CSIRT vanuit een IT-audit perspectief

Maat: px
Weergave met pagina beginnen:

Download "CSIRT vanuit een IT-audit perspectief"

Transcriptie

1 CSIRT vanuit een IT-audit perspectief Dagelijks verschijnen in de media berichten dat de interne én externe beveiliging bij nationale en internationale bedrijven vaak tekortschiet. De beveiligingsincidenten worden uitvoerig toegelicht, waarbij echter meer de symptomen worden besproken die worden waargenomen dan dat de werkelijke oorzaak wordt behandeld. Binnen de betreffende organisatie is ook niet altijd duidelijk wát er precies aan de hand is. Eén van de mogelijke oplossingen is de aanwezigheid van een team van mensen binnen de onderneming, die niet alleen de incidenten constateren, analyseren en oplossen, maar ook de oorzaken aanpakken met als belangrijkste doel een herhaling in de toekomst te voorkomen. Een algemene benaming voor een dergelijk team is een CSIRT (Computer Security Incident Response Team). In dit artikel wordt een CSIRT besproken vanuit een IT-audit perspectief. ROB SCHAAP EN ERWIN DEN BAK Informatiebeveiliging wordt vaak onderscheiden naar de volgende gebieden: maatregelen in het kader van het caties et cetera; tomatiseerde informatiesystemen zijn steeds gebruikersvriendelijker, maar zorgen daardoor steeds meer voor een eenvoudige toegang (ook ongewenste). Ook de toegang tot de data binnen het netwerk vereist grote aandacht; gang tot gebouwen en technische apparatuur. als gevolg van de ontwikkelingen op onze digitale snelweg. Particulieren en organisaties communiceren elke welijke gegevens over en weer worden gestuurd. Dit zijn vaak gegevens die van groot belang zijn bij zowel de organisaties als de particulieren. resseerd zijn in deze gegevens. beveiliging in zijn algemeenheid en veel organisaties een vast agendapunt geworden binnen de Raad van Bestuur en Raad van Commissarissen. Ook wordt de functie van CIO (Chief Information Officer) in toenemende antwoordelijk voor het beheer van de informatie en fungeert tegelijkertijd als innovator van informatieproducten. Tot de verantwoordelijkheid van de CIO hoort ook het inrichten van de beveiligingsorganisatie en het toezien op de werking van deze organisatie. gen waar te nemen die van invloed beveiliging: 8 de EDP-Auditor nummer

