Inkoopeisen Cybersecurity Overheid: de ICO-Wizard

Met deze wizard stelt u een set van I-beveiligingseisen samen voor uw uitbestedingen en contracten. Selecteer wat van toepassing is en druk op Resultaat. Daarna kunt u de set opvragen in Word en Excel. Handig om (evt. door uzelf aangepast) mee te sturen met de aanbesteding of het inkoopcontract.    

i
Het onderdeel ‘Algemeen Ketenpartners’ bevat eisen die van belang zijn als de leverancier met zijn dienstverlening op structurele basis onderdeel uitmaakt van de dienstverlening van de organisatie van de opdrachtgever. Het is dan van belang dat deze zich voegt in dezelfde omvattende kaders als voor de opdrachtgever zelf gelden (i.c. de BIO). Deze eisen komen niet in de plaats van de eisen van de overige inkooponderdelen. Kies voor de verschillende diensten die worden afgenomen dus ook altijd de inkooponderdelen die daarbij passen.
i
Het onderdeel Applicatieontwikkeling algemeen bevat eisen die vooral te maken hebben met de organisatie, de processen en de borging van informatieveiligheid van het ontwikkelproces. Het bevat vooral proceseisen en geen specifieke producteisen. Kies dit onderdeel als u bijv. een mantel voor ontwikkelorganisaties aanbesteedt of in het algemeen als u specifieke eisen wilt stellen aan de processen van de leverancier. Link naar brondocument: https://www.cip-overheid.nl/category/producten/bio/#applicatieontwikkeling
i
Het onderdeel Clouddiensten bevat generieke eisen die gesteld kunnen worden aan alle typen clouddiensten: van IAAS tot SAAS; van Public tot Private Cloud. Deze eisen doen geen uitspraak over de vraag in welke situaties u Cloud kunt inzetten. Dit is volledig afhankelijk van het beleid van uw organisatie. Het kan zijn dat u bovenop deze eisen, afhankelijk van de functies die u in de Cloud afneemt extra eisen uit de overige inkooponderdelen wilt toevoegen. Link naar brondocument: https://www.cip-overheid.nl/productcategorie%C3%ABn-en-worshops/producten/bio-en-uitwerkingen/#Cloud
i
Het onderdeel Communicatievoorzieningen bevat eisen die te maken hebben met diensten zoals: instant messaging, sociale media, elektronische berichten (ook over de daarin op opgenomen informatie), informatietransport, e-mail, telefoon, netwerk. Kies dit onderdeel als u een of meer van dit type diensten aanbesteedt/inkoopt. Link naar brondocument: https://www.cip-overheid.nl/category/producten/bio/#communicatievoorzieningen
i
Het onderdeel DiGiD Applicaties bevat de eisen die verplicht zijn gesteld voor dienstverlening waarbij authenticatie plaatsvindt m.b.v. DiGiD. In het algemeen zult u dit onderdeel kiezen in combinatie met inkooponderdelen die te maken hebben met de ontwikkeling van maatwerkapplicaties, pakketten of mobiele apps. Kies dit onderdeel dus als DiGiD gebruikt wordt voor de authenticatie van de gebruikers van die applicaties. Link naar bronducument: https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties
i
Het onderdeel Huisvesting IV bevat de eisen die gesteld moeten worden aan de fysieke bescherming van de middelen en apparatuur die gebruikt worden voor verwerking, transport en opslag van data, alsmede de ruimten waarin rekencentra zijn ondergebracht en de terreinen en gebouwen die daaraan gerelateerd zijn. Dit onderdeel zal bijvoorbeeld gekozen worden in het geval uitbesteding van housing en hosting. LInk naar brondocument: https://www.cip-overheid.nl/category/producten/bio/#huisvesting-informatievoorziening
i
Het onderdeel Maatwerk of maatwerkpakket bevat de eisen die gesteld kunnen worden aan te ontwikkelen applicaties. Het leent zich ook voor het selecteren van pakketten met specifieke functionaliteit. Dit onderdeel bevat vooral eisen aan het product dat opgeleverd wordt, zijn daarmee veelal zeer concreet van aard en meestentijds ook goed testbaar. Link naar brondocument: https://www.cip-overheid.nl/productcategorie%C3%ABn-en-worshops/producten/secure-software/#Grip-op-SSD
i
Het onderdeel Mobiele Applicaties bevat de eisen die gesteld kunnen worden aan te ontwikkelen mobiele apps. Dit onderdeel bevat vooral eisen aan het product dat opgeleverd wordt, zijn daarmee veelal zeer concreet van aard en meestentijds ook goed testbaar. Link naar brondocument: https://www.cip-overheid.nl/category/producten/secure-software/#grip-op-ssd-de-normen-voor-mobiele-apps
i
Het onderdeel Procesautomatisering bevat eisen die gesteld moeten worden bij aanbestedingen van industriele objecten met digitale componenten. De eisen zijn gebaseerd op CSIR3.4, dat door Rijkwaterstaat en de Waterschappen is ontwikkeld o.b.v. BIO en IEC62443. Link: https://cip-overheid.nl/productcategorie%C3%ABn-en-worshops/producten/bio-en-thema-uitwerkingen/#CSIR
i
Het onderdeel Serverplatform bevat generieke eisen die gerelateerd zijn aan serverplatforms. Het betreft componenten als server-hardware, virtualisatietechnologie en besturingssystemen. Kies dit onderdeel als het gaat om aanschaf van dit type technologie, dan wel uitbesteding van hosting of platformbeheer. Link naar brondocument: https://www.cip-overheid.nl/category/producten/bio/#serverplatform
i
Het onderdeel Softwarepakketten bevat generieke IB&P-eisen die gehanteerd kunnen worden bij het verwerven van standaarpakketten. Hieronder verstaan we bestaande softwarepakketten die op de markt zijn gebracht t.b.v. gebruik in verschillende organisaties. Voorbeelden van softwarepakketten zijn Enterprise Resource Planning (ERP)-pakket en Office-suites.
i
Het onderdeel Toegangsbeveiliging omvat het geheel aan richtlijnen, procedures en beheersingsprocessen, systemen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken van een organisatie. Meestal zult u dit onderdeel willen kiezen in combinatie met andere inkooponderdelen, waaraan u nadrukkelijk eisen wilt toevoegen op het gebied van toegang. Link naar brondocument: https://www.cip-overheid.nl/category/producten/bio/#toegangsbeveiliging