstellingen (3.49) Opmerking 1 bij de term: Een gebeurtenis kan een reeks gevolgen hebben. Opmerking 2 bij de term: Een gevolg kan zeker of onzeker zijn en is in de context van informatiebeveiliging doorgaans negatief. Opmerking 3 bij de term: Gevolgen kunnen kwalitatief of kwantitatief worden uitgedrukt. Opmerking 4 bij de term: De eerste gevolgen kunnen escaleren door domino-effecten. [BRON: ISO-gids 73:2009, 3.6.1.3, aangepast - Opmerking 2 bij de term is gewijzigd na ""en"".]" | ISO 27000:2018 | |||||||
Gewone Wijziging | Een gewone wijziging is een wijziging die binnen het vooropgestelde tijdsbestek binnen de volledige workflow van het proces wijzigingsbeheer kan worden uitgevoerd zonder de zakelijke processen significant te benadelen. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
Hardening | Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem (servers, netwerkcomponenten zoals firewalls, routers en switches, desktops, laptops, mobiele apparatuur, …) verwijderd worden. | Vo-ICR | |||||||
hardening profiel | Configuratie profiel specifiek gericht op het beschermen van het bedriijfsmiddel. | ||||||||
hardware encryptie | |||||||||
Hash (functie) | Een hash functie neemt als input een bericht van willekeurige lengte en genereert een code, de hash waarde, die specifiek is voor dat bericht. | Vo-ICR | |||||||
Helpdesk | Een helpdesk is bedoeld om de klant of interne gebruiker van informatie en ondersteuning te voorzien met betrekking tot bedrijfsprocessen, producten en diensten. Het doel van een helpdesk is om een centrale bron van antwoorden te zijn en problemen helpen op te lossen. | Vo-ICR | |||||||
herstelactiviteit | Activiteit die is gespecificeerd in een DRP om de geraakte dienst te herstellen. | ||||||||
Hiërarchische escalatie | Doorverwijzing naar iemand met meer bevoegdheden, ook wel verticale escalatie genoemd. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
inbraakdetectiesysteem (IDS) | informatiesystemen die worden gebruikt om te identificeren dat een inbraak is geprobeerd, plaatsvindt of heeft plaatsgevonden | ISO/IEC 27039:2015 | |||||||
indicator | maatregel (3.42) die een schatting of evaluatie oplevert | ISO 27000:2018 | |||||||
informatie Systeem | verzameling toepassingen, diensten, informatietechnologiemiddelen of andere informatieverwerkingscomponenten | ISO 27000:2018 | |||||||
informatiebehoefte | inzicht nodig om doelstellingen (3.49), doelen, risico's en problemen te beheren [BRON: ISO/IEC/IEEE 15939:2017, 3.12] | ISO 27000:2018 | |||||||
informatiebeveiliging | "behoud van vertrouwelijkheid (3.10), integriteit (3.36) en beschikbaarheid (3.Z) van informatie Opmerking 1 bij de term: Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit (3.6), verantwoording, onweerlegbaarheid (3.48) en betrouwbaarheid (3.55) een rol spelen." | ISO 27000:2018 | |||||||
informatiebeveiligingsevenement | geïdentificeerde gebeurtenis van een systeem-, dienst- of netwerkstatus die wijst op een mogelijke schending van het informatiebeveiligingsbeleid (3.28), het beleid (3.53) of het falen van controles (3.14), of een voorheen onbekende situatie die relevant kan zijn voor de beveiliging | ISO 27000:2018 | |||||||
informatiebeveiligingsincident | een enkele of een reeks ongewenste of onverwachte informatiebeveiligingsgebeurtenissen (3.30) die een aanzienlijke kans hebben de bedrijfsactiviteiten in gevaar te brengen en de informatiebeveiliging te bedreigen (3.28) | ISO 27000:2018 | |||||||
informatiebeveiligingseis | eis vanuit informatiebeveilingsoverwegingen. | ||||||||
informatieklasse | |||||||||
informatiesysteem | |||||||||
informatieveiligheid | |||||||||
informatieveiligheidsrisico | |||||||||
informatieverwerkingsfaciliteiten | elk informatieverwerkingssysteem, dienst of infrastructuur, of de fysieke locatie waarin deze zich bevindt | ISO 27000:2018 | |||||||
Inherent risico | Een risicoscore die wordt berekend uit het RPN. Deze score drukt per dreiging uit wat het risico is vooraleer het effect van de beheersmaatregelen geëvalueerd werd. | ICR | |||||||
instant messaging | |||||||||
integriteit | eigenschap van juistheid en volledigheid | ISO 27000:2018 | |||||||
interne audit | |||||||||
interne context | "interne omgeving waarin de organisatie (3.50) haar doelstellingen probeert te bereiken Opmerking 1 bij de term: Interne context kan het volgende omvatten: bestuur, organisatiestructuur, rollen en verantwoordelijkheden; | ISO 27000:2018 | |||||||
IoT | Internet of Things | infrastructuur van onderling verbonden objecten, mensen, systemen en informatiebronnen samen met intelligente diensten om hen in staat te stellen informatie uit de fysieke en virtuele wereld te verwerken en te reageren | ISO/IEC 23093-1:2022 | ||||||
IoT-zone (ICR) | Internet of Things-zone | De IoT-zone is de zone voor het koppelen van intelligente apparatuur zoals printers, camera's, sensoren, … | Vo-ICR | ||||||
IPS | Intrustion Prevention System | Een IPS heeft als doel om kwaadaardig verkeer te blokkeren terwijl een intrusion detection system (IDS) dit verkeer alleen wil detecteren (inzichtelijk maken) om hier vervolgens over te rapporteren. | Vo-ICR | ||||||
IPsec | Internet Protocol Security | IPsec is een standaard voor het beveiligen van het internetprotocol (IP) door middel van encryptie (ESP) en/of authenticatie (AH) van de IPpakketten. | Vo-ICR | ||||||
ISAE | International Standard on Assurance Engagements | Standaarden voor het vastellen van conformiteit aan interne controls die de effectiviteit van de orgnaisatie meten. | |||||||
ISMS | Information Security Management System | Beheer systeem om informatieveiligheid continue te verbeteren. | |||||||
ISO 27001 | Standaard voor implementeren en beheren van een ISMS. | ||||||||
ISO 27002 | beste praktijkrichtlijn voor het implementeren van ISO 27001 | ||||||||
IT-Service Desk | De IT-service desk is er om als centraal contactpunt te dienen voor het controleren/beheren van incidenten, het behandelen van de (aan)vragen van gebruikers en als communicatiekanaal tussen verscheidene service managementfuncties en de gebruikers. | Vo-ICR | |||||||
ITIL | Information Technology Infrastructure Library | ITIL is ontwikkeld als referentiekader voor het inrichten van de beheersprocessen binnen een ICT-organisatie. | Vo-ICR | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
