Informatiebeveiliging voor kwaliteitsmanager

Maat: px
Weergave met pagina beginnen:

Download "Informatiebeveiliging voor kwaliteitsmanager"

Transcriptie

1 Informatiebeveiliging voor kwaliteitsmanager SYSQA B.V. Almere Datum : Status : Definitief Versie : 1.0 Opgesteld door :

2 Organisatie SYSQA B.V. Pagina 2 van 22 Inhoudsopgave 1 Inleiding Doel en veronderstelde voorkennis Relatie met andere documenten van expertisegroep Security Indeling van het document Gerelateerde documenten Informatiebeveiliging voor kwaliteitsmanager Relatie tussen kwaliteitszorg en informatiebeveiliging Organisatie van informatiebeveiliging Informatiebeveiligingsbeleid Security awareness Vatbaarheid van medewerkers voor misbruik Veranderingen van informatiebeveiligingsrisico s Positie van kwaliteitsmanager in de organisatie Informatiebeveiliging en de lijnorganisatie Managementsysteem voor informatiebeveiliging (ISMS) Risicomanagement Informatiebeveiliging incidentenbeheerproces Wijzigingenbeheer Beheer Documentatie Functiescheiding Contractmanagement Informatiebeveiliging en projecten Quality reviews (review van programma- en projectplan) Project initiatie Inrichting projectteam en middelen Opstellen requirements Ontwikkelproces Testen Testdata Testomgeving Defect beheer Overdracht naar beheer Afronding project Bijlage Bronvermelding en overige informatie Verwante documenten Woordenlijst... 22

3 Organisatie SYSQA B.V. Pagina 3 van 22 1 Inleiding 1.1 Doel en veronderstelde voorkennis Dit document is bedoeld om kwaliteitsmanagers meer handvatten te geven bij het uitvoeren van deze rol. Er wordt verondersteld dat de kwaliteitsmanager basiskennis heeft van informatiebeveiliging op het niveau van Information Security Foundation based on ISO/IEC van EXIN. Op de kennisbank van SYSQA staat een document Informatiebeveiliging Algemene Basis waarin de basisbegrippen en principes worden toegelicht. Dit documenten verstrekt de benodigde basiskennis. Verder kunnen de documenten voor requirementsanalist, testmanager en functioneel beheer als aanvulling worden gezien. Daarin worden per rol specifieke zaken beschreven waarvan een kwaliteitsmanager op z n minst de hooflijnen van behoord te weten. In dit document staan geen uitputtende beschrijvingen. Er worden vooral aandachtspunten benoemd waardoor de kwaliteitsmanager vanuit zijn achtergrond en ervaring wordt aangespoord meer kritische vragen op het gebied van informatiebeveiliging stellen in zijn/haar opdracht. Informatiebeveiliging wordt in dit document afgekort tot IB om de leesbaarheid te verhogen. In veel organisaties heeft men het over security. De term security heeft ook associaties met fysieke beveiliging. Bewust is voor de term informatiebeveiliging gekozen omdat in dit document vooral over beveiliging van informatiesystemen en processen wordt gesproken. 1.2 Relatie met andere documenten van expertisegroep Security De expertisegroep Security van SYSQA B.V. heeft een set van documenten over informatiebeveiliging opgeleverd. Introductie Informatiebeveiliging Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiebeveiliging voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager In donkerblauw is het voorliggende document weergegeven.

4 Organisatie SYSQA B.V. Pagina 4 van Indeling van het document De opzet van dit document is als volgt. Als eerste wordt het IB beleid behandeld. Een aantal tips en aandachtspunten worden aangereikt om het IB beleid helder te krijgen. Aanvullend wordt de lijnorganisatie behandeld. Focus van de lijnorganisatie is op stabiliteit en continuïteit van de bedrijfsprocessen. Hier gelden een aantal specifieke zaken rondom IB waar een kwaliteitsmanager rekening mee dient te houden. Vervolgens wordt ingegaan op projecten en op welke zaken een kwaliteitsmanager moet letten. Focus van projecten is op veranderen en vernieuwen waardoor voor IB een aantal aanvullende aandachtsgebieden gelden. Als laatste zijn referenties opgenomen naar interessante en relevante artikelen in relatie tot IB. 1.4 Gerelateerde documenten Bij dit document zijn nog 2 andere documenten van belang. Het Risk Treatment Plan en de Security Baseline. In beide documenten staan checklists en vragen die verder verdiepen op de onderwerpen die in dit document worden behandeld. Beide documenten zijn op te vragen bij product management. In de bijlage is een lijst met verwijzingen naar relevante artikelen, websites en boeken opgenomen.

5 Organisatie SYSQA B.V. Pagina 5 van 22 2 Informatiebeveiliging voor kwaliteitsmanager Een kwaliteitsmanager krijgt met veel aspecten van IB te maken. IB zit in alle lagen en uithoeken van de organisatie. Belangrijk is dat de kwaliteitsmanager goed inzicht krijgt en heeft in hoe het beleid vanuit de top wordt opgesteld, de mate waarin of de manier waarop het wordt uitgedragen en de traceerbaarheid tot aan de werkvloer. Vragen die de kwaliteitsmanager hoort te stellen: Is de gehele organisatie van IB op de hoogte? Wordt het IB beleid ook goed toegepast? En houdt men bij wijzigingen voldoende rekening met IB? 2.1 Relatie tussen kwaliteitszorg en informatiebeveiliging De gehele organisatie moet doordrongen zijn van het nut en de noodzaak van kwaliteit wil de kwaliteitsmanager goed werk kunnen verrichten. Hetzelfde geldt voor IB. Als men zich niet integraal met IB bezighoudt ontstaan er zwakke schakels die op zich weer een risico vormen voor IB. De zwakste schakel bepaalt het niveau van volwassenheid van de kwaliteitszorg en IB. Het controleren en bewaken van verband tussen de verschillende onderdelen en systemen is een kwaliteitsmanager dus niet vreemd. Kwaliteit is afhankelijk van een integrale aanpak, net als IB. Bij het verkennen van de organisatie kan de kwaliteitsmanager zowel naar kwaliteit als naar IB kijken. Ook in de kwaliteitsattributen wordt meer aandacht besteed aan IB. Zo is in de nieuwe ISO die de oude ISO 9126 vervangt- een aparte hoofdgroep 5. Beveiligbaarheid (Security) opgenomen. In deze hoofdgroep zijn een aantal nieuwe kwaliteitsattributen toegevoegd: Vertrouwelijkheid (Confidentiality) Integriteit (Integrity) Onweerlegbaarheid (Non-repudiation) Verantwoording (Accountability) Authenticiteit (Authenticity) Zoals in de ISO is te zien zijn er meer attributen dan de 3 standaard elementen van IB: beschikbaarheid, integriteit en vertrouwelijkheid. Zo is er ook de Parkerian Hexad die een uitbreiding is op de drie standaard elementen van IB: Vertrouwelijkheid (Exclusiviteit) Bezit of controle Integriteit Authenticiteit Beschikbaarheid Utiliteit (Bruikbaarheid) Deze aanvullingen van ISO en de Parkerian Hexad zijn relevant. Zo kan een bestand goed worden beschermd door een versleuteling toe te passen, maar als de sleutel zoek is kan je niets meer met de data in dat bestand. Verlies van de sleutel is dus een ander aspect die niet gedekt wordt door Beschikbaarheid. Zelfde geldt voor bezit of controle. Als een USB-stick met gegevens zoek is wilt dat niet zeggen dat de informatie ook daadwerkelijk wordt misbruikt. Er is dan geen controle meer over de data.

