Resultaten SURFaudit benchmark 2015
|
|
- Frank Roeland Thys
- 5 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Auteur(s): Bart Bosma Versie: 1.0 Datum: juni 2016 Moreelsepark EP Utrecht Postbus DA Utrecht ING Bank NL54INGB KvK Utrecht BTW NL B01
2 Inhoudsopgave 1 Inleiding Doel van SURFaudit Benchmark Resultaten Highlevel resultaten Lager scorend cluster 2 nader bekeken Positieve noten Overzicht beheersmaatregelen status ten opzichte van de baseline Cluster 1: Beleid & Organisatie Cluster 2: Personeel, studenten en gasten Cluster 3: Ruimtes & apparatuur Cluster 4: Continuïteit Cluster 5: Toegangsbeveiliging & integriteit Cluster 6: Controle & logging Conclusie Bijlage Mediaanscore Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op
3 1 Inleiding 1.1 Doel van SURFaudit Het primaire doel van SURFaudit is: informatiebeveiliging onder controle brengen door de procesmanagementcyclus te ondersteunen. Daarnaast vermindert SURFaudit de noodzaak voor andere (vergelijkbare) audits op het gebied van informatiebeveiliging en privacy. De eenvoudigste manier om een SURFaudit te doen is het uitvoeren van een selfassessment. Om een betrouwbaarder resultaat te krijgen kan een peerreview worden gedaan door een andere instelling. Selfassessments kunnen op ieder gewenst moment worden uitgevoerd, de peerreviews worden via de Coördinerende Commissie Peer Review (CCPR) gepland. Voor 2016 zijn er inmiddels 7 aangevraagd en is er 1 uitgevoerd. Figuur 1: SURFaudit volwassenheid 1.2 Benchmark 2015 Verder is er de tweejaarlijkse benchmark die ook in 2015 weer heeft plaatsgevonden. Evenals voorgaande jaren heeft weer een groot aantal instellingen meegedaan. De resultaten van de SURFaudit benchmark kunnen worden gebruikt voor: het aanjagen van interne verbeteringen; het signaleren van sterke en zwakke punten in de sector onderwijs en onderzoek; verantwoording van ingevoerde maatregelen en processen Normenkader Informatiebeveiliging Hoger Onderwijs 2015 Voor de benchmark 2015 is gebruik gemaakt van het Normenkader Informatiebeveiliging Hoger Onderwijs (Normenkader IBHO) Dit is een gezamenlijk normenkader dat door zowel interne als externe stakeholders gedragen wordt en dat zelfregulering promoot in plaats van aanscherping van opgelegde eisen en extern toezicht. Het Normenkader IBHO is een levend document dat periodiek wordt bijgewerkt aan de hand van het Cyberdreigingsbeeld onderwijs en onderzoek, de ISO standaard, nieuwe wet en regelgeving en de laatste inzichten op het gebied van informatiebeveiliging en privacy. Voor de 2015versie van het Normenkader IBHO heeft de maturitywerkgroep van SCIPR 1 de bestaande beheersmaatregelen geëvalueerd aan de hand van ISO 27002:2013 (de 2013 versie was nog gebaseerd op ISO 27002:2007). Er zijn enkele beheersmaatregelen toegevoegd, de clusterindeling is gebalanceerd, het toetsingskader is uitgebreid en voor iedere maatregel is het aanbevolen CMMniveau vastgesteld. De clusterindeling zoals die al bestond in 2013 is, met de 1 SCIPR: SURF Community voor Informatiebeveiliging en Privacy, de opvolger van SURFibo. 3/19
4 eerdergenoemde optimalisaties, gehandhaafd in 2015, zodat de vergelijking tussen beide benchmarks valide blijft CMMniveaus en baseline De CMMniveaus beschrijven het basisniveau voor informatiebeveiliging en bescherming van persoonsgegevens. Voor de meeste beheersmaatregelen geldt dat het aanbevolen niveau 2 of 3 is, voor een aantal wordt instellingen aangeraden om ze op niveau 4 in te richten. De aanbevolen niveaus zijn als baseline vastgesteld door de stuurgroep Security en Privacy. Niveau 4 betekent dat de betreffende maatregel regelmatig wordt geëvalueerd en bijgesteld. Een voorbeeld hiervan is het beveiligingsbeleid. Het hebben van een goedgekeurd en adequaat beleid is niveau 3, jaarlijkse evaluatie en bijstelling is niveau 4. Voor iedere maatregel in het normenkader wordt een CMMniveau aanbevolen, onder andere gebaseerd op risicoanalyses vanuit het Cyberdreigingsbeeld. Dit is de baseline. De niveaus zijn gebaseerd op een van de volgende regels: CMMniveau 4 de maatregel is dermate essentieel dat een regelmatige toetsing (uitvoeren van PlanDoCheckAct cyclus) noodzakelijk is; CMMniveau 3 de maatregel is zo basaal dat deze niet kan ontbreken of de maatregel is als essentieel geclassificeerd op basis van de analyse van het Cyberdreigingsbeeld Hoger Onderwijs 2014; CMMniveau 2 alle overige maatregelen Ten opzichte van 2013 vooruitgang, maar baseline vaak niet gehaald In vergelijking met de SURFaudit benchmark uit 2013 is op de meeste fronten vooruitgang geboekt, maar de baseline wordt voor de meeste clusters nog niet gehaald; een mooie aanleiding om verbeterplannen op te stellen voor onderdelen die de baseline nog niet halen: Figuur 2: Resultaten van SURFaudit benchmarks 2013 (25*) 2015 (18*) baseline *Noot: in 2015 hebben 18 instellingen meegedaan met de benchmark, in 2013 waren dat er Mbo instellingen In 2015 is voor het eerst de mbobenchmark uitgevoerd aan de hand van het Normenkader mbo, onder auspiciën van de Taskforce informatiebeveiliging. Hieraan hebben 2 AOC s, 14 ROC s en 2 vakscholen meegedaan. Het Normenkader mbo is afgeleid van het Normenkader HO, waardoor de resultaten goed vergeleken kunnen worden met die van de HObenchmarks. Voor dit verslag blijft de MBObenchmark 2015 echter nog buiten beschouwing. 4/19