jailbreak | wijzigen (een smartphone of ander elektronisch apparaat) om beperkingen op te heffen die zijn opgelegd door de fabrikant of exploitant, b.v. om de installatie van ongeautoriseerde software mogelijk te maken. | ||||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
KED | Known Error Database | KED is een database waar gekende fouten in worden gedocumenteerd. Naast een beschrijving van het probleem worden ook de oorzaak (root cause), de tijdelijke oplossing (work around) en de finale oplossing hierin opgenomen. | Vo-ICR | ||||||
KPI | Kritieke Prestatie-Indicatoren | Om de efficiëntie en effectiviteit van een proces te kwalificeren en waar nodig bij te sturen wordt een proces gemeten aan de hand van prestatie-indicatoren. De belangrijkste prestatie-indicatoren worden KPIs genoemd. | Vo-ICR | ||||||
KSZ | Kruispuntbank Sociale Zekerheid | De Kruispuntbank van de Sociale Zekerheid is de motor en coördinator van het e-government in de sociale sector. | Vo-ICR | ||||||
Kwetsbaarheid | Op gebied van computerbeveiliging is een kwetsbaarheid een zwakte of fout in een computersysteem waardoor een aanvaller de integriteit van dit systeem kan ondermijnen, dat wil zeggen de normale werking, beschikbaarheid, integriteit of vertrouwelijkheid ervan. Zie ook vulnerability | Vo-ICR | |||||||
Kwetsbaarheid | zwakte van een actief of controlemiddel (3.14) dat kan worden uitgebuit door een of meer bedreigingen (3.74) | ISO 27000:2018 | |||||||
Kwetsbaarheid | Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de effectiviteit van de beheersmaatregelen, resulteert al dan niet in een kwetsbaarheid voor de organisatie en het informatieasset in het domein van de risicobeoordeling. | ||||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
L2TP | Layer 2 tunneling protocol | L2TP is te vergelijken met PPTP. | Vo-ICR | ||||||
least-privilege principle | |||||||||
leverancier | Entiteit die een dienst levert aan de organisatie. | ||||||||
Log Beheer Platform | Het log beheer platform bewaakt de integriteit en beheert de lifecycle van de verzamelde log informatie (events). | Vo-ICR | |||||||
Log management | Verzamelen en opslaan van log informatie van systemen en toepassingen. | Vo-ICR | |||||||
Logboek | Een logboek is een ‘boek’ waarin gebeurtenissen worden bijgehouden. | Vo-ICR | |||||||
Logging | Logging bestaat uit het verzamelen en bijhouden van informatie; deze informatie wordt op haar beurt gebruikt voor relevante opvolging en dient als controle input voor de beveiliging en risicobeheersing. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
MAC | Media Access Control | Een MAC-adres is een hardware-adres dat elk apparaat met een bekabelde of draadloze netwerkaansluiting uniek identificeert. | Vo-ICR | ||||||
MAC | Message Authentication Code | Bij een MAC, soms ook gesleutelde hash functie genoemd, wordt een hash waarde of MAC-waarde gegenereerd op basis van een geheime sleutel. | Vo-ICR | ||||||
MAC spoofing | Bij MAC spoofing neemt een aanvaller het MAC-adres van een legitieme gebruiker over. Daarom wordt deze methode aanzien als een zwak authenticatie middel. | Vo-ICR | |||||||
Machine-authenticatie / Device authenticatie | Machine- (of device) authenticatie is de identificatie en autorisatie van apparatuur in een netwerk, waar geen tussenkomst van de gebruiker vereist is. | Vo-ICR | |||||||
Mail gateway | Een mail gateway is een server waardoor al het e-mailverkeer passeert. | Vo-ICR | |||||||
Major Release | Om te kwalificeren als major moet een release een grote mate van nieuwe functionaliteit toevoegen aan de bestaande omgeving d.m.v. een nieuw stuk hardware of software. | Vo-ICR | |||||||
Malware | Malware of kwaadaardige software is een overkoepelende term die een kwaadaardig programma of code beschrijft die schadelijk zijn voor computersystemen. | Vo-ICR | |||||||
Maturiteit (beheersmaatregel) | Maturiteit, in context van beheersmaatregelen, geeft aan in welke mate een beheersmaatregel werd geïmplementeerd op basis van een informele bevraging en toetsing. Het geeft een indicatie van de opzet en het bestaan van een maatregel, maar geeft geen zekerheid over de effectieve werking van een maatregel. Zie ook Effectiviteit. | ||||||||
MDM | Mobile Device Management | Mobile device management is het beheer van mobiele apparaten, zoals smartphones, tabletcomputers en laptops. MDM wordt meestal geïmplementeerd met behulp van een product van derden dat beheerfuncties biedt voor bepaalde leveranciers van mobiele apparaten. | |||||||
meeteenheid | "variabele waaraan een waarde wordt toegekend als resultaat van de meting (3.43) [BRON: ISO/IEC/IEEE 15939:2017, 3.15, aangepast - Opmerking 2 bij het item is verwijderd.]" | ISO 27000:2018 | |||||||
meetfunctie | "algoritme of berekening uitgevoerd om twee of meer basismetingen te combineren (3.8) [BRON: ISO/IEC/IEEE 15939:2017, 3.20]" | ISO 27000:2018 | |||||||
meetmethode | "logische opeenvolging van bewerkingen, generiek beschreven, gebruikt bij het kwantificeren van een attribuut met betrekking tot een gespecificeerde schaal Opmerking 1 bij de term: Het type meetmethode hangt af van de aard van de bewerkingen die worden gebruikt om een attribuut te kwantificeren (3.4). Er zijn twee soorten te onderscheiden:
[BRON: ISO/IEC/IEEE 15939:2017, 3.21, aangepast - Opmerking 2 bij het item is verwijderd.]" | ISO 27000:2018 | |||||||
Meldpunt | Centraal punt aangeduid door de organisatie voor het verwerken van aanvragen van gebruikers, vb. Helpdesk, service desk, … | Vo-ICR | |||||||
meting | proces (3.54) om een waarde te bepalen | ISO 27000:2018 | |||||||
Minor Release (Sprint) | Een minor release of sprint wordt gebruikt om aan te duiden dat het om kleine verbeteringen aan de functionaliteit gaat, maar niet over volledig nieuwe functionaliteit. | Vo-ICR | |||||||
Mitigatie | Bij mitigatie wordt ingespeeld op de twee aspecten van een risico, namelijk de waarschijnlijkheid dat een bedreiging zich voordoet en het (potentieel) gevolg ervan. Mitigerende maatregelen verlagen dus de waarschijnlijkheid en/of verkleinen de gevolgen (de schade). | Vo-ICR | |||||||
Monitoring | Monitoring is het (near) real-time opvolgen van gebeurtenissen. | Vo-ICR | |||||||
MPLS VPN | Multiprotocol Label Switching Virtual Private Network | MPLS VPN is een netwerktechnologie dat transport van verkeer of WANs (Wide Area Networks) verzorgt. Het wordt dan ook veel gebruikt in datacenters van dienstenleveranciers. | Vo-ICR | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