6 Organisatie SYSQA B.V. Pagina 6 van 22 Tip: De 3 beveiligingsaspecten worden in de meeste documentatie over IB genoemd. Het is aan te bevelen om aanvullingen van ISO en de Parkerian Hexad mee te nemen. Daarmee wordt de IB meer volledig toegepast. Zie ook hier de relatie tussen IB en functionaliteit. Bij het opstellen van requirements lopen discussies over functionele, performance en IB requirements veelal door elkaar heen. In die discussies zijn deze aanvullingen nuttig. Zie ook het document Basiskennis informatiebeveiliging, hoofdstuk Organisatie van informatiebeveiliging De kwaliteitsmanager moet weten hoe de organisatie waarin hij acteert de IB organisatie heeft ingericht. Het IB beleid wordt door de leiding van de organisatie opgesteld waarna verschillende rollen dat verder uitwerken en uitvoeren. Een kwaliteitsmanager dient dus op zoek te gaan naar de security officer en met hem of haar een kennismakingsgesprek voeren. Tijdens het gesprek kan worden besproken wat van eenieder wordt verwacht. Door aan te sturen op een gesprek met de security officer geeft de kwaliteitsmanager aan dat IB belangrijk voor hem/haar is. Tijdens de opdracht komt de kwaliteitsmanager geregeld in contact met de security officer. Het is daarom belangrijk te weten wat de security officer bezig houdt. 2.3 Informatiebeveiligingsbeleid In de organisatie is uiteindelijk één persoon verantwoordelijk voor het IB beleid. Zijn werkgebied en die van de kwaliteitsmanager liggen in elkaars verlengde en hebben op bepaalde zaken een overlap. Als het goed is wordt de kwaliteitsmanager door de opsteller van het IB beleid als partner gezien. Zowel kwaliteit als IB worden beïnvloed door compliancy. Voor beide vakgebieden kunnen er regels en wetten zijn waar organisaties aan moeten voldoen. Dus ook vanuit kwaliteitsoogpunt moet naar compliancy, continuïteit (bedrijfszekerheid) en IB worden gekeken. Een kwaliteitsmanager kan hier niet omheen. Het informatiebeleid is input voor het kwaliteitssysteem en het kwaliteitssysteem wordt gebruikt om het IB beleid te borgen. In het IB beleid staat aangegeven wie waar voor verantwoordelijk is. Een aantal vragen die de kwaliteitsmanager kan stellen: Wie stelt het IB beleid op? Wie borgt het IB beleid? Is voor iedereen helder welke wetten, regels en standaarden van toepassing zijn? Zijn er specifieke richtlijnen voor IB? Hoe ziet men de kwaliteitsmanager rol in het IB beleid en IB processen? Is het IB beleid traceerbaar? (rollen, instructies en acties) Hoe wordt het IB beleid vertaald door de rollen requirementsanalist/business analist en testmanager? Wordt het IB beleid consequent toegepast? Is er goed overzicht en inzicht in de systemen, risico s en dreigingen? In toenemende mate wordt in organisaties meer aandacht besteed aan IB. Een hefboom die dat versterkt is de politiek. Er wordt continu gewerkt aan nieuwe wetgeving die bedrijven en instellingen verplicht voldoende maatregelen te treffen. Organisaties zijn verplicht ernstige IB incidenten openbaar te maken. Indien onverhoopt blijkt dat men dat

7 Organisatie SYSQA B.V. Pagina 7 van 22 niet heeft gedaan staan daar sancties op. Een organisatie kan zich niet meer veroorloven om IB buiten de directiekamer of boardroom te houden. Het hoogste management niveau is voor het IB beleid verantwoordelijk. Iedereen (elke rol) dient zich bewust te zijn van de consequenties van het IB beleid en iedereen behoort er naar te handelen. Maar gebeurt dat ook? Indien het IB beleid niet consequent en consistent is of niet strikt wordt uitgevoerd, ontstaan er zwakheden (zwakke schakels) wat weer een risico op zich vormt. Bij het niet naleven van het IB beleid wordt de kans verhoogd dat een bedreiging werkelijkheid wordt. Het bedrijf loopt dan een verhoogd risico waarvan het juist gevrijwaard wilt blijven. 2.4 Security awareness Bij de start van de opdracht kan de kwaliteitsmanager al een goede indruk krijgen van het beleid. Als er een IB beleid is dan komt dit ook tot uiting tot een aantal concrete maatregelen. Deze maatregelen moeten, veelal via een training, aan de medewerkers kenbaar worden gemaakt. Dus zelfs voordat de opdracht goed en wel begonnen is, is al vast te stellen of er een IB beleid is. Tip: Vraag om welke trainingen voor een externe medewerker verplicht zijn. Is de security awareness training niet aanwezig of niet verplicht, dan is dit een indicatie dat men geen focus op IB heeft. Tip: Als na verloop van tijd een uitnodiging voor een security awareness training of toets uit blijft kan worden gevraagd waarom dat het geval is. Dat is tevens een goede gelegenheid om door te vragen over het informatiebeveiligingsbeleid. De volgende vragende vragen zijn relevant bij de start van de opdracht om inzicht te krijgen in het IB beleid: Is bijvoorbeeld een security awareness training voor iedere externe medewerker verplicht of hoeven alleen de interne medewerkers de training te volgen? Heeft er een screening plaatsgevonden? Moet er een geheimhoudingsverklaring worden ondertekend? Worden de huisregels toegelicht, nageleefd en wordt toegezien op de naleving daarvan? Is er een beleid voor het gebruik van social media? Zijn er regels voor thuiswerken? De eerste dagen/weken van de opdracht dient men op enige wijze proactief vanuit de organisatie de nieuwe (externe) medewerkers moeten trainen of inzicht verschaffen op de genomen IB maatregelen. Of dit nu via een training of via het laten ondertekenen van documenten gebeurt, de informatie moet gedeeld en bij de betreffende medewerker(s) getoetst worden. Het moet aantoonbaar zijn dat men de informatie tot zich genomen heeft. Anders is het achteraf, bij een incident, niet aan te tonen dat men willens en wetens niet volgens de regels heeft gehandeld.

