A.12 Operationeel beheer

A.12Operationele procedures en verantwoordelijkhedenVerwijzingen
A.12.1.1Gedocumenteerde werkwijzes

Zijn de werkwijzes goed beschreven?
Zijn de beschrijvingen van de werkwijzen beschikbaar voor alle gebruikers die ze nodig hebben? 
 
A.12.1.2Veranderingsmanagement

Is er een gecontroleerd verandermanagementproces?
 
A.12.1.3Capaciteitsbeheer

Is er een proces voor capaciteitsbeheer?
 
A.12.1.4Scheiding van ontwikkel-, test- en productie omgevingen

Dwingt de organisatie scheiding af van ontwikkel-, test- en productie omgevingen?
 
A.12.2Bescherming tegen malware 
A.12.2.1Maatregelen tegen malware

Zijn er processen om malware te detecteren?
Zijn er processen om verspreiding van malware te voorkomen?
Heeft de organisatie een proces en capaciteit om te herstellen van een malware-infectie? 
 
A.12.3Backup 
A.12.3.1Informatie back-up

Is er een overeengekomen back-upbeleid?
Voldoet het back-upbeleid van de organisatie aan relevante wettelijke kaders?Worden back-ups gemaakt in overeenstemming met het beleid?
Worden back-ups getest? 
 
A.12.4Logboekregistratie en bewaking 
A.12.4.1Gebeurtenisregistratie

Worden de juiste gebeurtenislogboeken (events) bijgehouden en regelmatig beoordeeld?
 
A.12.4.2Bescherming van loginformatie

Zijn loggingfaciliteiten beschermd tegen manipulatie en ongeoorloofde toegang?
 
A.12.4.3Worden beheerder-logboeken (gebruikers met verhoogde rechten) bijgehouden, beschermd en regelmatig gecontroleerd? 
A.12.4.4Zijn klokken op alle IT-systemen gesynchroniseerd? 
A.12.5Beheer van productiesoftware 
A.12.5.1Is er een proces om de installatie van software op productiesystemen te bewaken? 
A.12.6Beheer van technische kwetsbaarheden 
A.12.6.1


Heeft de organisatie toegang tot actuele en tijdige informatie over technische kwetsbaarheden?Is er een proces om risico’s te beoordelen en om te gaan met nieuwe kwetsbaarheden wanneer deze worden ontdekt?
 
A.12.6.2Beperkingen op de installatie van software
Zijn er processen om te beperken hoe gebruikers software installeren?
 
A.12.7Overwegingen bij de controle van informatiesystemen 
A.12.7.1Auditcontroles van informatiesystemenWorden informatiesystemen onderworpen aan audita?Zorgt het auditproces ervoor dat bedrijfsonderbrekingen tot een minimum worden beperkt?