NDA | Non Disclosure Agreement | Zie geheimhoudingsverklaring | |||||||
netwerk adres | Zie IP adres | ||||||||
netwerkapparatuur | Bedrijfsmiddelen die de netwerk infrastructuur verzorgen. | ||||||||
netwerkschema | Overzicht van de netwerk infrastructuur. | ||||||||
netwerksegregatie | Beoefening van afscheiden van kritieke netwerk-bedrijfsmiddelen. | ||||||||
Netwerkzone | Een netwerkzone is een afgebakend deel van het netwerk van ICTapparatuur, waarin trafiek vrij kan manoeuvreren. | Vo-ICR | |||||||
niet geautoriseerde toegang | Toegang die niet is toegekend doormiddel van een administratief systeem door een bevoegd persoon in opdracht van een eigenaar. | ||||||||
Niet-publieke/ Private zone (fysische maatregelen) | De niet-publieke of private zone is een Vo gecontroleerde zone. Afhankelijk van de klasse informatie die verwerkt wordt, worden organisatorische en technische maatregelen opgelegd om de fysieke veiligheid van de verwerkte informatie te borgen. | Vo-ICR | |||||||
NIS | Voorloper van de NIS II wetgeving (Zie NIS II) | ||||||||
NIS II | De NIS2-richtlijn is de EU-brede wetgeving op het gebied van cyberbeveiliging. Het voorziet in juridische maatregelen om het algemene niveau van cyberbeveiliging in de EU te verhogen. | ||||||||
NIST | National Institute Standards and Technology | Nationaal Instituut voor Standaarden en Technologie (Verenigde Staten) | |||||||
niveau van risico | omvang van een risico (3.61), uitgedrukt in termen van de combinatie van gevolgen (3.12) en hun [BRON: ISO-gids 73:2009, 3.6.1.8, aangepast - "of combinatie van risico's" is verwijderd in de | ISO 27000:2018 | |||||||
No-break-installatie | Een no-break installatie is een noodstroominstallatie die de netspanning kan overnemen zonder onderbreking. | Vo-ICR | |||||||
non-conformiteit | niet voldoen aan een eis (3.56) | ISO 27000:2018 | |||||||
noodprocedure | Procedure die word gestart in een DRP om een crisis situatie te mitigeren. | ||||||||
Noodwijziging | Een noodwijziging is bedoelde voor wijzigingen die fouten van een ICTservice herstellen, met in hoge mate een negatieve impact op de zakelijke processen en/of de ondersteunende infrastructuur. Noodwijzigingen wijken af van de normale procedures, omdat voor dit soort wijzigingen de benodigde middelen meteen moeten worden vrijgemaakt. | Vo-ICR | |||||||
NTP | network time protocol | belangrijkste tijdsynchronisatie- en distributieprotocol gebruikt op internet (RFC-1305); | ISO 11073-90101:2008 | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
OCSP | protocol voor het bepalen van de huidige status van een certificaat (3.7) in plaats van of als aanvulling op de controle aan de hand van een periodieke CRL en dat de gegevens specificeert die moeten worden uitgewisseld tussen een applicatie die de status van een certificaat controleert en de server die die status levert | ISO/IEC 27099:2022 | |||||||
onaanvaardbaar gedrag | Gedrag dat niet voldoet aan de gesloten overeenkomst met deze kracht (en in het verlengde de gedragscode). | ||||||||
onderleverancier | organization (3.16) or individual contracted by the supplier (3.30) to perform a specific part of a contract | ISO 20400:2017 | |||||||
ontwikkelprocess | proces waarbij gebruikersbehoeften worden vertaald naar een softwareproduct | ISO/IEC/IEEE 24765:2017 | |||||||
onweerlegbaarheid | vermogen om het optreden van een geclaimde gebeurtenis (3.21) of handeling en de daaruit voortvloeiende entiteiten te bewijzen | ISO 27000:2018 | |||||||
OoB | Out-of-Band | Out-of-band toestellen of netwerken scheiden de beslissings- en uitvoeringsfuncties en kunnen gebruik maken van een reeks toestellen voor de eigenlijke uitvoering, waaronder schakelaars, gateways en firewalls. | Vo-ICR | ||||||
openbaar certificaat | openbare sleutelinformatie van een entiteit, ondertekend door de certificeringsinstantie en daardoor onvervalsbaar gemaakt | ISO/IEC 9798-1:2010 | |||||||
openbare sleutel | sleutel van het asymmetrische sleutelpaar van een entiteit, die doorgaans openbaar kan worden gemaakt zonder de veiligheid in gevaar te brengen | ISO/IEC 11770-1:2010 | |||||||
Opzet (Audit) | TODO | ||||||||
organisatie | "persoon of groep mensen die zijn eigen functies heeft met verantwoordelijkheden, bevoegdheden en relaties om zijn doelstellingen te bereiken (349) Opmerking 1 bij de term: Het begrip organisatie omvat, maar is niet beperkt tot, eenmanszaken, vennootschappen, vennootschappen, firma's, ondernemingen, autoriteiten, vennootschappen, liefdadigheidsinstellingen of instellingen, of een deel of combinatie daarvan, al dan niet opgericht, publiek of privaat. " | ISO 27000:2018 | |||||||
Overdragen | Bij overdragen wordt het risico uitbesteed, financieel d.m.v. verzekeren of operationeel d.m.v. outsourcen. | Vo-ICR | |||||||
overeenstemming | vervulling van een vereiste (3.56) | ISO 27000:2018 | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
PAM | Priviliged Access Management | Beheer, gebruik en controle van geprivilegieerde toegangsrechten. Privileged access betreft alle accounts met meer toegangsrechten dan een standaardgebruiker. | Vo-ICR | ||||||
patch | softwarecomponent die, indien geïnstalleerd, direct bestanden of apparaatinstellingen wijzigt die verband houden met een andere softwarecomponent, zonder het versienummer of de releasegegevens voor de gerelateerde softwarecomponent te wijzigen | ISO/IEC 19770-2:2015 | |||||||
Patch management | Patch management zorgt voor het verwerven, testen en installeren van patches (wijzigingen in de code) op een computersysteem. | Vo-ICR | |||||||
penetratietest | testing used in vulnerability analysis for vulnerability assessment, trying to defeat vulnerabilities of the TOE based on the information about the TOE gathered during the relevant evaluation activities | ISO/IEC 19989-1:2020 | |||||||
personeelszaken | Afdeling verantwoordelijk voor het administreten van het personeelsbestand inclusief de definities van rollen, functies en verantwoordelijkheden. | ||||||||
persoonsgegevens | |||||||||
persoonsinformatie (PII) | personally identifiable information | alle informatie die (a) kan worden gebruikt om een verband te leggen tussen de informatie en de natuurlijke persoon op wie deze informatie betrekking heeft, of (b) direct of indirect verbonden is of kan zijn met een natuurlijke persoon | ISO/IEC 22123-3:2023 | ||||||
