Breadcrumbs

PvE | Netwerkbeveiliging Twiin Deelnemer

De tekst in dit onderdeel bevat afspraken in opmaat naar het Landelijk afsprakenstelsel voor gezondheidsgegevens.

De volgende netwerkbeveiligingseisen zijn van toepassing voor de Twiin Deelnemer. Toelichting over de opgenomen attributen is te vinden onder 1.3 | Schrijfwijze van objecten .

Generieke functie: Netwerkbeveiliging (Twiin Deelnemer)

TW-F-NB-002

ICT-gereedheid voor bedrijfscontinuïteit

Legacy code

M101

Status

Normatief

Omschrijving

De Twiin Deelnemer MOET ICT-gereedheid voor bedrijfscontinuïteit hebben geborgd.

Toelichting

De Twiin Deelnemer ZOU een exitstrategie MOETEN opstellen om over te stappen naar een andere GTK Leverancier waarbij rekening gehouden is met:

  • Een opzegtermijn die voldoende is om te migreren

  • Logging, data en configuratiegegevens worden pas verwijderd na succesvolle migratie

  • Een onafhankelijke partij controleert of alle data succesvol gemigreerd is

Daarnaast ZOU een Twiin Deelnemer een Disaster recovery plan MOETEN opstellen waarin is vastgelegd:

  • Welke partijen zijn essentieel voor de bedrijfsvoering

  • Alternatieven voor leveranciers en distributiekanalen

  • Communicatiekanalen naar Twiin Deelnemers

  • Stappenplan voor herstel.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.5.30

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek


TW-F-NB-003

Contractuele afspraken

Legacy code

M102

Status

Normatief

Omschrijving

De Twiin Deelnemer MOET het volgende contractueel vastleggen met haar leveranciers:

  • Afspraken over handelen bij cyberaanval

  • Clausules bij overname

  • Duidelijke afspraken over de dienstverlening

  • SLA afspraken (uptime, RPO/RTO)

  • Afspraken over datasoevereiniteit

  • Afspraken over een exit strategie (zie ook M103)

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-005

Multi-factor authentication

Legacy code

M104

Status

Normatief

Omschrijving

Alle systemen MOETEN met Multi Factor Authentication (MFA) beveiligd zijn.

Toelichting

Deze eis gaat specifiek over persoonsgebonden accounts die nodig zijn voor veilig netwerk. Bijvoorbeeld beheeraccounts op switches, firewalls en andere componenten.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.8.5

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-006

Proactieve maatregelen

Legacy code

M105

Status

Normatief

Omschrijving

De Twiin Deelnemer MOET een proactief beveiligingsbeleid voeren waarin de volgende eisen zijn opgenomen:

  • Systemen worden jaarlijks gepentest met opvolging van de aanbevelingen.

  • Gebruikers en beheerders krijgen periodieke awareness training.

Toelichting

De pentest MOET worden uitgevoerd volgens de MIAUW-methodiek of daarmee vergelijkbare industriestandaard, zoals de NIS2-richtlijnen, ISO27001, ENISA guidelines of OWASP-methodes

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

https://github.com/brennodewinter/Informatiebeveiligingsonderzoek
https://open.overheid.nl/documenten/cfc25920-0a72-4f57-83b6-5070e63dbc72/file

Toetsingscategorie

Via Twiin

Toetsingsvorm

Zelfverklaring

Niveau

Generiek



TW-F-NB-007

Data Loss Prevention

Legacy code

M106

Status

Normatief

Omschrijving

Het is AANBEVOLEN om een Data Loss Prevention (DLP) tool uit te rollen.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.8.12

Toetsingscategorie

Geen

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-008

Awareness

Legacy code

M107

Status

Normatief

Omschrijving

Het is AANBEVOLEN om jaarlijks een awareness campagne te organiseren.

Vereiste

ZOU MOETEN

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Toetsingscategorie

Geen

Niveau

Generiek



TW-F-NB-009

Beperk web-based content

Legacy code

M108

Status

Normatief

Omschrijving

Toegang tot web-based content en systeemuitwisseling via webapplicaties MOET beschermd worden met de volgende maatregelen:Gebruik een Web Application Firewall (WAF) om inkomend en uitgaand webverkeer te inspecteren en aanvallen op webapplicaties te detecteren en blokkerenFilter en monitor HTTP(S)-verkeer op verdachte patronen, reputatie en ongeautoriseerde contentBlokkeer onveilige website bij de gateway (proxy).

Toelichting

Systemen beschermen om te voorkomen dat zedoor malware worden gecompromitteerd en om toegang tot ongeoorloofde internetbronnen tevoorkomen.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

Twiin Deelnemer

Referenties

NEN7510-1:2024 A.8.23

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek



TW-F-NB-010

Scannen van kwetsbaarheden

Legacy code

M109 / M231

Status

Normatief

Omschrijving

De Twiin Deelnemer en GTK Leverancier MOETEN een periodiek controleproces hebben m.b.t. reguliere scans van protocolstacks en m.b.t. encryptie, om vast te stellen dat systemen en protocolconfiguraties voldoen aan het Twiin Afsprakenstelsel.

Vereiste

MOET

Functie

Netwerkbeveiliging

Rol

GTK Twiin Deelnemer  

Referenties

NEN7510-1:2024 A.8.24, A.8.8 9.4 | Voorwaarden GTK 9.4 (1.4) Netwerk

Toetsingscategorie

Via Twiin

Toetsingsvorm

Externe verklaring

Niveau

Generiek