5 1.2.5 Geschiedenis van de benchmark 2 In 2008 is het niveau van informatiebeveiliging bij een flink aantal instellingen in het hoger onderwijs al gemeten. In 2009 en 2010 zijn nog verschillende metingen uitgevoerd en is voor het eerst een referentiekader gebruikt om aan te geven waar een instelling zou moeten staan. Op bestuurlijk niveau is in 2010 besloten om de volgende 4 jaar op een procesmatige manier de volwassenheid van informatiebeveiliging binnen het hoger onderwijs te meten. Eind 2011 heeft de eerste ronde van SURFaudit plaatsgevonden. Aan deze succesvolle auditronde hebben 23 instellingen deelgenomen. De tweede benchmark ronde was in 2013; daaraan hebben 25 instellingen deelgenomen, waarvan 12 universiteiten, 12 hogescholen en 1 onderzoeksinstelling. Aan de benchmark 2015 hebben 18 instellingen deelgenomen, waarvan 8 universiteiten, 9 hogescholen en 1 onderzoeksinstelling. 2 Bron: (opgehaald op 5 april 2016). 5/19
6 2 Resultaten 2.1 Highlevel resultaten In de tabel hieronder vindt u CMMscores van de benchmarks die tot nu toe gehouden zijn: cluster HO 2011 HO 2013 HO 2015 MBO 2015 Totaal Beleid en organisatie Personeel, gasten, studenten Ruimtes en apparatuur Continuïteit Toegangsbeveiliging en integriteit Controle en logging Tabel 1: Highlevel resultaten en trend (gemiddelde per cluster) Sinds de benchmark 2013 is het mogelijk bewijsmateriaal toe te voegen bij het scoren van een maatregel, waardoor er betere onderbouwing is en de kwaliteit van de scores is toegenomen. Terwijl de benchmark 2013 voor ieder cluster een verbetering liet zien ten opzichte van de vorige benchmark (2011), valt nu op dat de benchmark 2015 in zijn totaliteit weliswaar een vooruitgang toont ten opzichte van de vorige benchmark (2013), maar dat cluster 2 in 2015 achteruit is gegaan. In figuur 3 is te zien hoe het merendeel van de deelnemers ver beneden de baseline scoort voor cluster 2. Figuur 3: deelnemers ten opzichte van de baseline 2.2 Lager scorend cluster 2 nader bekeken Maatregel Bewustzijnsopleiding en training Wanneer we inzoomen op cluster 2, zien we dat van bijna alle beheersmaatregelen de score hetzelfde is gebleven of zelfs beter is geworden, maar dat van maatregel Alle medewerkers van de organisatie en, voor zover relevant, contractanten krijgen een passende bewustzijnsopleiding en training en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover 6/19
7 relevant voor hun functie de (mediaan 3 )score van CMMniveau 2 naar 1,5 is gezakt. Bovendien is de score significant lager dan de baseline: Figuur 4: resultaten benchmark 2015 cluster 2 Het lijkt erop dat het bij veel van de participerende instellingen schort aan awarenesstraining (terwijl dat in er 2013 beter uitzag). Anderzijds is er wellicht bij het scoren van maatregel in 2015, meer dan in 2013, gekeken naar awarenesstraining in de hele organisatie, en niet alleen binnen ICT, waardoor men zich realiseert dat dit nog een grote uitdaging is en de resulterende score lager is geworden. Een andere mogelijke verklaring is dat vanaf de benchmark 2015 het toevoegen van evidence vereist is. Uit de detailgrafiek van maatregel (figuur 5) en tabel 2 blijkt dat het aantal level 1 scores percentueel fors is toegenomen in 2015, terwijl het aantal level 2 en 3 scores flink is afgenomen. Wel heeft 1 instelling in 2015 op level 4 gescoord. Uit de grafieken blijkt verder dat het gemiddelde is afgenomen van 1,72 tot 1,67 en de mediaan van 2 naar 1,5 is gezakt. CMMniveau % 0% 4 6% 0% +6% 3 6% 8% 2% 2 39% 56% 17% 1 50% 36% +14% Tabel 2: detail voor maatregel ( in 2013) in % 3 Zie bijlage Mediaanscore voor het verschil tussen gemiddelde score en mediaanscore. 7/19
8 Figuur 5: Detail scores voor maatregel ( in 2013) Overige maatregelen die lager scoorden Andere beheersmaatregelen die in 2015 significant lager hebben gescoord dan de baseline zijn: Maatregel Maatregel (cluster 1) Het beleid voor informatiebeveiliging wordt met geplande tussenpozen of als zich significante veranderingen voordoen, beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. (mediaanscore 2 baseline 4). Uit de detailgrafiek (figuur 6) en tabel 3 blijkt dat het aantal level 1, 2 en 3 scores percentueel is afgenomen, terwijl het percentage level 4 scores is toegenomen. Uit de grafieken blijkt verder dat het gemiddelde is toegenomen van 1,88 tot 2,56, terwijl de mediaan hetzelfde is gebleven. CMMniveau % 0% 4 17% 4% +13% 3 28% 12% +16% 2 50% 52% 2% 1 6% 32% 26% Tabel 3: detail voor maatregel ( in 2013) in % 8/19
9 Figuur 6: Detail scores voor maatregel ( in 2013) Hoewel de maatregel fors lager dan de baseline scoort, is blijkbaar is de volwassenheid wel significant toegenomen sinds 2013 en uit de grafieken blijkt dat de 25% middelste observaties nu tussen level 2 en 3 liggen (in plaats van tussen level 1 en 2 in 2013). Maatregel Maatregel (cluster 5) Logfaciliteiten en informatie in logbestanden worden beschermd tegen vervalsing en onbevoegde toegang. (mediaanscore 1,5 baseline 3). CMMniveau % 4 0% 3 6% 2 44% 1 50% Tabel 4: detail voor maatregel (niet beschikbaar in 2013) in % Figuur 7: detail scores voor maatregel (niet beschikbaar in 2013) Uit de verdeling in de grafieken (figuur 7) blijkt dat slechts 1 instelling de baseline score van 3 haalt en dat de andere instellingen op level 1 of 2 scoren. De gemiddelde score was 1, Positieve noten Maar er is ook goed nieuws: beheersmaatregelen met baseline score 2 worden door ruim 52% van de participanten gehaald en 40% haalt zelfs een score van 3 of hoger. Verder scoort een aantal beheersmaatregelen hoger dan de baseline, soms ondanks een teruggang ten opzichte van 2013, bijvoorbeeld: 9/19