prestatie meetbaar resultaat | Opmerking 1 bij de term: Prestaties kunnen betrekking hebben op kwantitatieve of kwalitatieve bevindingen. Opmerking 2 bij de term: Prestaties kunnen betrekking hebben op het beheer van activiteiten, processen (3.54), producten (inclusief diensten), systemen of organisaties (3.50). | ISO 27000:2018 | |||||||
Preventieve Maatregelen | Preventieve maatregelen zijn maatregelen waar de dreiging wordt verkleind tot het niveau dat ze aanvaardbaar is. | Vo-ICR | |||||||
primaire gebruiker | gebruiker (3.20) die met het systeem communiceert om de primaire doelen te bereiken | ISO/IEC 25030:2019 | |||||||
probleem (ITIL) | een (potentiële) oorzaak van één of meer incidenten. | ITIL V4 | |||||||
procedure | gespecificeerde manier om een activiteit of proces uit te voeren | ISO 9000:2015 | |||||||
proces | reeks onderling verbonden of op elkaar inwerkende activiteiten die input in output transformeren | ISO 27000:2018 | |||||||
professional op het gebied van informatiebeveiligingsbeheersysteem (ISMS). | persoon die een of meer informatiebeveiligingsbeheersysteemprocessen opzet, implementeert, onderhoudt en voortdurend verbetert (3.54) | ISO 27000:2018 | |||||||
ptp precision time protocol | Het Precision Time Protocol is een protocol dat wordt gebruikt om klokken in een computernetwerk te synchroniseren. Op een lokaal netwerk bereikt het een kloknauwkeurigheid in het bereik van minder dan een microseconde, waardoor het geschikt is voor meet- en regelsystemen. | ||||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
raamwerkcontracten | Contracten die alle dienstenverlening binnen een perseel van de Vlaamse Overheid vervullen. | ||||||||
RAID | redundante reeks onafhankelijke schijven | ISO 16484-2:2004 | |||||||
randapparatuur | apparaat dat is aangesloten op een digitaal apparaat om de functionaliteit ervan uit te breiden | ISO/IEC 27037:2012 | |||||||
Ransomware | Ransomware is een soort malware dat ervoor zorgt dat gebruikers geen toegang krijgen tot hun systeem of persoonlijke bestanden en dat losgeld eist, zodat de gebruiker weer toegang krijgt. | Vo-ICR | |||||||
Reactie | Reactie is het beperken van de schade wanneer een bedreiging optreedt of het effect hiervan gedeeltelijk of geheel corrigeren. | Vo-ICR | |||||||
Reactieve Maatregelen | Reactieve maatregelen zijn maatregelen die zich richten op de gevolgen indien een dreiging zich toch voordoet, door het inperken of herstellen van de schade. | Vo-ICR | |||||||
Rechten | Rechten verwijzen naar de privileges en instellingen voor een individu; van welke ICT-dienst of groep van diensten mag hij/zij gebruikmaken? Typische rechten zijn bijvoorbeeld lezen, schrijven, uitvoeren, wijzigen en verwijderen. Rechten worden verstrekt op basis van een rol. | Vo-ICR | |||||||
rechtsgebied | omvang of reikwijdte van rechterlijke, wetshandhavings- of andere autoriteit | ISO 15836-2:2019 | |||||||
reikwijdte van de audit | reikwijdte en grenzen van een audit (3.3) | ISO 27000:2018 | |||||||
Release | Een release is een verzameling hardware, software, documentatie, processen en andere componenten nodig om één of een groep goedgekeurde wijzigingen in de ICT-dienstverlening uit te voeren. Een release wordt beheerd, getest en uitgerold als één enkele entiteit of pakket. | Vo-ICR | |||||||
Release Documentatie | Release documentatie is documentatie omtrent bouw, installatie, test en acceptatie plannen, procedures en scripts. | Vo-ICR | |||||||
Release en deployment beheer | Het proces dat verantwoordelijk is voor planning en controle van de samenstelling van releases, het testen en de distributie van releases en voor het leveren van de nieuwe functionaliteit die vereist is door de bedrijfsvoering terwijl het de integriteit van de bestaande diensten beschermt. | Vo-ICR | |||||||
removable media | Draagbaar gegevensopslagmedium dat kan worden toegevoegd aan of verwijderd van een computerapparaat of netwerk. Opmerking: Voorbeelden omvatten, maar zijn niet beperkt tot: optische schijven (cd, dvd, Blu-ray); externe / verwijderbare harde schijven; externe/verwijderbare Solid State Disk (SSD)-schijven; magnetische/optische banden; flash-geheugenapparaten (USB, eSATA, flashdrive, thumbdrive); flash-geheugenkaarten (Secure Digital, CompactFlash, Memory Stick, MMC, xD); en andere externe/verwisselbare schijven (floppy, Zip, Jaz, Bernoulli, UMD). | NIST Glossary | |||||||
Responsible disclosure | Een Responsible Disclosure policy, ook wel Vulnerability Disclosure policy genoemd, beschrijft hoe een organisatie omgaat met meldingen van kwetsbaarheden. Het is een verklaring met juridische waarde. Door een responsible disclosure te publiceren stelt de organisatie regels vast die eenieder die kwetsbaarheden in de betrokken systemen hebben ontdekt, moeten naleven. | ISMS Digitaal Vlaanderen | |||||||
Restrisico | Het risico dat overblijft nadat maatregelen genomen zijn. | Vo-ICR | |||||||
restrisico | "risico (3,61) dat overblijft na risicobehandeling (3,72) Opmerking 1 bij de term: Het restrisico kan een niet-geïdentificeerd risico omvatten. Opmerking 2 bij de term: Het resterende risico kan ook worden aangeduid als "behouden risico". | ISO 27000:2018 | |||||||
revocatie (PKI / Certificaten) | Het terugtrekken van een certificaat, wat de geldigheid ervan nietigg verklaart. | ||||||||
rijksregister-BIS | Het bis-nummer is een uniek identificatienummer voor personen die niet ingeschreven zijn in het Rijksregister, maar die toch een relatie hebben met de Belgische overheden. BelgianIDproopent in nieuw venster | ||||||||
risico | "effect van onzekerheid op doelstellingen (3.49) Opmerking 1 bij de term: Een effect is een afwijking van het verwachte – positief of negatief. Opmerking 2 bij de term: Onzekerheid is de toestand, zelfs gedeeltelijk, van een tekort aan informatie met betrekking tot, begrip of kennis van een gebeurtenis, de gevolgen ervan of de waarschijnlijkheid ervan. Opmerking 3 bij de term: Risico wordt vaak gekarakteriseerd door verwijzing naar potentiële "gebeurtenissen" (zoals gedefinieerd in ISO Gids 73:2009, 3.5.1.3) en "gevolgen" (zoals gedefinieerd in ISO Gids 73:2009, 3.6. 1.3), of een combinatie hiervan. Opmerking 4 bij de term: Risico wordt vaak uitgedrukt in termen van een combinatie van de gevolgen van een gebeurtenis (inclusief veranderingen in omstandigheden) en de daarmee samenhangende ""waarschijnlijkheid"" (zoals gedefinieerd in ISO-gids 73:2009, 3.6.1.1) van een gebeurtenis . Opmerking 5 bij de term: In de context van managementsystemen voor informatiebeveiliging kunnen informatiebeveiligingsrisico's worden uitgedrukt als het effect van onzekerheid op de informatiebeveiligingsdoelstellingen. Opmerking 6 bij de term: Informatiebeveiligingsrisico's houden verband met de mogelijkheid dat bedreigingen misbruik maken van de kwetsbaarheden van een informatiemiddel of een groep informatiemiddelen en daardoor schade toebrengen aan een organisatie." | ISO 27000:2018 | |||||||