2 Verantwoording Dit artikel is gebaseerd op een referaat dat is geschreven ter afronding van de IT Audit Opleiding aan de VU Amsterdam. Doel van het onderzoek is het aanreiken van een referentiekader voor de IT-autitor die betrokken is bij de oprichting of audit van een CSIRT. Via literatuuronderzoek is allereerst nagegaan wat een CSIRT is en doet. Ook is gekeken naar de positie van een CSIRT binnen de organisatie en welke diensten het kan leveren. Hiertoe zijn onder meer publicaties vanuit universiteiten, de Nederlandse wet- en regelgeving en bestaande literatuur bestudeerd. Uit de vergelijking van de kenmerken van een CSIRT en de taken van de IT-auditor, kunnen verschillende aandachtsgebieden worden afgeleid die een rol spelen bij het functioneren van een CSIRT. De resultaten van het literatuuronderzoek zijn vervolgens voorgelegd aan deskundigen uit de praktijk en daarbij is gevraagd naar hun mening en eventuele aanvullingen. De deskundigen zijn verantwoordelijk voor of nauw betrokken bij de informatiebeveiliging binnen de eigen organisatie. Tenslotte zijn de resultaten van het literatuur- en het praktijkonderzoek én de reacties van de deskundigen gebruikt om een referentiekader op te stellen. T-Mobile lekt per ongeluk gegevens van 30 miljoen klanten: Wederom heeft T-Mobile geblunderd met het beheer van haar klantgegevens. Na de (eerdere) diefstal van zeventien miljoen klantgegevens, heeft de telecomaanbieder nu zelf de informatie van 30 miljoen klanten per ongeluk on line gezet. T-Mobile heeft inmiddels beterschap aangekondigd en beloofd de beveiliging aan te scherpen. Gemeenten laks met privacyregels: Gemeenten hebben moeite om zich te houden aan de procedures rond bescherming en beveiliging van persoonsgegevens. De Inspectie Werk en Inkomen stipt dit aan in een recent onderzoek, nadat eerder al het College Bescherming Persoongegevens (CBP) aan de bel trok. Veel gemeenten kunnen geen inzicht bieden in de manier waarop zij de beveiliging regelen van persoonsgegevens. Het overgrote deel van de gemeenten gaf aan dat een benodigd beveiligingsplan ontbreekt en dat er geen speciale functionarissen zijn aangesteld. Potentieel beveiligingslek in Adobe Reader: Op het eigen weblog waarschuwt het Adobe Product Security Incident Response Team voor een mogelijk beveiligingslek in Adobe Reader 9.1 en Door een lek in de software kan een aanvaller willekeurige programmacode uitvoeren met de rechten van de ingelogde gebruiker. Bron: Security.nl wustzijn binnen de organisaties en de maatschappij; autoriteit op het gebied van Infor matie (beveiligings) Management; punt binnen de organisatie waar de processen voor risicobeheersing en calamiteiten beginnen en eindigen; internationaal op het gebied van informatiebeveiliging. Informatiebeveiliging wordt niet meer gezien als een noodzakelijk kwaad op het moment dat er beveili gingsincidenten optreden, maar als een structureel onderdeel van de beveiligingsincident is een gebeurte nis of het constateren van een gebeur tenis, die een bedreiging vormt of kan gaan vormen voor de vertrouwelijk heid, beschikbaarheid en/of integri teit van gegevens in de (geautomati seerde) informatiesystemen binnen de organisatie. Om de impact van beveiligingsinci denten te kunnen verminderen, is een nodig voor de detectie, preventie en correctie van deze incidenten. De maatregelen moeten zowel technisch als organisatorisch van aard zijn, zoals is beschreven in de Code voor Infor practice door veel organisaties wordt geïmplementeerd. Onderdeel van het geheel van maat regelen zou ook kunnen zijn het opzetten en operationeel laten werken van een team van mensen, die onder nisatie en zich bezighouden met OPBOUW ARTIKEL vullen binnen de totale beveiligings zou kunnen vervullen en het organi satorische kader waarbinnen een In een volgend hoofdstuk reiken we een referentiekader aan dat als hulp middel kan dienen bij het opzetten nader beoordelen van een operatio Daarna beschrijven we observaties vanuit de praktijk over een juiste en volledige toepassing van het referen tiekader en tenslotte geven we nog antwoorden op vragen die wij onszelf hebben gesteld. CSIRT rity Incident Response Team en wordt veelvuldig gebruikt als syno niem voor de beschermde term 1, Computer Emergency Response Team. gebruikt zijn: IRT (Incident Response Team), CIRT (Computer Incident die verantwoordelijk is voor het in behandeling nemen van beveiligings incidenten en het oplossen daarvan. bij het bepalen, implementeren en uitvoeren van preventieve maatrege len. Dit is mede afhankelijk van de organisatievorm en doelstelling de EDP-Auditor nummer