8 Organisatie SYSQA B.V. Pagina 8 van Vatbaarheid van medewerkers voor misbruik Social engineering en social media verdienen speciale aandacht. In een tijd dat steeds meer via internet wordt gecommuniceerd en gedeeld bestaat hier toch wel een groot risico. Medewerkers zijn voor hackers gemakkelijk op te sporen en te manipuleren. In goed vertrouwen kunnen medewerkers onbedoeld heel veel waardevolle informatie delen met hackers. Ook het nieuwe werken brengt risico s met zich mee. Denk aan shoulder surfing waarbij een medewerker in een publieke ruimte werkt. Zonder er erg in te hebben kijkt iemand anders de inloggegevens af of kijkt mee in belangrijke gegevens. Eigen apparatuur worden steeds vaker voor werkzaamheden ingezet, scheiding tussen privé en werk wordt daarmee steeds kleiner. Gemakkelijk voor de medewerker, een kopzorg voor de IB. Er zijn veel manieren waarop medewerkers onbewust en onbedoeld toch informatie buiten de organisatie kunnen brengen. Hier moet het IB beleid op anticiperen. Veel organisaties zijn zich niet bewust van de bovengenoemde risico s en hebben geen goede of onvoldoende tegenmaatregelen opgesteld. Staan in de huisregels iets over toegang verlenen aan vreemden? Hoe worden de huisregels nageleefd? Wordt aan een vreemde gevraagd of die zich wilt legitimeren? Is er een clean desk policy? Werkt men met beveiligd printen? Mag men documenten mee naar huis nemen? Worden vertrouwelijke documenten vernietigd? Zijn er spelregels voor social media opgesteld? Gaan de regels voor het gebruik van social media verder dan het niet toestaan tijdens kantooruren? Wordt er vanuit de organisatie de social media berichten van de medewerkers gevolgd? Worden eigen apparatuur toegestaan voor het uitvoeren van werkzaamheden? 2.6 Veranderingen van informatiebeveiligingsrisico s In de loop van de tijd worden bestaande risico s vaak minder en verschijnen er nieuwe risico s. De technologische vernieuwingen en veranderingen maar ook veranderend gedrag, denk bijvoorbeeld aan meer thuis werken, moeten elke keer weer opnieuw worden afgewogen op risico s voor de organisatie. Het opstellen van een IB beleid is niet iets wat éénmalig wordt gedaan. Er moet een proces aanwezig zijn waardoor het IB beleid op gezette tijden tegen het licht wordt gehouden. Bij onafhankelijke organisatie zoals OWASP (The Open Web Application Security Project, en ISF (Information Security Forum, is informatie te verkrijgen over de nieuwste trends en ontwikkelingen op het gebied van IB. OWASP is voor iedereen vrij toegankelijk. Bij ISF dient de organisatie lid te zijn alvorens informatie kan worden opgevraagd. Tip: Kijk eens op internet naar de top 10 van IB risico s en zie of die in het IB beleid worden meegenomen en met IB maatregelen worden afgedekt. Zie bijvoorbeeld: https://www.owasp.org/index.php/top_10_2013-t10

9 Organisatie SYSQA B.V. Pagina 9 van Positie van kwaliteitsmanager in de organisatie Een kwaliteitsmanager kan binnen een organisatie op verschillende posities actief zijn: 1. In de lijnorganisatie, boven de programma s en projecten. Dit heeft een continu karakter. 2. In een programma of project. Dit heeft meer een tijdelijk karakter. In de twee volgende hoofstukken wordt op beide specifieker ingegaan.

10 Organisatie SYSQA B.V. Pagina 10 van 22 3 Informatiebeveiliging en de lijnorganisatie In het voorgaande deel over projecten is al veel genoemd dat ook betrekking heeft op de lijnorganisatie. Projecten zijn vooral bezig met wijzigingen op de bestaande situatie terwijl de lijnorganisatie zich bezig houdt met die bestaande situatie. Ook voor de huidige situatie geldt dat deze moet voldoen aan de IB eisen. Om aan deze eisen te voldoen moeten ook noodmaatregelen opgesteld en ingevoerd worden. Bij het in beheer nemen van producten die door projecten worden opgeleverd moet de lijnorganisatie een aantal zaken inregelen. Voordat maatregelen worden ingesteld worden eerst de risico s in kaart gebracht. Hoe gaat de organisatie met risico s om? Hoe is risicomanagement ingericht? Hoe komt men tot mitigerende maatregelen? En hoe bewaakt men deze maatregelen? Hoe monitort men de triggers? Heeft men noodprocedures opgesteld? 3.1 Managementsysteem voor informatiebeveiliging (ISMS) In de NEN 27001:2005 wordt in de eerste 5 hoofstukken aandacht besteed aan het managementsysteem voor IB. Information Security Management System (ISMS) genaamd. Ook bij ITIL v3 (zie bijlage Foundations van ITIL v3, par 10.6, pag ) wordt hier aandacht aan geschonken. Daarbij wordt aangegeven dat het van belang is dat het ISMS aansluiting heeft bij andere management systemen. Belangrijk is de betrokkenheid en van de directie bij dit systeem. Tip: In het informatiebeleid moet beschreven staan hoe het ISMS wordt ingezet en wie ervoor verantwoordelijk is. 3.2 Risicomanagement Startpunt voor kwaliteit is veelal een risicoanalyse. Zeker bij het testen is dat het geval. Vanuit het risicoprofiel en risicogedrag van de organisatie wordt de testen opgezet. Hoogste risico s worden het eerst en met een hogere dekking getest. Past men alleen een risicoanalyse toe bij het testen? Ook IB is risico gedreven, vanuit de risico s wordt bepaald welke maatregelen worden getroffen en bewaakt. Een risicoanalyse kan volgens verschillende methoden worden uitgevoerd. Als kwaliteitsmanager is het handig aan te sluiten bij de methode die men al voor IB toepast. Een aantal vragen in relatie tot risicomanagement: Inventarisatie van strategische security en continuïteitsrisico s, het opstellen van security en continuïteitsbeleid en het coördineren en faciliteren van de implementatie van dit beleid. Welke methodieken worden gebruikt? o Analyse Opstellen van Risk Treatment Plan (zie bijlagen) o Management Risicomatrix Risicoregister / Administratie Bewaking / monitoring Noodprocedure starten bij IB incident Achterhaal het risicogedrag van de organisatie en afdeling. Zijn die in lijn met elkaar? Welke risico s vindt men belangrijk en welke maatregelen zijn genomen?