10 2.3.1 Maatregel Maatregel (cluster 1) De eisen die verband houden met informatiebeveiliging zijn opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen. (mediaanscore 3 baseline 2). CMMniveau % 0% 4 0% 0% 3 56% 36% +20% 2 44% 60% 16% 1 0% 4% 4% Tabel 5: detail voor maatregel ( in 2013) in % Figuur 8: Detail scores voor maatregel ( in 2013) Uit de detailgrafieken (figuur 8) en tabel 5 blijkt dat het zwaartepunt in 2015 op level 2 en 3 ligt. Daarbij is het aantal level 3 scores met 20% gestegen. Uit de grafieken blijkt verder dat het gemiddelde is toegenomen van 2,32 tot 2,56 en de mediaanscore van 2 naar 3 is gegaan Maatregel Maatregel (cluster 3) Voor het werken in beveiligde gebieden zijn procedures ontwikkeld en deze worden toegepast. (mediaanscore 3 baseline 2). CMMniveau % 0% 4 11% 0% +11% 3 44% 32% +12% 2 44% 60% 16% 1 0% 8% 8% Tabel 6: detail voor maatregel ( in 2013) in % 10/19
11 Figuur 9: Detail scores voor maatregel ( in 2013) Uit de detailgrafiek (figuur 9) en tabel 6 blijkt dat het zwaartepunt in 2013 op level 2 lag, maar een behoorlijk percentage naar level 3 en 4 is gestegen. Uit de grafieken blijkt verder dat het gemiddelde is toegenomen van 2,24 tot 2,67 en de mediaanscore van 2 naar 3 is gegaan Maatregel Maatregel (cluster 3) De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein worden gesynchroniseerd met één referentietijdbron. (mediaanscore 2,5 baseline 2). CMMniveau % 4% 4% 4 6% 0% +6% 3 44% 68% 24% 2 50% 24% +26% 1 0% 4% 4% Tabel 7: detail voor maatregel ( in 2013) in % Figuur 10: Detail scores voor maatregel ( in 2013) Hoewel deze maatregel hoger scoort dan de baseline, blijkt uit de detailgrafieken (figuur 10) en tabel 7 dat het zwaartepunt in 2013 op level 3 lag, maar dat in 2015 een flinke verslechtering zichtbaar is geworden, met een verdubbeling van het level 2 percentage naar 50% van de responses. De level 5 score uit 2013 is waarschijnlijk een anomalie. Uit de grafieken blijkt verder dat het gemiddelde iets is afgenomen van 2,76 naar 2,56 en dat de mediaanscore van 3 naar 2,5 is gezakt. 11/19
12 3 Overzicht beheersmaatregelen status ten opzichte van de baseline 3.1 Cluster 1: Beleid & Organisatie Ten behoeve van informatiebeveiliging is een reeks beleidsregels gedefinieerd en goedgekeurd door de directie De beleidsregels voor informatiebeveiliging zijn gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging wordt met geplande tussenpozen of als zich significante veranderingen voordoen, beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is Alle verantwoordelijkheden bij informatiebeveiliging zijn gedefinieerd en toegewezen Conflicterende taken en verantwoordelijkheden zijn gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. (Binnen de (ict)organisatie wordt (voor zover mogelijk) functiescheiding tussen gebruik, ontwikkelen/aanschaffen, beheren en beoordelen van functioneren van systemen gehandhaafd. Autorisaties van gebruikers worden ingeregeld op het needtoknow/needtoact basis vanuit het te ondersteunen bedrijfsproces.) Informatiebeveiliging komt aan de orde in projectbeheer, ongeacht het soort project Beleid en ondersteunende beveiligingsmaatregelen zijn vastgesteld om de risico's die het gebruik van mobiele apparatuur met zich meebrengt te beheren. (Er dient beveiligingsbeleid te worden vastgesteld om de risico's die het gebruik van mobiele apparatuur met zich meebrengt te beperken.) Informatie is geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging Om informatie te labelen is een passende reeks procedures ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie Ter bescherming van informatie is een beleid voor het gebruik van cryptografische beheersmaatregelen ontwikkeld en geïmplementeerd Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van cryptografische beheersmaatregelen wordt geïmplementeerd Apparatuur, informatie en software wordt niet zonder toestemming vooraf van de locatie meegenomen Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, zijn formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht Er zijn overeenkomsten vastgesteld voor het het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. 12/19