Risico acceptatie | Zoals bij Restrisico al besproken is dit het risico dat een organisatie bereid is te nemen. | Vo-ICR | |||||||
risico analyse | "process (3.54) to comprehend the nature of risk (3.61) and to determine the level of risk (3.39) Note 1 to entry: Risk analysis provides the basis for risk evaluation (3.6Z) and decisions about risk treatment (3.72). Note 2 to entry: Risk analysis includes risk estimation. [SOURCE: ISO Guide 73:2009, 3.6.1]" | ISO 27000:2018 | |||||||
risico behandeling | "proces (3.54) om risico te wijzigen (3.61) Opmerking 1 bij de term: Risicobehandeling kan het volgende inhouden: het vermijden van het risico door te besluiten niet te beginnen of door te gaan met de activiteit die aanleiding geeft tot het risico; risico nemen of vergroten om een kans te grijpen; het verwijderen van het risico: het veranderen van de waarschijnlijkheid (3.40); het veranderen van de gevolgen (3.12); het delen van het risico met een andere partij(en) (inclusief contracten en risicofinanciering);
Opmerking 2 bij de term: Risicobehandelingen die negatieve gevolgen aanpakken, worden soms "risicobeperking", "risico-eliminatie", "risicopreventie" en "risicovermindering" genoemd. Opmerking 3 bij de term: Risicobehandeling kan nieuwe risico's creëren of bestaande risico's wijzigen. [BRON: ISO-gids 73:2009, 3.8.1, aangepast - "Beslissing" is vervangen door "keuze" in Toelichting 1 naar binnen.]" | ISO 27000:2018 | |||||||
Risico beheer | Gecoördineerde activiteiten om een organisatie sturing rond risico’s en deze te bewaken. | Vo-ICR | |||||||
risico eigenaar | persoon of entiteit met de verantwoordelijkheid en bevoegdheid om een risico te beheren (3.61) [BRON: ISO-gids 73:2009, 3.5.1.5] | ISO 27000:2018 | |||||||
Risico evaluatie | Afwegen van het ingeschatte risico t.o.v. vastgestelde risico criteria. | Vo-ICR | |||||||
Risico identificatie | Het vinden en beschrijven van risico t.o.v. vastgestelde risico criteria. Dit omvat de identificatie van bedreigingen, en hun oorzaken en gevolgen. | Vo-ICR | |||||||
risico-identificatie | "proces (3.54) van het vinden, herkennen en beschrijven van risico's (3.61) Opmerking 1 bij de term: Risico-identificatie omvat de identificatie van risicobronnen, gebeurtenissen (3.21), hun oorzaken en hun potentiële gevolgen (3.12). Opmerking 2 bij de term: Risico-identificatie kan betrekking hebben op historische gegevens, theoretische analyses, geïnformeerde en deskundige meningen, en de behoeften van belanghebbenden (3.37). [BRON: ISO-gids 73:2009, 3.5.1]" | ISO 27000:2018 | |||||||
risicoacceptatie | "informed decision to take a particular risk (3.61) Note 1 to entry: Risk acceptance can occur without risk treatment (3.72) or during the process (3.54) of risk treatment. Note 2 to entry: Accepted risks are subject to monitoring (3.46) and review (3.58). [SOURCE: ISO Guide 73:2009, 3.7.1.6]" | ISO 27000:2018 | |||||||
Risicoanalyse | Bij een risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de waarschijnlijkheid van het optreden ervan bepaald en wordt berekend welke schade zou kunnen gebeuren indien een bedreiging zich daadwerkelijk voordoet. | Vo-ICR | |||||||
Risicobehandeling | Keuze en implementatie van maatregelen om risico’s te verlagen. | Vo-ICR | |||||||
risicobeheerproces | "systematische toepassing van managementbeleid (3.53), procedures en praktijken op de activiteiten van communiceren, raadplegen, de context vaststellen en risico's identificeren, analyseren, evalueren, behandelen, monitoren en herzien (3.61) Opmerking 1 bij de term: ISO/IEC 27005 gebruikt de term "proces" (3.54) om het risicobeheer in zijn geheel te beschrijven. De elementen binnen het risicobeheerproces (3.69) worden "activiteiten" genoemd. [BRON: ISO Guide 73:2009, 3.1, aangepast - Opmerking 1 bij de term is toegevoegd.] | ISO 27000:2018 | |||||||
risicobeoordeling | algemeen proces (3.54) van risico-identificatie (3.68), risicoanalyse (3.63) en risico-evaluatie (3.67) [BRON: ISO-gids 73:2009, 3.4.1] | ISO 27000:2018 | |||||||
risicobeoordeling | "proces (3.54) voor het vergelijken van de resultaten van de risicoanalyse (3.63) met risicocriteria (3.66) om te bepalen of het risico (3.61) en/of de omvang ervan aanvaardbaar of aanvaardbaar is Opmerking 1 bij de term: Risico-evaluatie helpt bij de beslissing over risicobehandeling (3.72). [BRON: ISO-gids 73:2009, 3.7.1]" | ISO 27000:2018 | |||||||
risicocommunicatie en -advies | "reeks continue en iteratieve processen (3.54) die een organisatie uitvoert om informatie te verstrekken, te delen of te verkrijgen, en om een dialoog aan te gaan met belanghebbenden (3.37) over het beheer van risico's (3.61) Opmerking 1 bij de term: De informatie kan betrekking hebben op het bestaan, de aard, de vorm, de waarschijnlijkheid (3.41), de betekenis, de evaluatie, de aanvaardbaarheid en de behandeling van risico's. Opmerking 2 bij de term: Overleg is een tweerichtingsproces van geïnformeerde communicatie tussen een organisatie (3.50) en haar belanghebbenden over een kwestie, voordat er een besluit wordt genomen of een richting over die kwestie wordt bepaald. Overleg wel een proces dat een beslissing beïnvloedt door middel van invloed in plaats van macht; En | ISO 27000:2018 | |||||||
risicocriteria | "referentiekader waartegen de significantie van het risico (3.61) wordt beoordeeld Opmerking 1 bij de term: Risicocriteria zijn gebaseerd op organisatiedoelstellingen, externe context (3.22) en interne context (3.38). Opmerking 2 bij de term: Risicocriteria kunnen worden afgeleid uit normen, wetten, beleid (3.53) en andere eisen (3.56). [BRON: ISO-gids 73:2009, 3.3.1.3]" | ISO 27000:2018 | |||||||
risicomanagement | "gecoördineerde activiteiten om een organisatie te sturen en te controleren (3.50) met betrekking tot risico's (3.61) [BRON: ISO-gids 73:2009, 2.1]" | ISO 27000:2018 | |||||||
