Verklaring van Toepasselijkheid

Transcriptie

1 Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016

2 Document index Auteur Parantion Groep B.V. Document naam Verklaring van Toepasselijkheid Datum Maart 2016 Distributie Vertrouwelijk/ extern klanten Inhoudsopgave 1. Inleiding Directieverklaring Scope Verklaring van toepasselijkheid Van toepassing zijnde maatregelen Niet van toepassing zijnde maatregelen... 9 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 2 van 9 Datum: maart 2016

3 1. Inleiding Dit document omvat de Verklaring van Toepasselijkheid (VVT) ten behoeve van de certificering voor de ISO27001-standaard. Het doel van dit document is het identificeren van de toepasselijke beheersmaatregelen welke geïmplementeerd dienen te zijn om de bedreigingen tegen Parantion Groep B.V. en bedrijfsprocessen te controleren en te managen. De van toepassing zijnde beheersmaatregelen zijn geïdentificeerd op basis van de beheersmaatregelen benoemd in de ISO norm Annex 1. Voor de van toepassing zijnde beheersmaatregel wordt verwezen naar de gedefinieerde ISO27002 best practices richtlijnen welke specifiek zijn gemaakt voor toepassing in Parantion Groep B.V. bedrijfsprocessen. Indien een beheersmaatregel niet van toepassing is, wordt hiervoor een verklaring gegeven. 2. Directieverklaring De Directie van Parantion Groep B.V. verklaart hierbij de in deze VVT vermelde maatregelen bekrachtigd in relatie tot de uitgevoerde risicoanalyses en accepteert het restrisico van eventuele niet genomen maatregelen. Deventer, maart 2016 Roel Smabers 3. Scope Het ontwikkelen, implementeren, adviseren en leveren van ondersteuning en support op de software applicaties Scorion en Easion (SAAS/Private Cloud) vanuit het kantoor in Deventer en het datacenter in Hengelo. Dit is conform de verklaring van toepasselijkheid versie 3.0 dd. maart Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 3 van 9 Datum: maart 2016

4 4. Verklaring van toepasselijkheid De VVT is weergegeven in de volgende tabel met de volgende kolommen: 1. De nummer van de beheersmaatregel; 2. De naam van de beheersmaatregel Van toepassing zijnde maatregelen Maatregel nr. Maatregel omschrijving Reden van toepassing Geïmplementeerd A.5 Informatiebeveiligingsbeleid A Beleidsregels voor informatiebeveiliging Baseline Ja A Beoordeling van het informatiebeveiligingsbeleid Baseline Ja A.6 Organiseren van informatiebeveiliging A Rollen en verantwoordelijkheden voor informatiebeveiliging Baseline Ja A Scheiding van taken Baseline Ja A Contact met overheidsinstanties Baseline Ja A Contact met speciale belangengroepen Baseline Ja A Informatiebeveiliging in projectbeheer Risicoanalyse Ja A Beleid voor mobiele apparatuur Risicoanalyse Ja A Telewerken Risicoanalyse Ja A.7 Veilig Personeel A Screening Risicoanalyse Ja A Arbeidsvoorwaarden Baseline Ja A Directieverantwoordelijkheden Baseline Ja A Bewustzijn, opleiding en training ten behoeve van informatiebeveiliging Risicoanalyse Ja A Disciplinaire procedure Risicoanalyse Ja A Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Risicoanalyse Ja A.8 Beheer van bedrijfsmiddelen A Inventarisatie van bedrijfsmiddelen Risicoanalyse Ja A Eigendom van bedrijfsmiddelen Risicoanalyse Ja A Aanvaardbaar gebruik van bedrijfsmiddelen Risicoanalyse Ja Parantion Groep B.V. Pagina 4 van 9 Datum: maart 2016