13 De eisen die verband houden met informatiebeveiliging zijn opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen Alle relevante informatiebeveiligingseisen zijn vastgesteld en overeengekomen met elke leverancier die toegang heeft tot ITinfrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt Overeenkomsten met leveranciers bevatten eisen die betrekking hebben op deinformatiebeveiligingsrisico's in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie en communicatietechnologie Directieverantwoordelijkheden en procedures zijn vastgesteld om een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen Informatiebeveiligingsgebeurtenissen worden zo snel mogelijk via de juiste leidinggevende niveaus gerapporteerd Registraties worden in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave Privacy en bescherming van persoonsgegevens worden, voor zover van toepassing, gewaarborgd in overeenstemming met relevante wet en regelgeving. + Legenda: mediaanscore significant onder de baseline (), onder de baseline (), gelijk aan de baseline () of beter dan de baseline (+) 3.2 Cluster 2: Personeel, studenten en gasten Verificatie van de achtergrond van alle kandidaten voor een dienstverband wordt uitgevoerd in overeenstemming met relevante wet en regelgeving en ethische overwegingen en staat in verhouding tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's De contractuele overeenkomst met medewerkers en contractanten vermeldt hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie Alle medewerkers van de organisatie en, voor zover relevant, contractanten krijgen een passende bewustzijnsopleiding en training en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten worden bij beëindiging van hun dienstverband, contract of overeenkomst verwijderd, en bij wijzigingen worden ze aangepast Er is een 'clear desk'beleid voor papieren documenten en verwijderbare opslagmedia en een 'clear screen' beleid voor informatieverwerkende faciliteiten ingesteld Eisen voor vertrouwelijkheids of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, zijn vastgesteld en worden regelmatig beoordeeld en gedocumenteerd Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en diensten van de organisatie wordt geëist dat zij de in systemen of diensten 13/19
14 waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren. Legenda: mediaanscore significant onder de baseline (), onder de baseline (), gelijk aan de baseline () of beter dan de baseline (+) 3.3 Cluster 3: Ruimtes & apparatuur Er dienen beveiligingsmaatregelen te worden vastgesteld om de risico's die het gebruik van mobiele apparatuur met zich meebrengt te beperken Media worden overeenkomstig formele procedures op een veilige en beveiligde manier verwijderd als ze niet langer nodig zijn Beveiligingszones zijn gedefinieerd en worden gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten Beveiligde gebieden zijn beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt Voor kantoren, ruimten en faciliteiten is fysieke beveiliging ontworpen en deze wordt toegepast Tegen natuurrampen, kwaadwillige aanvallen of ongelukken is fysieke bescherming ontworpen en deze wordt toegepast Voor het werken in beveiligde gebieden zijn procedures ontwikkeld en deze worden toegepast Toegangspunten zoals laad en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, worden beheerst, en zo mogelijk afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden Apparatuur is zodanig geplaatst en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind Apparatuur is beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen Voedings en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, zijn tegen interceptie of beschadiging beschermd Apparatuur wordt op correcte wijze onderhouden, om de continue beschikbaarheid en integriteit ervan te waarborgen Bedrijfsmiddelen die zich buiten het terrein bevinden worden beveiligd waarbij rekening wordt gehouden met de verschillende risico s van werken buiten het terrein van de organisatie Alle onderdelen van de apparatuur die opslagmedia bevatten, worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein worden gesynchroniseerd met één referentietijdbron. + + Legenda: mediaanscore significant onder de baseline (), onder de baseline (), 14/19
15 gelijk aan de baseline () of beter dan de baseline (+) 3.4 Cluster 4: Continuïteit Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging worden beheerst Ontwikkel, test en productieomgevingen zijn gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen Ter bescherming tegen malware zijn beheersmaatregelen voor detectie, preventie en herstel geïmplementeerd Er zijn geschikte procedures ingevoerd om het bewustzijn van de gebruikers omtrent bescherming tegen malware te vergroten Regelmatig worden backup kopieën van informatie, software en systeemafbeeldingen gemaakt Gemaakte backups worden regelmatig getest conform het overeengekomen backup beleid Om het op operationele systemen installeren van software te beheersen zijn procedures geïmplementeerd Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt wordt tijdig verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden wordt geëvalueerd en er worden passende maatregelen genomen om het risico dat ermee samenhangt aan te pakken Voor het door gebruikers installeren van software zijn regels vastgesteld en geïmplementeerd Organisaties stellen beveiligde ontwikkelomgevingen vast en beveiligen deze passend voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico's Informatiebeveiligingsgebeurtenissen worden beoordeeld en er wordt geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten Op informatiebeveiligingsincidenten wordt gereageerd in overeenstemming met de gedocumenteerde procedures De organisatie heeft processen, procedures en beheersmaatregelen vastgesteld, gedocumenteerd en geïmplementeerd om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen en handhaaft deze Informatieverwerkende faciliteiten worden met voldoende redundantie geïmplementeerd om aan beschikbaarheidseisen te voldoen. Legenda: mediaanscore significant onder de baseline (), onder de baseline (), gelijk aan de baseline () of beter dan de baseline (+) 15/19