3 nieerde klantgroep. In de meeste afdelingen van de eigen organisatie. taken kunnen ook organisatorisch worden ondergebracht in de is mede afhankelijk van de omvang van de organisatie, het gewenste niveau van informatiebeveiliging en matiebeveiliging verricht worden. De tisch, dat hiervoor speciaal getrainde functionarissen nodig zijn. Doelstelling onder meer afhankelijk van de missie en doelstellingen van de organisatie en de organisatorische plaats van het zen voor de volgende (generieke) doelstelling: Het bijdragen aan het behalen van het gewenste beveiligingsniveau als een voorwaarde voor een betrouwbare bedrijfsvoering en het minimaliseren van bedreigingen en schade als gevolg van pogingen tot het binnendringen tot de systemen door onbevoegden. Diensten De meest voorkomende diensten die opgenomen. de vraag vanuit interne (en mogelijk moeten worden gemaakt. Reactieve diensten worden op afroep gingsverzoek, virusmelding, vaststellen ongeoorloofde toegang et cetera. De geert snel op een bepaalde gebeurtenis. Proactieve diensten leveren assistentie seerde informatiediensten met als heid van systemen en netwerken. gingsincidenten wanneer deze zich toch manifesteren. Beveiligingsbeheer en diensten beveiligingskwaliteit ondersteunen bestaande bedrijfsprocessen en kunnen ook onafhankelijk van incidentbeheer functioneren. en praktijkonderzoek, met daarin cluderen dat de primaire taak van een en incidentcoördinatie is, waaronder de volgende activiteiten vallen: bescherming van de betreffende systemen en netwerken, of het beperken van de schade; schadebeperkende maatregelen; patchen of opnieuw opbouwen van systemen; teerde gegevens; Rollen en organisatorische plaats Binnen de rollen die in de praktijk veelvuldig voorkomen, bestaat een onderscheid naar de plaats binnen de organisatie en de soort taken die worden verricht. In het eerste geval is een onderscheid voorbeeld op het hoofdkantoor, of lende vestigingen. De taken die worden verricht variëren dingen verzorgt en de organisatie gings)gevaren. Om een keuze te maken voor een organisatiemodel, moet vooraf een den en, hoe de samenwerking met de wordt gegeven. Ook moet worden bepaald wat het mandaat van het senheid en de ervaring van de lokale Reactieve diensten Proactieve diensten Beveiligingsbeheer en diensten beveiligingskwaliteit Alarmeren en waarschuwen Mededelingen en waarschuwingen communiceren Risicoanalyse uitvoeren Incident coördinatie Technologische bewaking Beveiligingsadvies Afhandeling en coördinatie kwetsbaarheden Beveiligingsaudits of -onderzoeken Calamiteiten en continuïteitsanalyse Afhandeling en coördinatie besmettingen Analyse van beveiligingsmiddelen, applicaties en infrastructuur Beveiligingsbewustwording bevorderen Begeleiding forensisch onderzoek Intrusion en detection diensten ontwikkelen Educatie en opleiding verzorgen Tabel 1 Voorbeeld voorkomende CSIRT diensten (Bron: Handbook for Computer Security Incident Response Teams - Carnegie Mellon University) 10 de EDP-Auditor nummer

4 De vraag op welke wijze invulling moet worden gegeven aan de relatie nisatie, kan alleen maar worden beantwoord indien duidelijk is op een plek heeft gekregen. rol spelen, zijn het mandaat van volwassenheid van de bedrijfsproces sen en de organisatie. De volgende twee vaak voorkomende situaties zijn ontleend aan bekende beheerorganisatie; elkaar. De discussie over de taken en bevoegdheden van beide instanties levert vaak de start van een verbeter organisatie zich meer richt op het duurzaam inrichten van taken als nagement en Changemanagement, meer puur operationeel bezighoudt met het oplossen van optredende beveiligingsincidenten. staande modellen zijn afhankelijk van de omvang van de organisatie en de volwassenheid van de bestaande verschijningsvorm kan zijn dat er een sche taken uitvoert, die niet separaat uitoefening van de taken van een zijn niet afhankelijk van de aanwe nisatie. organisatorische plaats van een moeten plaatsvinden met de huidige organisatie, waarbij aandacht is voor: de organisatie; de organisatie, in de situatie dat er opgetreden beveiligingsincidenten zowel richting de eigen interne nisaties of derden. REFERENTIEKADER We gaan achtereenvolgens in op de werkprogramma, de randvoorwaar delijke aspecten waaronder organisa torische, juridische en technische aspecten en tenslotte bespreken we het praktisch nut van het referentie vormt hierbij het voornaamste onder deel, maar mag niet los worden gezien van de randvoorwaarden. Om ervoor te zorgen dat het instrument een toe gevoegde waarde levert aan de organi satie en/of auditor, moet bij de opzet onderlinge samenhang van de onder delen worden gekeken. deelsvorming worden toegepast, bestaat het risico dat een beperkt beeld wordt gevormd van de status delen van het referentiekader beschrijven, lichten we eerst toe welke kwaliteitsaspecten een rol hebben gespeeld bij de totstandkoming van het referentiekader. Kwaliteitsaspecten Op basis van beschikbare literatuur en uitgevoerde interviews met functi onarissen, verantwoordelijk voor de informatiebeveiliging binnen diverse organisaties, zijn de beveiligingsri sico s geïnventariseerd en gekoppeld aan de verschillende kwaliteitsaspec ten. deze interviews naar voren zijn geko men, zijn mede bepalend geweest bij het vaststellen van de belangrijkste kwaliteitsaspecten, te weten: sluitend geautoriseerde personen via goedgekeurde procedures en toegekende bevoegdheden gebruik data; object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteits aspect de mate waarin het mogelijk is vast te stellen dat de informatie verwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitge CSIRT audit werkprogramma Om de lezer inzicht te geven in de gramma, is per onderdeel kort aange geven wat daarvan de inhoud is. Om die reden is niet het hele werkpro gramma opgenomen, maar slechts een voorbeeld per onderdeel. opgebouwd: welke auditdoelstellingen door middel van de te controleren maatre gelen dienen te worden gewaarborgd. doelstellingen en auditscope aan, welke controlemaatregelen behan deld dienen te worden en wat daar van het verwachte resultaat zou is verkregen in de behandelde con de EDP-Auditor nummer

