/
IM_SU.10


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

IM_SU.10

  • GEVALIDEERD

    • Implementatiemaatregel

    Relevante eisen rondom formele verantwoording middels certificering en/of attesten ZOUDEN kunnen worden vastgesteld en met de leverancier contractueel worden overeengekomen. Hierbij dient het volgende in ogenschouw te worden genomen:

    • De verplichting van de leverancier om een industrie informatiebeveiligingscertificaat te hebben of te behalen voor de diensten en producten in scope van de overeenkomst, zoals ISO/IEC 27001, CyFun zekerheidsniveau of equivalent.

    • Aanvullend op de plicht van ISO/IEC 27001 certificering of een CyFun zekerheidsniveau: Voor producten en diensten van informatieklasse 3 of hoger, de verplichting van de leverancier om de doeltreffendheid en effectiviteit van beheersmaatregelen te laten toetsen en rapporteren middels een industrie-gebaseerde attest door een onafhankelijke geaccrediteerde auditor.

    • Richtlijn voor attesten rapportage:

      • Informatieklasse 1: Geen specifieke eisen voor attesten

      • Informatieklasse 2: SSAE SOC 3 of equivalent

      • Informatieklasse 3: Type 1 van ISAE 3000/3402, SSAE SOC1/2 of equivalent

      • Informatieklasse 4: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of equivalent

      • Informatieklasse 5: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of maatwerkattest als de standaard rapportage niet de gehele scope of het risico afdekt

    Onderwerp

    Verantwoording

    Informatieklasse

    1 2 3 4 5

    BIV

    BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

    Type maatregel

    PREVENTIEF

    Cybersecurityconcept

    IDENTIFICEREN

    Beleidsdomein

    ISO 27001:2022

    Filter by label

    There are no items with the selected labels at this time.

    Dreigingen

     

    Dit is een document voor publiek gebruik.