Inkoopeisen Cybersecurity Overheid: de ICO-Wizard

Met deze wizard stelt u een set van Informatiebeveiligingseisen samen voor uw uitbestedingen en contracten. U kunt kiezen om deze uit te breiden met diverse supplementen, waaronder privacy-eisen en eisen uit de ABDO. Selecteer wat van toepassing is en druk op Resultaat. Daarna kunt u de set opvragen in Word en Excel. Handig om (evt. door uzelf aangepast) mee te sturen met de aanbesteding of het inkoopcontract. 

Nieuw per 22-03-2023: Inkooponderdeel Middleware definitief toegevoegd en de BIO-O-maatregelen integraal opvraagbaar gemaakt voor BBN1 en/of BBN2.

i
Het onderdeel 'Algemeen Ketenpartners' bevat eisen die van belang zijn als de dienstverlening van de leverancier structureel onderdeel uitmaakt van de dienstverlening van de opdrachtgevende organisatie. Het is dan van belang dat ook de leverancier zich voegt naar de kaders die voor de opdrachtgever van toepassing zijn (i.c. de BIO). Deze eisen komen niet in plaats van de eisen van de overige inkooponderdelen. Selecteer aanvullend op dit onderdeel dus ook de inkooponderdelen die betrekking hebben op de verschillende diensten die afgenomen worden.
i
Het onderdeel 'Applicatieontwikkeling algemeen' bevat eisen aan de informatieveiligheid van het ontwikkelproces. Dit zijn vooral proceseisen en geen specifieke producteisen. Kies dit onderdeel als het wenselijk is specifieke eisen te stellen aan de processen van de leverancier, of als bijv. een mantel voor ontwikkelorganisaties wordt aanbesteed.
i
Het onderdeel 'Clouddiensten' bevat generieke informatieveiligheidseisen voor de verschillende vormen van clouddiensten (zoals IAAS, PAAS en SAAS, zowel in de vorm van Public- als Private Cloud). De eisen doen geen uitspraak over de vraag in welke situaties u Cloud mag inzetten. Dit is volledig afhankelijk van organisatie- of sectorbeleid. Afhankelijk van de functies die u in de Cloud afneemt, kunt u extra eisen toevoegen uit de overige inkooponderdelen.
i
Het onderdeel 'Communicatievoorzieningen' bevat eisen die te maken hebben met diensten zoals: instant messaging, sociale media, elektronische berichten (ook de inhoud), informatietransport via e-mail, telefoon, video (ook de inhoud) etc. en netwerkdiensten (zoals infrastructuur, fysiek en logisch). Kies dit onderdeel als u een of meer van dit type diensten aanbesteedt/inkoopt.
i
Het onderdeel 'DigiD Applicaties' bevat de eisen die verplicht zijn gesteld voor dienstverlening waarbij authenticatie plaatsvindt m.b.v. DigiD. In het algemeen zult u dit onderdeel kiezen in combinatie met inkooponderdelen die te maken hebben met de ontwikkeling van maatwerkapplicaties, pakketten of mobiele apps. Kies dit onderdeel dus als DigiD gebruikt wordt voor de authenticatie van de gebruikers van die applicaties.
i
Het onderdeel 'Huisvesting IV' bevat eisen die gesteld moeten worden aan de fysieke bescherming van rekencentra, terreinen en gebouwen, alsmede de middelen en apparatuur t.b.v. verwerking, transport en opslag van data. Kies dit onderdeel bij uitbesteding van housing en hosting.
i
Het onderdeel 'Maatwerk of maatwerkpakket' bevat eisen die gesteld worden aan het op te leveren product bij maatwerk software-ontwikkeling of bij selectie van een maatwerkpakket. Dit betreft concrete onderwerpen die meestal goed te testen zijn.
i
Het onderdeel 'Middleware' bevat eisen voor middleware software. Dit is software die de communicatie en de verbinding regelt tussen verschillende soorten IT-systemen. Bijvoorbeeld de verbinding tussen systeemapplicaties, softwarepakketten, besturingssystemen en bepaalde hardware.
i
Voor het inkooponderdeel Mobiele apparatuur & Telewerken zijn (nog) geen basiseisen opgenomen. Als echter ook gekozen wordt voor het tonen van BIO-O maatregelen en/of ABDO-supplementen, volgen hier de maatregelen uit resp. de BIO en de ABDO die te maken hebben met dit inkooponderdeel.
i
Het onderdeel 'Mobiele Applicaties' bevat eisen die gesteld worden aan mobiele applicaties (apps). Dit betreft concrete onderwerpen die meestal goed te testen zijn.
i
Het onderdeel 'Procesautomatisering' bevat eisen die gesteld moeten worden bij aanbestedingen van industriele objecten met digitale componenten. De eisen zijn gebaseerd op CSIR3.4, dat door Rijkwaterstaat en de Waterschappen is ontwikkeld o.b.v. BIO en IEC62443.
i
Het onderdeel 'Serverplatform' bevat generieke informatieveiligheidseisen aan serverplatforms en het beheer daarvan. Het begrip serverplatform omvat componenten als server-hardware, virtualisatietechnologie en besturingssystemen. Kies dit onderdeel als het gaat om aanschaf van dit type technologie of uitbesteding van hosting of platformbeheer.
i
Het onderdeel 'Softwarepakketten' bevat generieke IB&P-eisen die gehanteerd kunnen worden bij het verwerven van standaardpakketten. Dit zijn softwarepakketten die op de markt beschikbaar zijn en beschikken over standaardfunctionaliteit die door diverse organisaties gebruikt kan worden. Voorbeelden zijn pakketten voor Enterprise Resource Planning (ERP) en zogenaamde office-suites ten behoeve van kantoorautomatisering (KA).
i
Het onderdeel 'Toegangsbeveiliging' bevat informatieveiligheidseisen die gesteld moeten worden aan het geheel van beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot digitale middelen van de organisatie. Deze omvatten informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken. Meestal zult u dit onderdeel willen kiezen in combinatie met andere inkooponderdelen, waaraan u nadrukkelijk eisen wilt toevoegen op het gebied van toegang.