IM_SD.07

Informatieveiligheidseisen MOETEN worden vastgesteld voor alle soorten projecten, niet alleen voor ICT-ontwikkelprojecten. Bij het vaststellen van deze eisen moet het volgende in aanmerking worden genomen:

• welke informatie het betreft, wat de bijbehorende informatieveiligheidsbehoeften zijn (classificatie) en de mogelijke negatieve bedrijfsimpact die het gevolg kan zijn van ontoereikende beveiliging;

• de noodzaak om de desbetreffende informatie en andere gerelateerde bedrijfsmiddelen te beschermen, met name wat betreft vertrouwelijkheid, integriteit en beschikbaarheid; 

• de vereiste mate van betrouwbaarheid of zekerheid ten opzichte van de beweerde identiteit van entiteiten om de authenticatie-eisen af te leiden;

• processen voor het verlenen van toegang en autorisatie, voor klanten en andere zakelijke gebruikers en voor bevoorrechte of technische gebruikers, zoals relevante projectleden, mogelijk operationeel personeel of externe leveranciers;

• het informeren van gebruikers over hun plichten en verantwoordelijkheden;

• eisen die zijn afgeleid van bedrijfsprocessen, zoals registreren en monitoren van transacties, eisen voor onweerlegbaarheid;

• eisen die verplicht zijn gesteld door andere beheersmaatregelen met betrekking tot informatieveiligheid (bijv. interfaces voor het registreren en monitoren of systemen voor het detecteren van lekken van gegevens);

• naleving van de wettelijke, statutaire, regelgevende en contractuele omgeving waarin de organisatie actief is;

• het vereiste niveau van vertrouwen of zekerheid dat derden zullen voldoen aan het informatieveiligheidsbeleid en de onderwerp-specifieke beleidsregels van de organisatie, met inbegrip van relevante beveiligingsclausules in overeenkomsten of contracten. 

Projectmanagement

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

PREVENTIEF

IDENTIFICEREN BESCHERMEN