16 3.5 Cluster 5: Toegangsbeveiliging & integriteit Een beleid voor toegangsbeveiliging is vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs en informatiebeveiligingseisen Gebruikers krijgen alleen toegang tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn Een formele registratie en afmeldingsprocedure is geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken Een formele gebruikerstoegangsverleningsprocedure is geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken De toewijzing en het gebruik van speciale bevoegdheden zijn beperkt en worden beheerst Het toewijzen van geheime authenticatieinformatie wordt beheerst via een formeel beheersproces Van gebruikers wordt verlangd dat zij zich bij het gebruiken van geheime authenticatieinformatie houden aan de praktijk van de organisatie Toegang tot informatie en systeemfuncties van toepassingen is beperkt in overeenstemming met het beleid voor toegangsbeveiliging Indien het beleid voor toegangsbeveiliging dit vereist, wordt toegang tot systemen en toepassingen beheerst door een beveiligde inlogprocedure Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels tijdens hun gehele levenscyclus is een beleid ontwikkeld en geïmplementeerd Er wordt gebruik gemaakt van tools om cryptografische sleutels tijdens hun gehele levenscyclus adequaat te beheren Logfaciliteiten en informatie in logbestanden worden beschermd tegen vervalsing en onbevoegde toegang Netwerken worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten zijn geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten Groepen van informatiediensten, gebruikers en systemen zijn op netwerken gescheiden Informatie die is opgenomen in elektronische berichten wordt passend beschermd Informatie die deel uitmaakt van transacties van toepassingen wordt beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. Legenda: mediaanscore significant onder de baseline (), onder de baseline (), gelijk aan de baseline () of beter dan de baseline (+) 16/19
17 3.6 Cluster 6: Controle & logging Eigenaren van bedrijfsmiddelen beoordelen toegangsrechten van gebruikers regelmatig Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, worden gemaakt, bewaard en regelmatig beoordeeld Activiteiten van systeembeheerders en operators worden vastgelegd en de logbestanden worden beschermd en regelmatig beoordeeld Uitbestede systeemontwikkeling staat onder supervisie van en wordt gemonitord door de organisatie Tijdens ontwikkelactiviteiten wordt de beveiligingsfunctionaliteit getest Voor nieuwe informatiesystemen, upgrades en nieuwe versies worden programma's voor het uitvoeren van acceptatietests en gerelateerde criteria vastgesteld Organisaties monitoren, beoordelen en auditen regelmatig de dienstverlening van leveranciers De organisatie heeft procedures gedefinieerd voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen en past deze toe De directie beoordeelt regelmatig de naleving van de informatieverwerking en procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging Informatiesystemen worden regelmatig beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. Legenda: mediaanscore significant onder de baseline (), onder de baseline (), gelijk aan de baseline () of beter dan de baseline (+) 3.7 Conclusie Aantal deelnemers In 2015 hebben 18 instellingen meegedaan met de SURFaudit benchmark, zeven minder dan in In 2015 is ook een baseline vastgesteld waar instellingen aan moeten voldoen (zie figuur 2) Veel scores onder baseline Bij de benchmark 2015 zijn de scores voor alle clusters in meer of mindere mate onder de baseline uitgekomen met uitzondering van cluster 3 Ruimtes en apparatuur dat gelijk aan de baseline scoort. In vergelijking met de benchmark ronde uit 2013 zijn de resultaten voor alle clusters beter geworden behalve voor cluster 2 dat een teruggang laat zien van CMMlevel 2.2 naar 2.1 en ook nog significant lager dan de baseline scoort Awarenessopleiding en training Bij nadere analyse van dit cluster blijkt dat vooral te liggen aan maatregel Alle medewerkers van de organisatie en, voor zover relevant, contractanten krijgen een passende bewustzijnsopleiding en training en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, het organiseren van awareness trainingen. Van deze maatregel is de (mediaan)score van level 2 naar 1,5 gezakt. Bovendien is het percentage level 1 scores fors toegenomen, terwijl het percentage level 2 en 3 scores navenant is afgenomen (zie figuur 5 en tabel 2). De gemiddelde score voor deze maatregel is weliswaar slechts iets afgenomen (van 1,72 tot 1,67), 17/19
