De toegang naar Public Domain IT kennis, checklisten en best practices.

 Welkom op ITpedia

ITpedia checklist.

Checklist:     Informatie beveiliging audit
Nr. G008Aanschaf, ontwikkeling en onderhoud

Nr.IDVraagFout                             Goed
14219Wordt een analyse van de beveiligingseisen uitgevoerd tijdens het specificeren van het pakket van eisen voor elk te ontwikkelen informatiesysteem?
24220 Worden in analyses van bedrijfsvereisten voor nieuwe systemen of pakketten (of uitbreidingen van bestaande systemen) tevens de beveiligingseisen opgenomen?
34222 Besteden de analyses van bedrijfsvereisten voor nieuwe systemen of pakketten (of uitbreidingen) aandacht aan handmatige beveiligingsmaatregelen?
44221 Besteden de analyses van bedrijfsvereisten voor nieuwe systemen of pakketten (of uitbreidingen) aandacht aan geautomatiseerde beveiligingsmaatregelen
54223 Komen de beveiligingseisen en -maatregelen tegemoet aan de wettelijke eisen die worden gesteld aan de beveiliging van een informatiesysteem?
64224Weerspiegelen de beveiligingseisen de waarde van de informatiebedrijfsmiddelen en de potentiële schade die kan optreden bij falen of ontbreken van beveiliging?
74225Wordt bij de specificatie van beveiligingseisen een afweging gemaakt tussen de eisen voor beschikbaarheid en integriteit versus de eisen voor vertrouwelijkheid?
84226Worden gegevens die worden ingevoerd in applicaties gevalideerd op juistheid, volledigheid en mate van actualiteit?
94228Zijn toepassingssystemen voorzien van geldigheidscontroles om door verwerkingsfouten of door opzettelijke handelingen beschadigde gegevens op te sporen?
104227Worden gegevens die worden verwerkt door applicaties gevalideerd?
114229 Is er controle op de uitvoergegevens om te waarborgen dat de verwerking van opgeslagen gegevens op een correcte manier plaatsvindt en passend is gezien de omstandigheden?
124230 Is een risicoanalyse uitgevoerd om te bepalen of authenticatie voor de verzending van gevoelige gegevens vereist is?
134231 Is bij de risicoanalyse rekening gehouden met de implementatiemethode?
144232 Is bij de risicoanalyse rekening gehouden met het feit dat authenticatie van berichten niet bedoeld is om berichten tegen ongeautoriseerde openbaarmaking te beschermen?
154233 Is een risicoanalyse uitgevoerd om te bepalen of encryptie van gevoelige gegevens vereist is?
164234Wordt binnen de organisatie gebruik gemaakt van cryptografische technieken voor de beveiliging van informatie?
174235Is een beleid aanwezig voor het gebruik van cryptografische technieken voor de beveiliging van informatie?
184236 Wordt gebruik gemaakt van een externe leverancier van cryptografische diensten?
194237 Beschikt de externe leverancier over correcte maatregelen en procedures om de vereiste mate van betrouwbaarheid te waarborgen?
204238 Zijn de aspecten aansprakelijkheid, betrouwbaarheid, en responsetijden van de levering van de diensten van de externe leverancier opgenomen in het contract?
214239 Worden elektronische handtekeningen gebruikt?
224240 Is een beleid geformuleerd voor het gebruik van elektronische handtekeningen?
234241 Is aandacht besteed aan diensten m.b.t. onweerlegbaarheid, om eventuele meningsverschillen uit de weg te ruimen over het bestaan van gebeurtenissen of handelingen?
244242 Wordt de implementatie van programmatuur en aanpassingen daarop op operationele systemen beheerst?
254243 Krijgen leveranciers van programmatuur alleen fysieke of logische toegang wanneer dit nodig is en dan alleen na toestemming van de leiding?
264244 Worden de activiteiten van leveranciers van programmatuur bewaakt?
274245 Worden strenge beveiligingsmaatregelen in acht genomen in het geval productiegegevens bij systeem- en acceptatietesten worden gebruikt?
284246 Wordt het gebruik van originele databases met persoonsgegevens voor systeem- en acceptatietesten tot het noodzakelijke minimum beperkt?
294247 Worden originele databases met persoonsgegevens geanonimiseerd alvorens voor systeem- en acceptatietesten te worden gebruikt?
304248 Wordt de toegang tot bronbestanden voor programmatuur beperkt en beheerst?
314249 Zijn procedures opgesteld voor het beheer van wijzigingen in informatiesystemen?
324250 Waarborgen de wijzigingsprocedures dat beveiligings- en beheerprocedures niet in gevaar worden gebracht bij wijzigingen in informatiesystemen?
334251 Waarborgen de wijzigingsprocedures dat medewerkers uitsluitend toegang hebben tot voor hen nodige delen van het informatiesysteem?
344252 Worden alleen wijzigingen van geautoriseerde gebruikers geaccepteerd?
354253Worden wijzigingsprocedures voor toepassingsprogrammatuur en voor systeemprogrammatuur zo mogelijk geïntegreerd?
364254Worden de gevolgen voor de beveiliging van alle wijzigingen in het besturingssysteem nagegaan?
374255 Wordt de beveiliging van toepassingen bekeken op nadelige gevolgen van wijzigingen in het besturingssysteem?
384256 Worden wijzigingen in programmatuurpakketten zoveel mogelijk vermeden?
394257 Wordt, indien wijzigingen in aangekochte programmatuur noodzakelijk zijn, de oorspronkelijke programmatuur bewaard?
404258 Wordt, indien wijzigingen in aangekochte programmatuur noodzakelijk zijn, deze aangebracht in een duidelijk gemarkeerde kopie en volledig gedocumenteerd?
414259 Zijn maatregelen getroffen om te voorkomen dat gegevens bereikt kunnen worden via verborgen communicatiekanalen?
424260 Worden ingeval van uitbesteding van de ontwikkeling van programmatuur schriftelijke afspraken gemaakt om de kwaliteit van de programmatuur te kunnen waarborgen?
434261 Besteden de afspraken aandacht aan de eigendomsrechten?
444262 Besteden de afspraken aandacht aan test- en acceptatieprocedures?
454263 Besteden de afspraken aandacht aan het geval dat de externe partij in gebreke blijft (bijvoorbeeld escrow)?
PrintenCijfer: 0,0

Gekoppelde artikelen:
Organisatie, Knelpunten, Oplossingen, Achtergronden: Offshore software ontwikkeling: plan van aanpak IT / ICT outsourcing
Achtergronden, Definities: Cryptografie
Analyses, Juridisch: Hoe betrouwbaar is de digitale handtekening?
Achtergronden, Definities, Juridisch: Algemene voorwaarden
Sidebar