5 CSIRT audit werkprogramma/toetsingskader Audit doelstellingen: standaarden en best practices. Tabel 2 Voorbeeld uitwerking audit doelstellingen CSIRT audit werkprogramma/toetsingskader Audit Scope: A. B. C. D. E. F. Beoordelen van het computer beveiligingsincident, inbraak of noodescalatieproces. Tabel 3 Voorbeeld uitwerking audit scopes trolemaatregel kan per maatregel een waardering worden gegeven. In tabel 4 geven we een voorbeeld van maatregel en het verwachte resultaat. gingsorganisatie, moet een aantal randvoorwaarden worden vervuld in de organisatorische, juridische en hiervan de belangrijkste. Organisatorische randvoorwaarden Verantwoordelijkheden, bevoegdheden en taken toepassingen) is toegewezen en belegd binnen een organisatie; meerd dat gevraagd en ongevraagd voorstellen doet over uit te voeren ICT-infrastructuur structuur, en het nemen van maatregelen ter voorkoming van het manifest worden van dreigingen, is adviseur voor de organisatie op het gebied van de informatiebeveiliging. Mandaat CSIRT tie worden bepaald én formeel punten hierbij zijn: gewerkzaamheden uit te voeren die noodzakelijk zijn; manager corrigerende acties uit te vingen; hierbij echter wel ondersteuning verlenen. Inbedding CSIRT in de organisatie legging worden ingericht, is het ook van belang de betreffende processen op een correcte wijze in te bedden in 12 de EDP-Auditor nummer