Rol | De rol verwijst naar het niveau en de mate van functionaliteit van een ICT-dienst of informatie die een individu mag hebben om zijn/haar taken te kunnen uitvoeren. | Vo-ICR | |||||||
rol | Verantwoordelijkheden van een arbeidskracht die onderdeel zijn of de complete functie vervullen. | ||||||||
Root certificaat | Een root certificaat is een certificaat met openbare sleutel dat een root certificaatinstantie identificeert. | Vo-ICR | |||||||
rooten (van een mobiel apparaat) | Zie jailbreak | ||||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
S (Self-) Service Portal | Een (Self-) Service Portal is een (24/7) interface met uw klant die hen de mogelijkheid biedt om een verzoek in te dienen. | Vo-ICR | |||||||
SAST | Static Application Security Testing | een reeks technologieën die zijn ontworpen om de broncode, bytecode en binaire bestanden van applicaties te analyseren op coderings- en ontwerpomstandigheden die indicatief zijn voor beveiligingsproblemen. SAST-oplossingen analyseren een applicatie van binnenuit terwijl deze niet actief is. | Gartner Glossary | ||||||
SD-WAN | Software Defined Wide Area Network | oplossingen bieden een vervanging voor traditionele WAN-routers en staan agnostisch tegenover WAN-transporttechnologieën. SD-WAN biedt dynamische, op beleid gebaseerde selectie van applicatiepaden over meerdere WAN-verbindingen en ondersteunt service chaining voor aanvullende services zoals WAN-optimalisatie en firewalls. | Gartner Glossary | ||||||
SDN | Software Defined Networking | een reeks technieken die het mogelijk maken om netwerkbronnen direct te programmeren, orkestreren, controleren en beheren, wat het ontwerp, de levering en de werking van netwerkdiensten op een dynamische en schaalbare manier vergemakkelijkt. | ITU-T Y.3300 | ||||||
SEC | Security Event Correlatie | SEC legt zich toe op het correleren van verzamelde informatie. | Vo-ICR | ||||||
Security monitoring | Security monitoring bestaat uit het verzamelen en analyseren van informatie teneinde verdacht gedrag of niet-geautoriseerde toegang en activiteiten te detecteren, hierop alarmen te genereren en actie te ondernemen. | Vo-ICR | |||||||
SEM | Security Event Management | SEM betekent real-time monitoring van gebeurtenissen rond informatieveiligheid. | Vo-ICR | ||||||
Semipublieke zone | Door haar semi-open karakter kan (een entiteit van) de Vo onvoldoende fysieke controle uitoefenen in deze zone om het gewenste veiligheidsniveau van sommige informatieverwerking te garanderen. | Vo-ICR | |||||||
Server authenticatie | Server authenticatie wordt gebruikt om de identiteit van een server te verifiëren. De meest gebruikte methode is via een server certificaat en dit wordt vaak toegepast om web servers te authentiseren. | Vo-ICR | |||||||
Service Aanvraag | Een vraag van een gebruiker voor informatie, advies of een standaard wijziging. | Vo-ICR | |||||||
SIEM | Security Incident & Event Monitoring | SIEM gedrag of niet-geautoriseerde toegang en activiteiten te detecteren, hierop alarmen te genereren en actie te ondernemen. | Vo-ICR | ||||||
SIEM | Security Information and Event Management | Security Information and Event Management (SIEM)-technologie ondersteunt de detectie van bedreigingen, compliance en het beheer van beveiligingsincidenten door het verzamelen en analyseren (zowel bijna realtime als historisch) van beveiligingsgebeurtenissen, evenals een grote verscheidenheid aan andere gebeurtenis- en contextuele gegevensbronnen. De kernmogelijkheden zijn een brede reikwijdte van het verzamelen en beheren van loggebeurtenissen, de mogelijkheid om loggebeurtenissen en andere gegevens uit verschillende bronnen te analyseren, en operationele mogelijkheden (zoals incidentbeheer, dashboards en rapportage). | Gartner Glossary | ||||||
SLA | Service-level agreement | Een SLA is een type overeenkomst waarin afspraken staan tussen aanbieder en afnemer van een dienst of product. | Vo-ICR | ||||||
Sleutelbeheer | Het sleutelbeheer omvat het aanmaken, registeren, opslaan, distribueren, in gebruik nemen, herroepen, archiveren en vernietigen van sleutels. | Vo-ICR | |||||||
Sleutelhiërarchie | Dit is een techniek waarbij een root key of master key (ook mastersleutel genoemd) gebruikt wordt om de cryptosleutel op zijn beurt te versleutelen. | Vo-ICR | |||||||
SNMP | Simple Network Management Protocol | SNMP is een protocol dat kan worden gebruikt voor het besturen van netwerkapparaten. Het protocol voorziet ook in statusmeldingen (traps). | Vo-ICR | ||||||
SOC | Security Operations Center | A security operations center (SOC) is the focal point for security operations and computer network defense for an organization. The purpose of the SOC is to defend and monitor an organization’s systems and networks (i.e., cyber infrastructure) on an ongoing basis. The SOC is also responsible for detecting, analyzing, and responding to cybersecurity incidents in a timely manner. The organization staffs the SOC with skilled technical and operational personnel (e.g., security analysts, incident response personnel, systems security engineers) and implements a combination of technical, management, and operational | NIST SP 800-53 | ||||||
SOD | Segregation of Duty / functiescheiding | Betreft het scheiden van taken die een risico vormen voor misbruik of onbedoelde/onbevoegde beschikking over informatie en bedrijfsmiddelen. | Vo-ICR | ||||||
Software | software, instructies die een computer vertellen wat hij moet doen. Software omvat de volledige reeks programma's, procedures en routines die verband houden met de werking van een computersysteem. De term werd bedacht om deze instructies te onderscheiden van hardware, dat wil zeggen de fysieke componenten van een computersysteem. Een reeks instructies die de hardware van een computer aanstuurt om een taak uit te voeren, wordt een programma of softwareprogramma genoemd. | Encyclopedia Brittanica | |||||||
speciale bevoegdheden | Bevoegheden die niet in de reguliere administratie systemen van toegang en bevoegdheden geadministreerd kunnen worden. | ||||||||
Specifieke Minimale Maatregelen (ICR) | Specifieke Minimale Maatregelen zijn maatregelen die een directe relatie hebben met criteria van toepassing op informatie met specifieke context criteria. Deze criteria kunnen zowel een relatie hebben met de aard van de informatie als met specifieke data sets. | Vo-ICR | |||||||