11 Organisatie SYSQA B.V. Pagina 11 van 22 Tot hoever is risicomanagement doorgevoerd? Tip: Zoek uit welke risicomanagement systemen en methoden de organisatie gebruikt. Het is handig als men voor IB, compliancy, business continuity en risicoanalyse bij testen een vergelijkbare werkwijze/methode gebruikt. Risicomanagement is een vakgebied op zich. Er zijn meerdere standaarden, COSO, M_o_R en NEN/ISO zijn voorbeelden hiervan. In bijlage 1 zijn referenties opgenomen. 3.3 Informatiebeveiliging incidentenbeheerproces Is er een incidentenbeheerproces aanwezig? En wat voor incidenten worden daar geregistreerd? Voor IB incidenten is veelal een aparte helpdesk ingericht met een apart registratiesysteem. IB incidenten moeten meestal vertrouwelijk worden behandeld. Hoe worden incidenten omgezet naar kwaliteitsmaatregelen? Hoe leiden kwaliteitsincidenten tot terugkoppeling naar IB beleid en - maatregelen? Net als bij kwaliteitsmaatregelen geldt voor IB maatregelen dat de organisatie moet leren van haar fouten. Soms kan één incident aanleiding zijn tot een wijziging, soms kan een problem (bundeling van gelijksoortige incidenten) de aanleiding zijn. Ook ervaringen van andere organisaties kan aanleiding zijn tot het herzien van bepaalde IB maatregelen. 3.4 Wijzigingenbeheer In hoeverre wordt IB gerelateerde afdelingen opgeschakeld bij het uitwerken en invoeren van wijzigingen in de werkwijzen, systemen, infrastructuur of organisatie? Bij het opstellen en beoordelen van wijzigingen moet naar IB worden gekeken. Is er inzicht in de huidige en toekomstige IB risico s voor/door: Gegevenseigenaar Systeemeigenaar Proceseigenaar Tip: Neem in het wijzigingsjabloon een aparte paragraaf voor IB op. 3.5 Beheer De beheerders hebben veel met de uitvoering van IB processen te maken. Zij voeren de IB maatregelen en controles uit. Daarnaast onderkennen zij ook vaak als eersten een IB incident. Technisch beheerders installeren en onderhouden de detectiesystemen. Het is van belang dat ze weten hoe ze moeten handelen als een IB incident zich voordoet. Beheerders moeten daarom goed geschoold zijn om het IB beleid om te zetten in effectieve IB maatregelen. Beheerders worden veelal ook betrokken bij de corrigerende maatregelen tijdens/na een IB incident. Een simpele corrigerende IB maatregel is het terugplaatsen van een back-up. Daarmee kan data dat verloren is gegaan of corrupt is geraakt worden hersteld. Een ander aspect van beheer is het doorvoeren van patches. Hoe is het patchbeleid? Loopt men ver achter of voert beheer een gebalanceerd beleid: niet meteen alle patches installeren i.v.m. risico s, wacht men totdat uit het veld/de markt genoeg zekerheid is.

12 Organisatie SYSQA B.V. Pagina 12 van 22

13 Organisatie SYSQA B.V. Pagina 13 van 22 Uit het bovenstaande blijkt dat beheerders betrokken zijn bij het voorkomen en oplossen van IB incidenten. Vandaar een aantal vragen over IB en beheer: Zijn de beheerders (functioneel/applicatie/technisch) bekend met het IB beleid en kennen ze het IB incidentenbeheerproces? Is er een patchbeleid? Weten beheerders hoe ze een IB incident moeten melden? Zijn er geautomatiseerde signaleringen voor misbruik ingericht? Is er back-up beleid? Wordt het restoren van een back-up ook geregeld geoefend? 3.6 Documentatie Het blijkt dat in veel sjablonen geen aandacht wordt besteed aan IB. En als er al aandacht aan wordt besteed en ingevuld dan ontbreekt de security officer in de verzendlijst. Een aantal vragen over documenten: Staat op documenten een classificatie (bijvoorbeeld: vertrouwelijk)? Staan in sjablonen hoofstukken benoemd specifiek voor security? Worden de IB paragrafen ingevuld? Staan er referenties naar IB gerelateerde documenten zoals de Security Baseline? Is er een aparte IB checklist? Worden in SLA s IB richtlijnen meegegeven? Worden de documenten door de security officer gereviewd? Geeft de security officer een apart akkoord op het document? 3.7 Functiescheiding Functiescheiding zorgt voor een betere grip op IB. Het zorgt ervoor dat er geen belangenverstrengeling plaats vindt. Denk hierbij bijvoorbeeld aan de verdeling van gebruiker, systeemeigenaar, proceseigenaar en gegevenseigenaar. Stel dat een beheerder worden gevraagd een SQL query te maken om bepaalde gegevens uit het systeem te halen. Wordt dan goedkeuring aan de gegevenseigenaar gevraagd? En bij herhaaldelijke verzoeken, wordt dan de proceseigenaar ingeschakeld? Blijkbaar kan een proces geen voortgang vinden als de informatie ontbreekt. Een herziening van het proces is dan nodig. Een goede RACI-matrix kan helpen bij het inzichtelijk krijgen en houden van de verantwoordelijkheden. De juiste rollen en taken moeten goed zijn verdeeld over de mensen zodat er minimaal 2 mensen nodig zijn bij een besluit. Tip: Functiescheiding voorkomt misbruik van rechten en privileges. Zijn er RACI-matrixen? Worden de RACI-matrixen opgevolgd? 3.8 Contractmanagement Ook bij contracten moet men rekening houden met het IB beleid. In de contracten moet bijvoorbeeld worden vast gelegd hoe men handelt in geval een IB incident optreedt. In het document Security Baseline is een lijst met vragen en aandachtpunten voor contracten opgenomen.

14 Organisatie SYSQA B.V. Pagina 14 van Outsourcing Wanneer werkzaamheden worden uitbesteed aan een andere partij behoort deze partij minimaal dezelfde beveiligingsregels na te leven. Outsourcing kan ook tot een hogere IB leiden wanneer de uitvoerende partij een goed IB beleid heeft en juiste maatregelen heeft getroffen. Aan de andere kant wordt er meer informatie worden uitgewisseld of bij de partner ondergebracht. Het is dus zaak om goede afspraken te maken en na te komen. Staat in het contract/sla richtlijnen voor IB? Rapporteert de partner ook over IB maatregelen en -incidenten? Tip: Loop het contract met de partner eens door op informatiebeveiligingsaspecten en KPI s op dit vlak ESCROW ESCROW is een betrouwbare, onafhankelijke partij ingeschakeld om bijvoorbeeld de broncode van software in bewaring te geven. Daarmee heeft de klant/opdrachtgever de zekerheid dat bij een faillissement van de softwareleverancier, de klant/opdrachtgever toch over de broncode kan beschikken. Hierdoor loopt de klant/opdrachtgever een verminderd risico. De condities waaronder de broncode beschikbaar wordt gesteld staan in het contract. Net als de frequentie waarin de leverancier nieuwe versies van de broncode beschikbaar stelt. Wordt de broncode goed opgeslagen bij de ESCROW agent? Is gecontroleerd dat de set van broncode compleet is? Kan men in eigen beheer de broncode bewerken? Kan men in eigen beheer de software verder ontwikkelen? Tip: Bij een backup wordt een restore uitgevoerd om te zien of een backup proces goed werkt. Doe dit ook eens voor het ESCROW proces. Heeft men werkelijk alles om ontwikkeling van de software in eigen beheer voort te zetten?