6 Audit Scope A Beoordelen van alle beleidsdocumenten, procedures en formulieren m.b.t. computer beveiligingsincidenten, inbraakdetectie of het noodreactieproces om te waarborgen dat deze in overeenstemming zijn met standaarden en best practices. Doelstelling controlemaatregel Verwacht resultaat Waardering Verkrijg een kopie van alle beleids- en proceduredocumenten die zijn gebruikt bij het documenteren van het computer beveiligingsincident, inbraak of noodreactieproces. Tabel 4 Voorbeeld uitwerking controlemaatregel Een recente versie van alle beleid- en procedure documenten zou aanwezig moeten zijn. Deze documenten dienen op het hoogste managementniveau te zijn geaccordeerd. Niet afdoende Behoeft aandacht/verbetering Afdoende Onbekend Voorbeelden uitwerking Organisatorische aandachtspunten De organisatie beschikt over geaccepteerd en door de hoogste leiding geaccordeerd en gecommuniceerd informatiebeveiligingsbeleid. Aan de CSIRT-organisatie zijn door het hoger management de juiste mandaten toegekend voor zowel reguliere taken als voor situaties m.b.t. calamiteiten. De functie informatiebeveiliging is in de organisatie belegd waarbij onderscheid wordt gemaakt tussen werkzaamheden op strategisch, tactisch en operationeel niveau. De werkwijzen van de informatiebeveiligingsfunctie zijn vastgelegd in de vorm van formele procedures en werkinstructies. Tabel 5 Voorbeelden van enkele organisatorische aspecten Voorbeeld uitwerking Juridische aandachtspunten Bij de inrichting en de uitvoering van het CSIRT en computer incident reactie proces dient de werkgever zich te houden aan de wet- en regelgeving. In dit verband wordt met name gewezen op de Europese richtlijnen, de Wet Bescherming Persoonsgegevens en de regelgeving van de toezichthoudende instanties. Er dient een dossier te worden opgebouwd van de incidenten die zich in het verleden hebben voorgedaan. In vele gevallen is het plegen van meerdere incidenten noodzakelijk alvorens verregaande disciplinaire maatregelen kunnen worden genomen. te krijgen. Indien het tot een rechtszaak komt is het voor de rechter van belang te weten of de verdachte officieel gewaarschuwd is voor het plegen van incidenten. Tabel 6 Voorbeelden van enkele juridische aspecten satie te integreren in de bestaande organisatie. gramma kan worden afgeleid dat voor goed onderzoek en vastlegging van digitaal bewijs veel verschillende spe cialismen nodig zijn. Zo is er behoefte aan technisch geschoolde functionarissen voor het onderzoek naar de oorzaken en oplossingen van incidenten, aan func tionarissen met kennis van de betref fende bedrijfsprocessen, aan juridi sche medewerkers en aan informatiebeveiligingsspecialisten. In van mogelijke organisatorische aspec ten. Tenslotte zal aandacht moeten worden geschonken aan de verant woording over de uitgevoerde werk veelal rechtstreeks over de verrichte werkzaamheden aan een lid van de Raad van Bestuur of aan de CIO indien deze geen deel uitmaakt van de Raad van Bestuur. Juridische randvoorwaarden In het kader van dit artikel is het niet doenlijk om alle juridische aspecten te behandelen en daarom beperken we ons tot de meest relevante. Deze zijn opgenomen in tabel 6 en worden hieronder toegelicht. Afbakening kend door de scope te beperken tot handelingen die gepleegd worden met geautomatiseerde middelen. Daarbij wordt ook enige aandacht besteed aan handelingen gepleegd door het eigen personeel, aangezien uit onder zoek is gebleken dat veelal deze doel groep betrokken is bij beveiligingsin cidenten. Binnen het proces van incident response zijn er onderwer pen die een juridisch karakter kennen onder andere opsporing en afhande ling. Bij het opsporen van de oorzaak van een incident kan de vraag gesteld worden wat het juridische kader is waarmee rekening gehouden moet worden, indien bewijsmateriaal verza meld wordt nadat geconstateerd is of vermoed wordt dat een persoon straf bare handelingen heeft gepleegd. Deze vraag is van cruciaal belang de EDP-Auditor nummer

