| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
Wat is het?
Met “vulnerability scans” doelen we op (geautomatiseerde) scans van een toepassing en haar onderliggende infrastructuur. Deze gaan op zoek naar onder andere op kwetsbare varianten van infrastructuurcomponenten die niet de juiste patches hebben geïnstalleerd. Ze kunnen ook gekend kwetsbare instellingen opsporen. Dit is een scan die meestal op regelmatige intervals gebeurd, bijvoorbeeld één keer per maand.
...
Alle toepassingen en hun onderliggende infrastructuurcomponenten die zich binnen de verantwoordelijk van de Vlaamse overheid bevinden
Deze toepassingen en hun infrastructuurcomponenten kunnen in eigen beheer zijn, of gelegeerd naar een leverancier.
In het geval van uitbesteding, moet je contractueel afdekken dat de leveranciers deze controles uitvoert en dat de Vlaamse overheid inzicht krijgt in de resultaten en remediëring van de gevonden kwetsbaarheden. Hoe betrokken je hierin bent, hangt af van je risico-appetijt, zoals ook al hierboven besproken.