5 A Teruggeven van bedrijfsmiddelen Risicoanalyse Ja A Classificatie van informatie Risicoanalyse Ja A Informatie labelen Risicoanalyse Ja A Behandelen van bedrijfsmiddelen Risicoanalyse Ja A Beheer van verwijderbare media Risicoanalyse Ja A Verwijderen van media Risicoanalyse Ja A Media fysiek overdragen Risicoanalyse Ja A.9 Toegangsbeveiliging A Beleid voor toegangsbeveiliging Baseline Ja A Toegang tot netwerken en netwerkdiensten Risicoanalyse Ja A Registratie en uitschrijving van gebruikers Risicoanalyse Ja A Gebruikers toegang verlenen Risicoanalyse Ja A Beheren van speciale toegangsrechten Risicoanalyse Ja A Beheer van geheime authenticatie-informatie van gebruikers Risicoanalyse Ja A Beoordeling van toegangsrechten van gebruikers Risicoanalyse Ja A Toegangsrechten intrekken of aanpassen Risicoanalyse Ja A Geheime authenticatie-informatie gebruiken Risicoanalyse Ja A Beperking toegang tot informatie Risicoanalyse Ja A Beveiligde inlogprocedures Risicoanalyse Ja A Systemen voor wachtwoordbeheer Risicoanalyse Ja A Speciale systeemhulpmiddelen gebruiken Risicoanalyse Ja A Toegangsbeveiliging op programmabroncode Risicoanalyse Ja A.10 Cryptografie A Beleid inzake het gebruik van cryptografische beheersmaatregelen Baseline Ja A Sleutelbeheer Risicoanalyse Ja Parantion Groep B.V. Pagina 5 van 9 Datum: maart 2016

6 A.11 Fysieke beveiliging en beveiliging van de omgeving A Fysieke beveiligingszone Risicoanalyse Ja A Fysieke toegangsbeveiliging Risicoanalyse Ja A Kantoren, ruimten en faciliteiten beveiligen Risicoanalyse Ja A Bescherming tegen bedreigingen van buitenaf Risicoanalyse Ja A Werken in beveiligde gebieden Risicoanalyse Ja A Laad- en loslocatie Risicoanalyse Ja A Werken in beveiligde ruimten Risicoanalyse Ja A Plaatsing en bescherming van apparatuur Risicoanalyse Ja A Nutsvoorzieningen Risicoanalyse Ja A Beveiliging van bekabeling Risicoanalyse Ja A Onderhoud van apparatuur Risicoanalyse Ja A Verwijdering van bedrijfsmiddelen Risicoanalyse Ja A Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Risicoanalyse Ja A Veilig verwijderen of hergebruiken van apparatuur Risicoanalyse Ja A Onbeheerde gebruikersapparatuur Risicoanalyse Ja A Clear desk - en clear screen -beleid Risicoanalyse Ja A.12 Beveiliging bedrijfsvoering A Gedocumenteerde bedieningsprocedures Risicoanalyse Ja A Wijzigingsbeheer Risicoanalyse Ja A Capaciteitsbeheer Risicoanalyse Ja A Scheiding van ontwikkel-, test- en productieomgevingen Risicoanalyse Ja A Beheersmaatregelen tegen malware Risicoanalyse Ja A Back-up van informatie Risicoanalyse Ja A Gebeurtenissen registreren Risicoanalyse Ja Parantion Groep B.V. Pagina 6 van 9 Datum: maart 2016