15 Organisatie SYSQA B.V. Pagina 15 van 22 4 Informatiebeveiliging en projecten Projecten zijn er voor om innovatie door te voeren, nieuwe bedrijfsprocessen in te richten of bestaande te wijzigen. Als gevolg hiervan worden vaak geautomatiseerde systemen aangepast. Ook kunnen als gevolg van verbeteringen in een systeem de processen worden aangepast door bijvoorbeeld een workaround te verwijderen. Houdt men gedurende het project genoeg oog voor IB? Brengt men voldoende de risico s in kaart en werkt men ook risico gedreven? In projecten heeft de projectmanager vaak een doel: het project op tijd en binnen budget afronden. De eerste zaken die bij een project sneuvelen zijn: beheergemak en IB. Functioneel beheer wil een product opgeleverd krijgen dat aansluit bij de bedrijfsprocessen. Een technisch beheerder wil een goed beheersbaar systeem met een goede performance. Daarnaast wilt de testmanager de kwaliteit van het op te leveren product aantonen en adviseren over de risico s die men loopt. Er zijn zoveel rollen, met ieder nog meer verschillende eisen. Het is zaak om een goede balans te vinden tussen functionaliteit, gebruikersgemak, performance én IB. Soms zijn zaken goed te combineren en leveren ze gemakkelijk meerwaarde. Maar soms is het lastig om een goede afweging te maken. Bijvoorbeeld Single Sign On (het eenmalig inloggen) is heel handig voor de gebruikers. Ze hoeven zich maar één keer aan te melden en hebben dan toegang tot alle, voor hen relevante applicaties. Maar vanuit het oogpunt van IB is het beter als men voor elke applicatie apart inlogt met verschillende inlogcodes en wachtwoorden. Veiligheidsrisico s en gebruikersgemak moeten in dit voorbeeld tegen elkaar worden afgewogen. Security Functionaliteit Gebruikersgemak Zo zijn er tal van voorbeelden te bedenken waarbij functionaliteit, gebruikersgemak, performance en IB ieder een andere oplossing vereisen. Het is zaak hier goed de risico s in kaart te brengen en de juiste afwegingen te maken. Deze beslissing moet door iedere rol van het project worden gedragen. 4.1 Quality reviews (review van programma- en projectplan) Wordt tijdens de quality reviews van programma s en projecten voldoende aandacht geschonken aan security, usiness continuity en compliancy? Of wordt er alleen op kwaliteit van de eindproducten en projectresultaten (meestal tijd en geld) gestuurd? Tip: Zorg dat naast de gebruikelijke aspecten tijd, geld, scope en kwaliteit ook de aspecten security en compliancy worden behandeld.

16 Organisatie SYSQA B.V. Pagina 16 van 22 Zoals eerder gesteld is de leiding van de organisatie verantwoordelijk voor een goed IB beleid en uitvoering daarvan. Tijdens de quality reviews moet hier aandacht aan worden geschonken. Steeds meer wordt vanuit compliancy oogpunt meer gefocust op IB. Tip: Laat bij de quality review naast de programma manager, de project managers en kwaliteitsmanagers ook de security officer aanschuiven. 4.2 Project initiatie Wordt bij het opstarten van een project van meet af aan al rekening gehouden met IB? Bij veel projecten richt men zich in eerste instantie op de (nieuwe) functionaliteit en zijn performance en IB onderbelicht. Tenzij het project iets moet doen aan de ondermaatse IB. De projectmanager is er voor verantwoordelijk dat het gehele projectteam in de geest van het IB beleid opereert en ook producten oplevert die aan de IB eisen voldoen. Projectmanagers worden veelal extern aangetrokken en het is dus zaak dat zij, voordat zij aan de slag gaan, voldoende afweten van het IB beleid en de te nemen IB maatregelen. Een kwaliteitsmanager moet dit stimuleren en zo nodig de projectmanager bijsturen. Een optie is dat de kwaliteitsmanager samen met de projectmanager en security officer frequent om tafel zit. Tip: Controleer bij de review van het PID of IB risico s worden benoemd en of het IB beleid goed wordt vertaald in projectdoelen. De projectdoelen mogen niet strijdig zijn met het IB beleid. Tip: Laat het PID ook door de security officer reviewen. Wordt in het PID ook verwezen naar het IB beleid? Wordt in de opstartfase al een dossier opgebouwd waarin men bijhoudt welke gevoelige gegevens men opbouwt en wijzigt? 4.3 Inrichting projectteam en middelen IB begint al voordat het project van start gaat. Voor sommige organisaties of projecten worden de medewerkers vooraf gescreend. Zeker bij projecten waar men met zeer gevoelige informatie of kritische systemen werkt gebeurt dat. Het is goed te weten of mensen gevoelig zijn voor chantage doordat ze een achtergehouden verleden hebben of met schulden zitten. Ook de te gebruiken hulpmiddelen moeten vooraf worden beoordeeld. Gebruik van Skype en Dropbox is af te raden. Beter is het om middelen te gebruiken die in het afgeschermde, interne netwerk beschikbaar zijn, zoals de equivalenten Microsoft Lync (chat) en Sharepoint (documenten delen). Waar staan bijvoorbeeld de bevindingen? Als die via een internetapplicatie worden gedeeld met een externe leverancier dan kan een hacker heel gemakkelijk de zwakheden van de systemen achterhalen en benutten door in te breken in de bevindingenbeheertool. In defects staan namelijk de zwakheden vermeld en hoe je die kunt creëren of kunt uitbuiten. Veelal met inlogcodes, url s, servernamen en voorbeelden. Tip: Ook de door het team gebruikte tools en communicatiemiddelen moeten minimaal op een zelfde niveau van IB zijn als het te maken eindproduct.