SPOC | Single Point of Contact | SPOC is één aanspreekpunt over een service, activiteit of programma voor de wijze van communicatie met personen of organisaties. | Vo-ICR | ||||||
SPOF | single point of failure | type storing: als een deel van een systeem faalt, werkt het hele systeem niet | ISO/IEC 27033-4:2014 | ||||||
SSAE | Statement on Standards for Attestation Engagements | Attestatie document dat aangeeft dat de organisatie een bepaalde effectiviteit en conformiteit behaalt. | |||||||
SSL VPN | SSL VPN is een web gebaseerde technologie die het mogelijk maakt om een beveiligde verbinding te maken met een netwerk. | Vo-ICR | |||||||
SSL-certificaat | SSL: Secure Socket Layer | Een SSL-certificaat is een bestand dat zorgt voor een betere beveiliging van gegevens tussen de server en het internet. | Vo-ICR | ||||||
SSL-inspectie | SSL-inspectie is een techniek die toelaat om versleuteld dataverkeer toch te onderzoeken op bedreigingen zoals bvb malware. | Vo-ICR | |||||||
standaard voor beveiligingsimplementatie | document dat geautoriseerde manieren specificeert om beveiliging te realiseren | ISO 27000:2018 | |||||||
Standaard Wijziging / Verandering | Een vooraf goedgekeurde verandering met een laag risico en dat kan worden uitgevoerd aan de hand van een standaardprocedure. | Vo-ICR | |||||||
Storing | Een of meerdere onbeschikbare systemen of diensten | ||||||||
Symmetrische encryptie | Bij symmetrische encryptie wordt een wiskundig algoritme gebruikt dat dezelfde geheime sleutel nodig heeft om zowel te encrypteren als te decrypteren. We spreken dan van een symmetrische geheime sleutel. | Vo-ICR | |||||||
Syslog | Syslog is een standaard voor computerlogging. De logging is gescheiden tussen systemen die de logging generen en systemen die de logging opslaan. | Vo-ICR | |||||||
Systeemontwikkeling | Systeemontwikkeling is de ontwikkeling van een systeem. Dit kan zowel het ontwerp en de constructie van een nieuw systeem zijn als de modificatie van een bestaand systeem. | ||||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
Technische integriteit | Technische integriteit wil zeggen dat informatie van een betrouwbare bron via een betrouwbaar kanaal moet komen. | Vo-ICR | |||||||
technische kwetsbaarheid | Zwakte in een informatiesysteem, systeembeveiligingsprocedures, interne controles of implementatie die kunnen worden uitgebuit of geactiveerd door een bedreigingsbron. | FIPS 200 (NIST) | |||||||
Technische logs/ Systeem logs | Hierin worden gebeurtenissen opgenomen zoals het gebruik technische en functionele beheersfuncties, activiteiten onder beveiligingsbeheer, verstoringen en (veiligheids-) incidenten. | Vo-ICR | |||||||
testgegevens | gegevens die zijn aangemaakt of geselecteerd om te voldoen aan de inputvereisten voor het uitvoeren van een of meer testgevallen, die kunnen worden gedefinieerd in het testplan, de testcase of de testprocedure | ISO/IEC/IEEE 24765:2017 | |||||||
tijdsbron | interne of externe component van een informatiesysteem dat een betrouwbare en objectieve tijdsreferentie biedt die aan de vereisten voldoet | ISO 14641:2018 | |||||||
TLS protocol | Transport Layer Security protocol | De TLS protocol is een veel gebruikt beveiligingsprotocol dat is ontworpen om de privacy en gegevensbeveiliging van communicatie via het internet te vergemakkelijken. | Vo-ICR | ||||||
Toegangscontrole | Toegangscontrole is het proces dat zorgt voor de definitie, opvolging en controle van (technische) toegang, zoals o.a. de opbouw van de rollen. | Vo-ICR | |||||||
Toegangscontrole | middelen om ervoor te zorgen dat de toegang tot activa wordt geautoriseerd en beperkt op basis van zakelijke en beveiligingsvereisten (3.56) | ISO 27000:2018 | |||||||
Toegangsrecht | autorisatie aan een kracht om toegang te krijgen tot een bron (3.14) | ISO/IEC 29146:2016 | |||||||
Toezicht houden | "het vaststellen van de status van een systeem, een proces (3.54) of een activiteit Opmerking 1 bij de term: Om de status te bepalen kan het nodig zijn om te controleren, toezicht te houden of kritisch te observeren." | ISO 27000:2018 | |||||||
Topmanagement | "persoon of groep mensen die een organisatie leidt en controleert (3,50 op het hoogste niveau.) Opmerking 1 bij de term: Het topmanagement heeft de macht om autoriteit te delegeren en middelen binnen de organisatie ter beschikking te stellen. Opmerking 2 bij de term: Als de reikwijdte van het managementsysteem (3.41) slechts een deel van een organisatie bestrijkt, verwijst het topmanagement naar degenen die dat deel van de organisatie leiden en controleren. Opmerking 3 bij de term: Het topmanagement wordt ook wel uitvoerend management genoemd en kan ook de Chief Executive omvatten Officers, Chief Financial Officers, Chief Information Officers en soortgelijke functies." | ISO 27000:2018 | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
uitbesteden | "een regeling treffen waarbij een externe organisatie (3.50) een deel van de functie of het proces van een organisatie uitvoert 3.54) Opmerking 1 bij de term: Een externe organisatie valt buiten de reikwijdte van het managementsysteem (3.41), hoewel de uitbestede functie of het uitbestede proces wel binnen de reikwijdte valt." | ISO 27000:2018 | |||||||
Uitzondering | Een gebeurtenis wordt ingedeeld in drie categorieën: Informationele gebeurtenis, waarschuwing en uitzondering. Een uitzondering is een gebeurtenis die abnormale werking aangeeft, wat uiteindelijk kan leiden tot negatieve gevolgen voor de zakelijke processen. | Vo-ICR | |||||||
UPS | Uninterruptible Power Supply | UPS is een voeding die ononderbroken spanning levert aan achterliggende apparatuur. | Vo-ICR | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
veilige verwijdering (secure disposal) | vernietiging van een document, in welk formaat dan ook, waardoor het onbruikbaar wordt en de reconstructie van alle informatie die daarin staat permanent wordt uitgeschakeld. | ||||||||
veiligheidsprofiel | karakterisering van beveiligingseisen in een lijst. | ||||||||
veiligheidstandaard | Specificatie van concrete eisen en verplichtingen uit een beleidsdocument. | ||||||||
vereiste | "behoefte of verwachting die wordt uitgesproken, doorgaans impliciet of verplicht Opmerking 1 bij de term: "Over het algemeen impliciet" betekent dat het voor de organisatie en belanghebbenden gebruikelijk of gangbaar is dat de overwogen behoefte of verwachting impliciet is. Opmerking 2 bij de term: Een gespecificeerde eis is een eis die bijvoorbeeld in gedocumenteerde informatie wordt vermeld." | ISO 27000:2018 | |||||||