7 A Beschermen van informatie in logbestanden Risicoanalyse Ja A Logbestanden van beheerders en operators Risicoanalyse Ja A Kloksynchronisatie Risicoanalyse Ja A Software installeren op operationele systemen Risicoanalyse Ja A Beheer van technische kwetsbaarheden Risicoanalyse Ja A Beperkingen voor het installeren van software Risicoanalyse Ja A Beheersmaatregelen betreffende audits van informatiesystemen Baseline Ja A.13 Communicatiebeveiliging A Beheersmaatregelen voor netwerken Risicoanalyse Ja A Beveiliging van netwerkdiensten Risicoanalyse Ja A Scheiding in netwerken Risicoanalyse Ja A Beleid en procedures voor informatietransport Baseline Ja A Overeenkomsten over informatietransport Risicoanalyse Ja A Elektronische berichten Risicoanalyse Ja A Vertrouwelijkheids- of geheimhoudingsovereenkomst Risicoanalyse Ja A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen A Analyse en specificatie van beveiligingseisen Risicoanalyse Ja A Toepassingsdiensten op openbare netwerken beveiligen Risicoanalyse Ja A Transacties van toepassingsdiensten beschermen Risicoanalyse Ja A Beleid voor veilig ontwikkelen Risicoanalyse Ja A Procedures voor wijzigingsbeheer met betrekking tot systemen Risicoanalyse Ja A Technische beoordeling van toepassingen na wijzigingen bedieningsplatform Risicoanalyse Ja A Beperkingen op wijzigingen van softwarepakketten Risicoanalyse Ja A Principes voor engineering van beveiligde systemen Risicoanalyse Ja A Beveiligde ontwikkelomgeving Risicoanalyse Ja A Testen van systeembeveiliging Risicoanalyse Ja Parantion Groep B.V. Pagina 7 van 9 Datum: maart 2016

8 A Systeemacceptatietests Risicoanalyse Ja A Bescherming van testgegevens Risicoanalyse Ja A.15 Leveranciersrelaties A Informatiebeveiligingsbeleid voor leveranciersrelaties Risicoanalyse Ja A Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Risicoanalyse Ja A Toeleveringsketen van informatie- en communicatietechnologie Risicoanalyse Ja A Monitoring en beoordeling van dienstverlening van leveranciers Risicoanalyse Ja A Beheer van veranderingen in dienstverlening van leveranciers Risicoanalyse Ja A.16 Beheer van informatiebeveiligingsincidenten A Verantwoordelijkheden en procedures Baseline Ja A Rapportage van informatiebeveiligingsgebeurtenissen Baseline Ja A Rapportage van zwakke plekken in de informatiebeveiliging Baseline Ja A Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen Baseline Ja A Respons op informatiebeveiligingsincidenten Baseline Ja A Lering van informatiebeveiligingsincidenten Baseline Ja A Verzamelen van bewijsmateriaal Baseline Ja A.17 Informatiebeveiligingsaspecten en bedrijfscontinuïteitsbeheer A Informatiebeveiligingscontinuïteit plannen Baseline Ja A Informatiebeveiligingscontinuïteit implementeren Baseline Ja A Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren Baseline Ja A Beschikbaarheid van informatie verwerkende systemen Baseline Ja A.18 Naleving A Vaststellen van toepasselijke wetgeving en contractuele eisen Baseline Ja A Intellectuele eigendomsrechten Wet- en Regelgeving Ja A Beschermen van registraties Risicoanalyse Ja A Privacy en bescherming van persoonsgegevens Wet- en Regelgeving Ja Parantion Groep B.V. Pagina 8 van 9 Datum: maart 2016

9 A Voorschriften voor het gebruik van cryptografische beheersmaatregelen Baseline Ja A Onafhankelijke beoordeling van informatiebeveiliging Baseline Ja A Naleving van beveiligingsbeleid en -normen Baseline Ja A Beoordeling op technische naleving Baseline Ja 4.2. Niet van toepassing zijnde maatregelen Onderstaande maatregelen zijn niet van toepassing bij Parantion. Deze worden echter wel meegenomen met de jaarlijkse review en risicobeoordeling. Maatregel nr. Maatregelomschrijving Reden niet van toepassing Geïmplementeerd A Uitbestede softwareontwikkeling Parantion besteedt de ontwikkeling van programmatuur niet uit. Zij doet de ontwikkeling van haar applicaties allenmaal binnen de organisatie zelf. Nee Parantion Groep B.V. Pagina 9 van 9 Datum: maart 2016