17 Organisatie SYSQA B.V. Pagina 17 van 22 Draadloos werken zorgt er voor dat berichten kunnen worden onderschept zonder dan men toegang tot het pand heeft. Ook bij thuiswerken kunnen aanvullende beveiligingsmaatregelen worden genomen. Wat gebeurt er met oude documenten? Nemen medewerkers die mee naar kantoor voor vernietiging? Blijven bij thuiswerken digitale kopieën achter op de privé computer? Testomgevingen moeten ook goed worden beveiligd. Als een hacker daar toegang toe krijgt kan hij leren en proberen hoe de productie omgeving werkt. Door een goede beveiliging op de testomgeving toe te passen kan dat worden bemoeilijkt. Tip: Zorg ervoor dat alleen specifieke rollen toegang krijgen tot testomgevingen en dat men alleen bijbehorende toegang krijgt. Tester behoren géén toegang tot productiesystemen te krijgen! Net als testomgevingen zijn ontwikkelomgevingen zeer interessant voor indringers. Wat is er leuker voor een hacker om in de code rond te snuffelen en eventueel aan te passen? Veiliger is het om de broncode in encryptie op te slaan. Zie ook paragraaf over ESCROW. Worden mensen gescreend? Welke onveilige hulpmiddelen worden ingezet? Waar en hoe wordt de broncode opgeslagen? Worden defects afgeschermd? 4.4 Opstellen requirements Voordat requirements worden opgesteld wordt een stakeholderanalyse gedaan. Controleer of hierbij ook voldoende wordt gekeken naar rollen die inhoudelijk meer kunnen zeggen over bedrijfscontinuïteit en IB. De vraag is ook of de requirementsanalist of business analist voldoende van deze onderwerpen afweten en er ook voldoende focus op hebben en zo nodig de mensen met kennis op deze gebieden opschakelen. Denk bijvoorbeeld aan security officer of functioneel beheerder. Tip: Zorg dat bij het opstellen van requirements de rollen security officer, functioneel-, applicatie- en technisch beheerder betrokken zijn. Staat men genoeg stil bij de risico s wanneer een security requirement niet wordt gehaald? Tip: Een requirementsanalist hoort ook te kijken naar wat voor risico s men loopt als een requirement niet of niet goed wordt ingevuld. De Brainstorm-paradox elicitatietechniek is hierbij goed te gebruiken. Bij reviews leest men vaak alleen de tekst, het uitwerken in diagrammen geschied veelal in de ontwerpfase. Waarom niet meteen tijdens de review? Diagrammen helpen om niet gespecificeerde paden op te sporen. En als een pad niet is gedefinieerd ligt het aan de programmeur hoe het systeem omgaat met dit soort potentiële zwakheden van een systeem. Tip: maak bij reviews ook diagrammen om open einden en ontbrekende flows op te sporen. Alleen lezen van tekst is niet afdoende om deze potentiële beveiligingslekken te vinden.

18 Organisatie SYSQA B.V. Pagina 18 van 22 Een andere benadering is om de requirements en werkwijze van het systeem eens vanuit het oogpunt van misbruik te benaderen. Nieuwe requirements komen dan zeker naar voren. Tip: Gebruik van abuse cases kan helpen IB problemen vooraf te vinden en op te lossen. Zie het document Test manager voor meer uitleg over Abuse Cases. 4.5 Ontwikkelproces Tijdens het ontwikkelen van de oplossing -hoeft niet altijd geautomatiseerd te zijn- is het zaak dat men voldoende stil staat bij aspecten op het gebied van IB. De laatste versies van de ontwikkelsuite hoort op de ontwikkelomgevingen te staan. Leveranciers dichten de beveiligingslekken in patches en nieuwe releases. Indien oude versies van de ontwikkelomgeving wordt gebruikt, loopt de organisatie een veiligheidsrisico. Dit wordt niet altijd onderkend. Daarnaast kunnen ontwikkelomgevingen ook met virussen te maken krijgen wat kan leiden tot desastreuze gevolgen. Tip: Vraag eens naar het patchbeleid van de ontwikkelomgeving. Wanneer heeft men de laatste versie van de ontwikkelsuite geïnstalleerd? Wordt van de softwarecode ook dagelijks een backup gemaakt? Hebben de designers en ontwikkelaars voldoende training gehad om IB en bedrijfscontinuïteit te kunnen waarborgen? Wordt tijdens de reviews van de designs ook een security-expert en beheerders ingeschakeld? Houden de ontwikkelaars zich voldoende bezig met IB? Houden ze er rekening mee bij het maken van de oplossing/hun (tussen)product? Worden technieken/middelen zoals code-review en tooling ingezet om de code op potentiële fouten te checken? Checkt men de designs ook op ontbrekende stappen/paden? Gebruikt men ook abuse cases? Tip: Veel informatiebeveiligingslekken kunnen al tijdens de ontwikkelfase worden opgespoord en hersteld. Dit scheelt veel tijd en geld later in het traject. Zie ook hoofdstuk 2 van het document Informatiebeveiliging voor Testmanagement. 4.6 Testen Testen is risicogedreven, net zoals IB en business continuity. Met het testen van een informatiesysteem wil men inzicht krijgen in de risico s die men loopt bij het ingebruik nemen ervan. De risico s worden geïnventariseerd, gecategoriseerd en geprioriteerd. Vervolgens wordt van de hoogste risico s door toetsen en testen bepaald of deze risico s door voldoende tegenmaatregelen zijn afgedekt. Een vrijgaveadvies geeft aan welke risico s men nog loopt.

19 Organisatie SYSQA B.V. Pagina 19 van 22 Veelal worden tijdens de risico analyse door de betrokkenen gefocust op functionaliteit. Performance en IB zijn vanuit de gebruikers over het algemeen minder belangrijk. Voordat men gaat testen een specificeren wordt een Product Risico Analyse uitgevoerd met alle relevante stakeholders. Dus daar horen dan ook beheerders en een security officer bij te zijn. Waar ligt de focus tijdens de PRA? Welke kwaliteitsattributen van ISO vindt men belangrijk? Kent men de security attributen? Heeft de testmanager de (security) kwaliteitsattributen uitgelegd/toegelicht? Is de security officer aanwezig bij PRA? Wordt het IB beleid goed in de PRA sessie meegenomen en wordt dit ook in de uitwerking van de PRA goed verwerkt? Zijn de systeem-, gegevens- en proceseigenaren zich voldoende bewust van de IB risico s? Richt het testen zich op invoergegevens, interne verwerking en uitvoergegevens? Op de kennisbank van SYSQA staat het document Informatiebeveiliging voor testmanagment dat dieper ingaat op het testen van IB. 4.7 Testdata Bij het gebruik van productiedata als testdata komt men al snel in contact met Wet Bescherming Persoonsgegevens (WBP), zeker als het gevoelige informatie betreft. Tip: Voer de WBP quickscan uit, te vinden op: Voordat productiedata voor testen wordt gebruikt, moet worden afgevraagd of op andere manieren testdata gegenereerd kan worden. Als er toch productiedata nodig is dan zijn er diverse manieren om productiedata te anonimiseren, te mixen of te maskeren. Hiervoor zijn diverse tools en methoden beschikbaar, denk aan scrambling, shuffling, replacing en gebruik maken van seedlists en persona (klant profielen). Tip: Vraag eens aan de testers welke tools zij gebruiken om testdata te genereren. Als ze die niet gebruiken of productiedata inzetten dan is hier mogelijk een IB probleem die meer aandacht behoeft. Naast het aanmaken van testdata kan ook testdata en testomgevingen worden gebruikt om de vatbaarheid voor SQL injections op te sporen. Bij het invoeren van verkeerde data kan men testen of i.p.v. testdata SQL statements kan invoeren. Dit is te doen door ; voorafgaand aan het SQL statements te geven. Deze SQL injection test kan men dus bij functionele testen als bij het genereren van testdata toepassen. 4.8 Testomgeving Testomgevingen worden veelal minder beveiligd dan productieomgevingen terwijl ze voor hackers juist heel interessant kunnen zijn, zoals in paragraaf 4.3 al gesteld. Een testomgeving kan door een hacker als leeromgeving worden gebruikt. In sommige gevallen worden productiesystemen aan een testomgeving gekoppeld omdat van dat systeem een testomgeving ontbreekt. Hiermee kan (on)bewust door testers de