Vertrouwde informatiecommunicatie-entiteit | autonome organisatie (3.50) die informatie-uitwisseling ondersteunt binnen een gemeenschap die informatie deelt (3.34) | ISO 27000:2018 | |||||||
Vertrouwelijke informatie | informatie die niet bedoeld is om beschikbaar te worden gesteld of bekendgemaakt aan ongeautoriseerde personen, entiteiten (3.1.11) of processen (3.1.27) | ||||||||
Vertrouwelijkheid | eigenschap dat informatie niet beschikbaar wordt gesteld of openbaar wordt gemaakt aan ongeautoriseerde personen, entiteiten of processen (3.54) | ISO 27000:2018 | |||||||
Vertrouwelijkheid (CIA) Confidentiality | Zie confidentiality | Vo-ICR | |||||||
Vertrouwelijkheidslabel (ICR) | Het vertrouwelijkheidslabel is het label dat van toepassing is op de toegankelijkheid van informatie. Labels: Publiek, intern, vertrouwelijk, geheim & zeer geheim | Vo-ICR | |||||||
Virtuele machine | softwaregedefinieerde volledige uitvoeringsstack bestaande uit gevirtualiseerde hardware (3.6), besturingssysteem (gastbesturingssysteem) en applicaties | ISO/IEC 21878:2018 | |||||||
Virus | type malware (Zie Malware): software die is ontworpen met kwade bedoelingen en functies of mogelijkheden bevat die mogelijk direct of indirect schade kunnen toebrengen aan de gebruiker en/of het systeem van de gebruiker | ISO/IEC 27039:2015 | |||||||
Vlaamse arbeidsregelement | Het arbeidsreglement verzamelt de rechten en plichten van werkgever en werknemer. Het is een praktische vertaling van de afspraken die in de arbeidsovereenkomst staan. Elke werkgever moet een arbeidsreglement opstellen zodra hij één werknemer in dienst heeft. | ||||||||
Vlaamse deontologische code | Elke personeelslid van de Vlaamse overheid moet zich houden aan de normen en basisregels die vastgelegd zijn in de deontologische code van de Vlaamse overheid en de arbeidsreglementen van de afzonderlijke diensten. | ||||||||
Vlaamse ICT-code | Als personeelslid binnen de diensten van de Vlaamse overheid ga je zorgvuldig om met werkmiddelen. Ook met de ICT-middelen die je krijgt van je werkgever. Daarom is er een ICT-code. Op deze webpagina lees je er alles over. | ||||||||
VLAN | groep hosts die communiceren alsof ze verbonden zijn met hetzelfde uitzenddomein, ongeacht hun fysieke locatie of fysieke verbinding met dezelfde netwerkswitch | IEC 80001-2-3:2012 | |||||||
VPN | Virtual Private Network | Een VPN is een verzameling van technieken waarvan sommigen werken met het versleutelen van de gegevens, waardoor alleen de ontvangers die beschikken over de juiste sleutel de inhoud van het bericht kunnen lezen. Er wordt gebruik gemaakt van een proces dat tunneling wordt genoemd. | Vo-ICR | ||||||
VTC | Vlaamse Toezichtcommissie | Het VTC is als toezichthoudende autoriteit verantwoordelijk voor het toezicht op het toepassen van de AVG door de Vlaamse bestuursinstanties. | Vo-ICR | ||||||
Vulnerability (Kwetsbaarheid) | Zie kwetsbaarheid | Vo-ICR | |||||||
Vulnerability scan | Een vulnerability scan is een inspectie van de potentiële exploitatiepunten op een computer of netwerk om veiligheidslekken te identificeren. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
Waarschuwing | Een gebeurtenis wordt ingedeeld in drie categorieën: Informationele gebeurtenis, waarschuwing en uitzondering. | Vo-ICR | |||||||
Web Server | Een web server is een programma da via een netwerk HTTP-verzoeken ontvangt en documenten naar de client stuurt. | Vo-ICR | |||||||
Werking | |||||||||
Wijziging | Een wijziging is elke geplande verandering op een ICT-component, ICTdienstverlening of bijhorende elementen. Een verandering is een toevoeging, aanpassing of verwijdering. | Vo-ICR | |||||||
Wijzigingsaanvraag | Request for Change | Een wijzigingsaanvraag behoort als input voor het proces wijzigingsbeheer. Het betref een functionele wijziging of een technische wijziging (m.i. een wijziging i.h.k.v. beveiliging) of beiden. | Vo-ICR | ||||||
Wijzigingskalender | Een wijzigingskalender is de planning van de wijziging die is opgezet door wijzigingsbeheer. | Vo-ICR | |||||||
Wijzigingslog | In een wijzigingslog of change log wordt de historiek van de wijzigingen bijgehouden. Deze log laat toe om na te gaan welke wijzigingen wanneer werden uitgevoerd en door wie. | Vo-ICR | |||||||
Wijzigingsplan | Een wijzigingsplan is de planning van de wijziging die is opgezet door wijzigingsbeheer. Het wijzigingsplan bevat details van alle goedgekeurde wijzigingen en hun planning. | Vo-ICR | |||||||
Wijzigingsregistratie | De wijzigingsregistratie is de plaats waar de informatie voor het verdere verloop van de wijziging wordt vastgelegd, nadat de wijzigingsaanvraag is geaccepteerd. Meer informatie wordt hieraan toegevoegd in het verdere verloop van de wijziging zoals: De toegekende prioriteit, de toegekende categorie, … | Vo-ICR | |||||||
Work Around | Een work around is voorgesteld werkwijze om aan de gebruiker toe te laten dezelfde of een gedeeltelijke (aanvaardbare) functionaliteit te gebruiken tot een permanente oplossing gevonden en geïmplementeerd is. | Vo-ICR | |||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
| |||||||||
Term | Voluit | Verklaring | Bron | ||||||
Zero-day aanval | Een zero-day aanval is een computeraanval waarbij wordt gepoogd misbruik te maken van een zwakke plek in software die nog onbekend is bij de software-ontwikkelaar. Een zero-day of 0-day kwetsbaarheid is een onbekende kwetsbaarheid in de software. Deze wordt gebruikt of gedeeld door aanvallers voordat de ontwikkelaars van de doelsoftware iets afweten van deze kwetsbaarheid. | Vo-ICR | |||||||
zero-trust | Een beveiligingsmodel, een reeks systeemontwerpprincipes en een gecoördineerde strategie voor cyberbeveiliging en systeembeheer, gebaseerd op de erkenning dat bedreigingen zowel binnen als buiten de traditionele netwerkgrenzen bestaan. Het zero trust-beveiligingsmodel elimineert het impliciete vertrouwen in een bepaald element, onderdeel, knooppunt of dienst en vereist in plaats daarvan voortdurende verificatie van het operationele beeld via realtime informatie uit meerdere bronnen om de toegang en andere systeemreacties te bepalen. | NIST 800-160 | |||||||
zwarte lijst (blacklist)(software) | Lijst met verboden software. |