18 maar een veel hoger percentage van de participanten heeft laag gescoord, waardoor de mediaanscore fors lager ligt. Dus als groep zijn de participanten achteruitgegaan Aantal maatregelen scoren boven baseline Het goede nieuws is dat een aantal beheersmaatregelen hoger hebben gescoord dan de baseline en bovendien verbeterd zijn ten opzichte van de benchmark Meest opvallend daarbij is maatregel uit cluster 1 Beleid en organisatie, waarin wordt gesteld: De eisen die verband houden met informatiebeveiliging zijn opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen. De gemiddelde score van deze maatregel is toegenomen van 2,32 tot 2,56 en de mediaanscore is van 2 naar 3 gegaan. Met andere woorden, veel instellingen scoren hoger dan voorheen. Het aantal level 3 scores voor deze maatregel is met maar liefst 20% is gestegen en het percentage level 1 en 2 scores navenant afgenomen (zie tabel 5 en figuur 8). Kijkend naar alle beheersmaatregelen zien we dat 42 beheersmaatregelen (van de 85) de baseline halen of hoger scoren en dat 43 de baseline niet halen, maar dat in zijn totaliteit in vergelijking met de vorige benchmark wel een lichte verbetering geconstateerd kan worden Behoorlijk resultaat Al met al kunnen we spreken van een behoorlijk resultaat met een aantal aandachtspunten voor de volgende benchmark die tegen het einde van dit jaar weer opgestart zal worden. 18/19
19 Bijlage Mediaanscore Coable berekent de mediaan van alle scores die per maatregel zijn ingevuld. Waarom de mediaan en wat is de mediaan eigenlijk? Mediaan en gemiddelde zijn twee manieren om een algemeen beeld te krijgen van hoe een groep als geheel scoort. Gemiddelde Instelling A: 5 Instelling B: 4,5 Instelling C: 3 Instelling D: 4 Instelling E: 3,5 Instelling F: 4 Instelling G: 4 Tel alle individuele scores bij elkaar op en deel door het aantal. Het totaal van de 7 instellingen is 28, dus het gemiddelde is Stel dat instelling D heel laag heeft gescoord, bijvoorbeeld 1, dan zakt het gemiddelde naar ,6. Hiermee heeft één behoorlijk afwijkende score in deze (relatief kleine) groep dus een flink effect op het gemiddelde. Mediaan Zet alle scores in een opklimmende reeks en bepaal welke waarde in het midden ligt, zodat er evenveel scores lager als hoger zijn dan deze mediaan: 3 3, ,5 5 de middelste 4 is de mediaanscore. Als instelling D een 1 scoort in plaats van 4, wordt het opklimmende rijtje 1 3 3, ,5 5. De mediaanscore blijft 4, want er zijn nog steeds evenveel scores hoger als lager dan 4. Het effect van één instelling die behoorlijk afwijkt van de rest van de groep, de uitschieter, is zo uit het groepsbeeld geëlimineerd. Uit de figuren bij de resultaten van iedere maatregel kan verdere informatie worden gehaald, bijvoorbeeld welke score het meeste voorkomt (histogram links) en wat de spreiding van de antwoorden was (boxplot rechts): 19/19
MBO toetsingskader Informatiebeveiliging Handboek MBOaudit
MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd
Nadere informatieNormenkader Informatiebeveiliging MBO
Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo
Nadere informatieNormenkader Informatiebeveiliging HO 2015
Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus
Nadere informatieISO27001:2013 Verklaring van toepasselijkheid
ITB-Kwadraat B.V. Pagina 1 van 15 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging A.5.1.1 A.5.1.2 Beleidsregels voor informatiebeveiliging Beoordeling van het Informatiebeveiligingsbeleid
Nadere informatie20A. Verklaring van Toepasselijkheid ISO bosworx
20A. Verklaring van Toepasselijkheid ISO 27001 bosworx Nummer Omschrijving Beheersmaatregel Van toepassing Geïmple-menteerd Wet Contract Risico Onderbouwing uitsluiting A.5 IB-beleid A.5.1 Aansturing door
Nadere informatieVerklaring van toepasselijkheid ISO 27001:2017 Absoluta Food and Facilities B.V Versie 2
A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor A.5.1.1 A.5.1.2 Beleidsregels voor Beoordeling van het Informatiebeveiligingsbeleid A.6 Organisatie van Het verschaffen van directieaansturing van
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieResultaten SURFaudit-benchmark 2017
Resultaten SURFauditbenchmark 2017 Utrecht, 16 juli 2018 Versienummer: 1.0 Colofon Resultaten SURFauditbenchmark 2017 SURF Postbus 19035 NL3501 DA Utrecht T + 31 88 78 73 000 info@surf.nl www.surf.nl Auteur
Nadere informatieImpl. Wet Contract Risico Onderbouwing uitsluiting
A.5 IB-beleid A.5.1 Aansturing door de directie van de IB Doelstelling: Het verschaffen van directieaansturing van en -steun voor IB in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieJohan Verklaring van Toepasselijkheid ISO27001:2013. Versie 1.1, dd
A.5 IB-beleid A.5.1 Aansturing door de directie van de IB Doelstelling: Het verschaffen van directieaansturing van en -steun voor IB in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
Nadere informatieCertificaat Het managementsysteem van:
QMSI Quality Management Systems International Certificaat Het managementsysteem van: Concorde Group B.V. Handelend onder de naam: Livewords Van Heuven Goedhartlaan 121 1181 KK Amstelveen Nederland een
Nadere informatieNormenkader Informatiebeveiliging MBO
Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:
Nadere informatieHandleiding Risicomanagement
Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieVVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord
VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieInformatiebeveiliging: Hoe voorkomen we issues?
Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde
Nadere informatieHandboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen
: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen IBBPDOC21 Inhoudsopgave 1. Normenkader informatiebeveiliging (cluster 1 t/m 6)... 3 1.1 1.2 Cluster beleid
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatieInformatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen
Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens
Nadere informatieDe maatregelen in de komende NEN Beer Franken
De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m
Nadere informatieSecurity Awareness Sessie FITZME, tbv de coaches
Security Awareness Sessie FITZME, tbv de coaches 21 mei 2019 Bart van der Kallen, CISM, CIPP/E AGENDA Wie ik ben Aanleiding voor deze sessie De norm: NEN 7510 / ISO 27001 De (invulling van de) komende
Nadere informatieVerklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018
Verklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging Het verschaffen van directieaansturing van en -steun voor
Nadere informatieVerklaring van toepasselijkheid ISO 27001
Van toepassing A.5 Beveiligingsbeleid A.5.1 A.5.1.1 Managementaanwijzing voor Beleidsregels voor Het verschaffen van directieaansturing van en -steun voor in overeenstemming met bedrijfseisen en relevante
Nadere informatieInformatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers
Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam
Nadere informatieBenchmark informatiebeveiliging
Benchmark informatiebeveiliging in de mbo sector 05 IBPDOCb Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het
Nadere informatieCYBERDREIGINGSBEELD 2015
CYBERDREIGINGSBEELD 2015 SECTOR ONDERWIJS EN ONDERZOEK Bart Bosma, SURFnet bart.bosma@surfnet.nl CYBERDREIGINGSBEELD 2015 Vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld
Nadere informatieZorgspecifieke beheersmaatregel
A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor Het verschaffen van directieaansturing van en -steun voor in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. A.5.1.1 Beleidsregels
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieOverzicht Informatiebeveiliging Inlichtingenbureau GGK
Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende
Nadere informatieTechnische QuickScan (APK voor het MBO)
Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank
Nadere informatieToetsingskader Informatiebeveiliging cluster 1 t/m 6
Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatiePrivacyreglement. BIJLAGE I Register van verwerkingsactiviteiten BIJLAGE VIII Passende technische en organisatorische maatregelen
Privacyreglement BIJLAGE I Register van verwerkingsactiviteiten BIJLAGE VIII Passende technische en organisatorische maatregelen De schoolleiding van Het Amsterdams Lyceum heeft op grond van haar bevoegdheid
Nadere informatieTechnische QuickScan (APK voor het mbo)
Technische QuickScan (APK voor het mbo) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieHandleiding Risico management
Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieVRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID
VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID LEEST, VERWERKT, BEWAART, COMMUNICEERT OF ICT INFRASTRUCTUURCOMPONENTEN & DIENSTEN AANLEVERT Benaming:... Naam
Nadere informatieHRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie
HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)
Nadere informatieBedrijvenbijeenkomst informatiebeveiliging en privacy
Bedrijvenbijeenkomst informatiebeveiliging en privacy Auteur Datum Jan Bartling, Alf Moens, Ludo Cuijpers, Leo Bakker 26 februari 2016 1. Welkom - Jan 2. Gebruikersgroep en sambo-ict - Jan 3. Programma
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieIn jouw schoenen. Een praktische invulling van informatiebeveiliging
In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij
Nadere informatieToetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)
Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Bewerkt door: Kennisnet / sambo-ict Auteurs
Nadere informatieHandleiding voor het SURF Groene ICT Maturity Model
Een zelfscan voor Groene ICT en Duurzaamheid in de organisatie Auteur(s): Met dank aan: Versie: Gebaseerd op: Albert Hankel Henk Plessius, Dirk Harryvan, Bert van Zomeren 2.0 SGIMM v2.0 Datum: 16-04-2015
Nadere informatieEen checklist voor informatiebeveiliging
Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele
Nadere informatieBIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN Naam van de organisatie Benaming: Corilus NV Adres: 5032 Gembloux, Rue Camille Hubert 23 Ondernemingsnummer (KBO): 0428.555.896
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieEven bijpraten. Auteur Datum. Jan Bartling (sambo-ict) en Leo Bakker (Kennisnet) 18 januari 2019
Even bijpraten. Auteur Datum Jan Bartling (sambo-ict) en Leo Bakker (Kennisnet) 18 januari 2019 1. IBP Benchmark 2018 2. Onderwijslogistiek 3. Kennisnet Technologiekompas 2019-2020 4. De digitale overheid
Nadere informatieToetsingskader Privacy (Pluscluster 7)
Toetsingskader Privacy (Pluscluster 7) IBPDOC7 Verantwoording Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Opdracht verstrekking door: Kennisnet / sambo-ict Auteurs Leo
Nadere informatieDe nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1
De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC Standards and Regulations 1 Agenda 1. Schoten voor de boeg 2. Nut van de NEN7510 3. Uitgangspunten
Nadere informatieToetsingskader Examinering (Pluscluster 8)
Toetsingskader Examinering (Pluscluster 8) IBPDOC8 Verantwoording Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015 Handreiking Onregelmatigheden, fraude en beveiliging examens Servicepunt
Nadere informatieTechnische en organisatorische beveiligingsmaatregelen
Beveiligingsbijsluiter - Bijlage 2 bij de Verwerkersovereenkomst Noordhoff Uitgevers Technische en organisatorische beveiligingsmaatregelen Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatie4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen
4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatiePrivacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.
Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen
Nadere informatieSURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation
SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatieBijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieVerwerkersovereenkomst Openworx
Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst
Nadere informatieHet College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling
Nadere informatieInformation security officer: Where to start?
1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatiePrivacy compliance kader MBO
Privacy compliance kader MBO IBPDOC2B Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling
Nadere informatiePrivacyverklaring voor opdrachtgevers
Privacyverklaring voor opdrachtgevers Inhoudsopgave 1. Inleiding... 2 2. Van wie we persoonsgegevens verwerken... 2 3. Waarom wij gegevens verzamelen... 2 4. Door ons verwerkte gegevens... 2 4.1. Door
Nadere informatieISO 27001:2013 Informatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES
Nadere informatieCO2 prestatieladder Energie management plan
CO2 prestatieladder Versie: Definitief Datum: februari 2015 Eis: 2.C.3 Westgaag 42b - 3155 DG Maasland Postbus 285-3140 AG Maassluis Telefoon: 010-5922888 Fax: 010-5918621 E-mail: info@kroes.org Versie:
Nadere informatiePrivacy compliance kader MBO
Privacy compliance kader MBO IBPDOC2B Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling
Nadere informatiePrivacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink
Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (
Nadere informatieOpenheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht
Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieISO 14001:2015 Readiness Review
ISO 14001:2015 Readiness Review Organisatie Adres Certificaat Nr. Contactpersoon Functie Telefoon Email BSI is vastbesloten ervoor te zorgen dat klanten die willen certificeren op ISO 14001:2015 een soepele
Nadere informatieNieuws en Centraal Aanmelden
Nieuws en Centraal Aanmelden Auteur Datum Jan Bartling 29-01-2018 1. Nieuws IBP benchmark ICT Monitor Jaarstart 2. Centraal aanmelden (CA) Achtergrond VVA en CA Governance Benchmark IBP - N = 47 - het
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieBenchmark informatiebeveiliging. mbo sector 2016 IBPDOC20
Benchmark informatiebeveiliging en privacy in de mbo sector 2016 IBPDOC20 Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity.
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatiePrivacy compliance kader MBO
Privacy compliance kader MBO IBPDOC2B Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieBijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg
Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg 4 Aanpak van de informatiebeveiliging 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.1 Managementsysteem
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieB2BE Data Processing Overeenkomst 1. DEFINITIES
B2BE Data Processing Overeenkomst 1. DEFINITIES "Overeenkomst" Deze Overeenkomst beschrijft de voorwaarden waarop de Klant en B2BE ermee instemmen zich aan de Algemene Verordening Gegevensbeschermings
Nadere informatieDeelplan IC ICT-omgeving 2015 Gemeente Lingewaard
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.
Nadere informatieInformatiebeveiligingsbeleid Heemstede
Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging
Nadere informatieHandboek Beveiliging Belastingdienst. Deel C Implementatierichtlijnen
Handboek Beveiliging Belastingdienst 2015 Deel C en 2 Inhoudsopgave Boekdata...7 Toelichting op Deel C...9 C.1. C.2. Strategisch beveiligingsbeleid en -organisatie... 10 C.1.1. Strategisch beveiligingsbeleid...
Nadere informatieInformatiebeveiligingsbeleid Drukkerij van der Eems
Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatie4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.
ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem
Nadere informatieUITVOERINGSVERORDENING (EU) /... VAN DE COMMISSIE. van
EUROPESE COMMISSIE Brussel, 30.1.2018 C(2018) 471 final UITVOERINGSVERORDENING (EU) /... VAN DE COMMISSIE van 30.1.2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het
Nadere informatiedigitale leermiddelen
Edu Actief is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen ) aanbiedt voor gebruik in het onderwijs waarbij persoonsgegevens worden verwerkt. Wij vinden
Nadere informatie