20 Organisatie SYSQA B.V. Pagina 20 van 22 productieomgeving worden beïnvloed. Productiedata kan corrupt raken, performance kan achteruit gaan. Tip: Productiesystemen en testsystemen horen ontkoppeld te zijn om IB incidenten te voorkomen. In een repository moet worden bijgehouden welke systemen op welke wijze aan elkaar zijn gekoppeld. Ook in structured oriented architecture (SOA) testomgevingen moet een controle plaatsvinden of het systeem dat een serviceverzoek indient dit mag doen. 4.9 Defect beheer Zoals in paragraaf 4.3 is aangegeven verdiend de bevindingentool ook speciale aandacht. Wanneer een hacker toegang kan krijgen heeft deze een schat aan informatie over zwakheden van de systemen tot zijn beschikking. Bevindingen bevatten vaak hele specifieke en gedetailleerde informatie waarmee beveiliging is te omzeilen of om het systeem eenvoudig vast te laten lopen. Niet iedereen is zich bewust van dit risico. Vandaar dat niet iedereen zomaar toegang tot de bevindingen mag hebben. Tip: Bevindingen bevatten zwakheden van een systeem en daarom moeten de bevindingentool en database goed beveiligd zijn Overdracht naar beheer Het is belangrijk dat (nieuwe) bedrijfsprocessen en (niet-)geautomatiseerde systemen voldoen aan de IB richtlijnen. Bij het opstellen of wijzigen van deze processen en systemen moet hierop worden getoetst. Een beheerder die een nieuw of gewijzigd proces of systeem in gebruik neemt moet zich ervan bewust zijn wat dat voor consequenties heeft voor de IB. Naast de beheerders zijn ook gegevens-, systeem- en proceseigenaren in het beheerproces betrokken. Zijn zij zich bewust van de nieuwe risico s die het gewijzigde of nieuwe systeem met zich meebrengt? Zodra het nieuwe of gewijzigde informatiesysteem wordt overgedragen naar de beheerorganisatie spelen de in hoofdstuk 3 van voorliggend document genoemde zaken een rol. Wordt bij de overdracht rekening gehouden met het aanpassen van de backup? Denk aan aangepaste configuratie of databasestructuur Afronding project Bij afronding van een project horen de documentatie netjes te worden overgedragen aan de lijnorganisatie. Bij het opstarten worden veel zaken ingeregeld. Tijdens het project wordt er van alles geproduceerd en gewijzigd. Tip: Zoek het proces voor afronden van een project op en kijk of daar voldoende maatregelen in staan. Denk bijvoorbeeld aan verwijderen van testaccounts. Is er een proces om een project af te ronden en wordt dat ook gevolgd? Worden bij afronding van een project o de inloggegevens en rechten van de medewerkers verwijderd? o de testomgevingen en testdata overgedragen of verwijderd?

Informatiebeveiliging voor de requirementsanalist

Informatiebeveiliging voor de requirementsanalist voor de requirementsanalist SYSQA B.V. Almere Datum : 15 april 2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA BV Pagina 2 van 11 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding...

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Testomgevingen beheer

Testomgevingen beheer Testomgevingen beheer Testen brengt het verwachte resultaat en de huidige toestand bij elkaar. Het geeft aanknopingspunten om de planning te maken, het product te verbeteren en om zorgen bij belanghebbenden

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

bedrijfsprocessen en vormt daarmee de kapstok voor de producten van andere disciplines. Het PAM is geen RUP concept.

bedrijfsprocessen en vormt daarmee de kapstok voor de producten van andere disciplines. Het PAM is geen RUP concept. 1. 1.1. Inleiding Doel De Requirementdiscipline richt zich op het vaststellen en vastleggen van de eisen en wensen die aan een oplossing worden gesteld: de requirements. Rollen De keyrol binnen deze discipline

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Ieder document direct beschikbaar

Ieder document direct beschikbaar Slide 1 Ieder document direct beschikbaar 4 februari 2016 1 Slide 2 Over Expansion Implementatiespecialist op gebied van digitale documentverwerking en archivering Verantwoordelijk voor volledig implementatietraject

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren November 2014 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 1 Inhoudstafel 1 Introductie 3 1.1

Nadere informatie

Installatiehandleiding Business Assistent

Installatiehandleiding Business Assistent Installatiehandleiding Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 25-09-2014 Eerste opzet van het installatie Concept document. 1.0 04-11-2014 Geen: Commercieel maken

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Dienstbeschrijving Versie 1.2 Oktober 2014

Dienstbeschrijving Versie 1.2 Oktober 2014 Dienstbeschrijving Versie 1.2 Oktober 2014 Inhoudsopgave 1 Inleiding... 3 2 Belangrijkste voordelen... 4 3 RiskID, dé risicoanalyse software... 4 3.1 Sessie beheer... 4 3.1.1 Sessie ontwerp... 5 3.1.2

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Testen = Monitoren. Hoe de werkzaamheden van de boodschapper van de koning gaan veranderen. Datum: 30 April 2015

Testen = Monitoren. Hoe de werkzaamheden van de boodschapper van de koning gaan veranderen. Datum: 30 April 2015 Testen = Monitoren Hoe de werkzaamheden van de boodschapper van de koning gaan veranderen. Spreker: Ide Koops Datum: 30 April 2015 1 2 Agenda Testrapportages in het verleden Impact nieuwe ontwikkelingen

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Met vragen over de leverancier kwaliteitsbeoordelingvragenlijst kunt u contact opnemen met ondergetekende.

Met vragen over de leverancier kwaliteitsbeoordelingvragenlijst kunt u contact opnemen met ondergetekende. info@huibhezemans.nl www.huibhezemans.nl Aan Straatnaam ## 1234 AB Plaatsnaam s-hertogenbosch, 6 oktober 2011 Betreft: leverancier kwaliteitsbeoordeling Geachte relatie, met bijgaande vragenlijst

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken

Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken De business organisatie heeft altijd stijgende verwachtingen van uw IT organisatie. Meer dan ooit is het van

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Ministerie van Infrastructuur en Milieu Beheerst naar beheer

Ministerie van Infrastructuur en Milieu Beheerst naar beheer Document D-2 Ministerie van Infrastructuur en Milieu Beheerst naar beheer Versie 1.0 Datum 15 juli 2014 Status Definitief Colofon Versie 1.0 Contactpersoon Paul Leunissen M 06-5250 6691 Paul.Leunissen@minienm.nl

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Rik Jan van Hulst Wittenburgergracht 269 1018 ZL Amsterdam rikjan@ppqa.nl 0653814034

Rik Jan van Hulst Wittenburgergracht 269 1018 ZL Amsterdam rikjan@ppqa.nl 0653814034 Personalia Naam van Hulst Voornaam Rik Jan Geb.datum 20-06-1964 Geslacht Man Burg. staat Gehuwd Nationaliteit Nederlandse Talen Nederlands, Engels, Frans, Italiaans Website www.ilexit.nl www.ppqa.nl www.risicoproces.nl

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Depersonaliseren. Onderdeel van het boek Testdata management Geschreven door Bert Nienhuis DATPROF. Depersonaliseren

Depersonaliseren. Onderdeel van het boek Testdata management Geschreven door Bert Nienhuis DATPROF. Depersonaliseren Onderdeel van het boek Testdata management Geschreven door Bert Nienhuis DATPROF Blz 1 (6) 1 Het beveiligen van persoonsgegevens kan op verschillende manieren worden gewaarborgd; hardware- en softwarematige

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Proces afspraken na implementatie WaaS

Proces afspraken na implementatie WaaS Proces afspraken na implementatie WaaS versie: 1.0 datum: April 2013 auteur: Beheer en Implementatie BNL Versiebeheer Versie Datum Status Auteurs Opmerkingen 1.0 18-4-2013 Definitief Pascal Navarro en

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

BeheerVisie ondersteunt StUF-ZKN 3.10

BeheerVisie ondersteunt StUF-ZKN 3.10 Nieuwsbrief BeheerVisie Nieuwsbrief BeheerVisie 2015, Editie 2 Nieuws BeheerVisie ondersteunt StUF-ZKN 3.10 BeheerVisie geeft advies MeldDesk App Message Router MeldDesk Gebruikers Forum Nieuwe MeldDesk

Nadere informatie

14-9-2015. Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Systeemontwikkeling

14-9-2015. Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Systeemontwikkeling Les 1 Docent: Marcel Gelsing Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Systeemontwikkeling Je kunt hier (optioneel) ook een gratis tool downloaden

Nadere informatie

Privacy Policy. Beheer. Algemeen. Disclaimer. Welke gegevens verzamelen wij

Privacy Policy. Beheer. Algemeen. Disclaimer. Welke gegevens verzamelen wij Privacy Policy Beheer De website www.sportentrainer.nl is een onderdeel van het bedrijf Sportentrainer.nl. Het bedrijf staat geregistreerd bij de Kamer Van Koophandel onder nummer: 59939761 De adresgegevens

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

BSCAT en Managementsystemen

BSCAT en Managementsystemen BSCAT en Managementsystemen Veiligheidsdag Apply 15 april 2015 1 SAFER, SMARTER, GREENER De praktijk 2 Risicomanagementproces De Deming SAFER, SMARTER, GREENER Risico s zijn ook kansen No Risk no business

Nadere informatie

Landelijk Indicatie Protocol (LIP)

Landelijk Indicatie Protocol (LIP) Handleiding Landelijk Indicatie Protocol programma pagina 1 of 18 Landelijk Indicatie Protocol (LIP) Welkom bij LIP Lip is ontstaan uit een toegevoegde module aan het kraamzorg administratie pakket van

Nadere informatie

Contractmanagement en contractbeheer

Contractmanagement en contractbeheer Ir. ing. D. Mostert, DME Advies If you are not in control of your contracts, you are not in control of your business (Gartner) Uitbesteding op diverse gebieden neemt een grote vlucht. Steeds vaker wordt

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming

Nadere informatie

Factsheet Outsourcing

Factsheet Outsourcing Factsheet Outsourcing www.vxcompany.com U wilt er zeker van zijn dat de IT-infrastructuur van uw organisatie in goede handen is, zodat u uw aandacht volledig kunt richten op de core business. Wij beheren

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

geen dag zonder een goed CV White Label

geen dag zonder een goed CV White Label White Label Als intermediair, detacheringorganisatie of uitzendbureau bestaat uw core business uit het verzamelen, beoordelen en herlabelen van CV s. Met name het herlabelen van CV s is een van de punten

Nadere informatie

Ondersteuning van zorg gerelateerde processen en activiteiten voor patiënt en zorgverstrekkers

Ondersteuning van zorg gerelateerde processen en activiteiten voor patiënt en zorgverstrekkers Ondersteuning van zorg gerelateerde processen en activiteiten voor patiënt en zorgverstrekkers Contact persoon: Thera Splinter: 020 6445160 team@webfysio.nl Contact persoon: Joost Nagelmaeker: 0642115336

Nadere informatie

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties 2 Supportdesk Pro Introductie Inhoudsopgave I Supportdesk Pro 3 1 Inleiding... 3 2 Werkwijze... 3 II Zaken 4 1 Introductie... 4 2 Zaken beheren... 4 3 Handmatig... invoeren zaken basis 4 4 Verwerken...

Nadere informatie

Installatiehandleiding Business Assistent

Installatiehandleiding Business Assistent Installatiehandleiding Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 25-09-2014 Eerste opzet van het installatie Concept document. 1.0 04-11-2014 Geen: Commercieel maken

Nadere informatie

Handleiding voor de checklist Overdracht project/change naar beheer. Handleiding : Frédéric van der Vaeren

Handleiding voor de checklist Overdracht project/change naar beheer. Handleiding : Frédéric van der Vaeren Auteur(s) Datum Versie Frédéric van der Vaeren 11/03/2013 2.0 Eigenaar Doelpubliek Bert van Hemelen Gebruikers checklist overdracht project/change naar beheer Handleiding : Handleiding voor de checklist

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Handleiding Migratie. Bronboek Professional

Handleiding Migratie. Bronboek Professional Handleiding Migratie Bronboek Professional Laatste wijziging: 25/02/2015 Inhoudsopgave Controles en acties vooraf pag. 1 Installatie en configuratie Microsoft SQL met de Bronboek Helpdesk Tool pag. 3 Migratie

Nadere informatie

Veelgemaakte fouten bij de inzet van SharePoint

Veelgemaakte fouten bij de inzet van SharePoint Veelgemaakte fouten bij de inzet van SharePoint Vincent Somers Paul Keijzers Oprichter, directeur Orangehill Online- & IT-professional Oprichter, directeur KbWorks Online Business Consultant Intranet Publieksomgevingen

Nadere informatie

ITIL V3. een kennismaking. C.A. van der Eem

ITIL V3. een kennismaking. C.A. van der Eem een kennismaking C.A. van der Eem VOORWOORD een kennismaking Dit is de derde uitgave van ITIL een kennismaking. Dit boek behandelt de onderdelen van foundations. Uitgangspunt is vooral het basisbegrip

Nadere informatie