7 omdat onrechtmatig verkregen bewijs door de rechter terzijde wordt gelegd en dus niet wordt meegenomen bij de bewijsopbouw. Dit kan betekenen dat er te weinig bewijs overblijft waardoor de zaak verloren is. Bewijsvergaring gever ter beschikking staan om bewijs lijk) incident. In een aantal wetten sonen te mogen controleren. De belangrijkste wetten in dit kader zijn mingsraden, de Wet Bescherming en de Wet Computer Criminaliteit II In tegenstelling tot de wetgeving in de wetgeving de bescherming van de privacy veel stringenter vastgelegd. matig verkregen bewijs afgestraft met gen van medewerkers een inbreuk op mondt in onrechtmatig verkregen gaan op de juridische aspecten van het begrip privacy. Wet Bescherming Persoonsgegevens (WBP) soonsgegevens en bevat voorschriften van dwingend recht wat wil zeggen dat het niet is toegestaan bepalingen in een contract op te nemen die in strijd zijn met de WBP. Dit betekent dat er voor de werkgever vrijwel geen mogelijkheden zijn om eigen beleid te ontwikkelen op de WBP. De WBP is voor digitaal onderzoek met name van belang indien, met behulp van vensverzamelingen over personen worden opgeslagen. Tevens is de werker wordt ontslagen. In sommige gevallen is de reden voor ontslag op dent niet van een dusdanige zwaarte te zijn dat ontslag op staande voet gerechtvaardigd is. Bij het herhaald voorkomen van incidenten kan dit prudentie is terug te vinden dat een goede registratie van incidenten moet blijken welke incidenten het betrof en dat de betrokkene hiervoor een officiële waarschuwing heeft gekregen. is ook aandacht nodig voor de (on) mogelijkheden van de uitvoering van houdingsverklaringen, kelijk onderzoek naar de klachten, de verrichte werkzaamheden van een Technische randvoorwaarden Wanneer een beveiligingsincident heeft plaatsgevonden en binnen de organisatie is geëscaleerd, zullen de mogelijk bewijs en informatie gaan nische hulpmiddelen een rol spelen en de organisatie moet technische hulpmiddelen ter beschikking hebben bij het analyseren en onderzoeken van een beveiligingsincident. verzameling losse programmaatjes waartussen geen of weinig verband werkwijze komt de efficiency van onderzoeken niet ten goede. De oplossing hiervoor is gevonden in het ontwikkelen van geïntegreerde suites nische handelingen zijn geïntegreerd. ling van de hierboven genoemde functionaliteit voor het kopiëren van gegevens, het digitaal tekenen van deze gegevens, het zoeken binnen deze gegevens en het terugzetten van voorbeeld van een uitwerking van de technische aspecten is opgenomen in tabel 7. Praktisch nut voor de IT-auditor aan het realiseren en in stand houden van, het vooraf gedefinieerde, niveau van informatiebeveiliging binnen de onderneming. Voorbeeld uitwerking Technische aandachtspunten Zowel op systeem als op applicatieniveau worden van alle relevante events loggingsgegevens bijgehouden. CSIRT-organisatie. De organisatie beschikt over hulpmiddelen voor het uitvoeren van systeemonderzoeken. Mogelijke onderdelen hiervan zijn disk-cloning software en zoekprogrammatuur. Tabel 7 Voorbeelden van enkele technische aspecten 14 de EDP-Auditor nummer

8 De onderneming is er dan bij gebaat dat preventie en afhandeling van beveiligingsincidenten binnen de onderneming een plaats hebben drukken dat het inrichten van een onderdeel moet vormen van een groter geheel aan beheersingsmaatre gelen op het gebied van informatiebe veiliging. aan het realiseren en in stand houden van de informatiebeveiliging binnen de onderneming, is het van belang dat adviesfunctie een referentiekader ter beschikking heeft, dat niet alleen de auditdoelstellingen, scope van de audit en noodzakelijke controlemaat regelen nader uitwerkt, maar ook waarden op organisatorisch, juridisch en technisch gebied vermeldt en detailleert. De toegevoegde waarde van een der gelijk referentiekader zal dan ook bestaan op een tweetal gebieden: niveau van de algehele interne fysieke en logische toegangsbeveili ging binnen de organisatie; kunnen uitvoeren van een audit op de uitgevoerde taken, verantwoor delijkheden en bevoegdheden van randvoorwaarden. het referentiekader dus aanknopings punten om de organisatie bij te staan bij de totstandkoming van een rentiekader zou het de auditor in staat moeten stellen de organisatie te adviseren over de belangrijkste zaken die de beveiligingsorganisatie dient in te regelen. De kennis en ervaring van de auditor wordt op deze wijze con de beveiligingsorganisatie op haar beurt dat de voornaamste aandachts punten bij de oprichting worden beter dan genezen. OBSERVATIES Bij de uitwerking van het referen tiekader is als uitgangspunt de onderzochte literatuur genomen, waaronder de Code voor Informatie Dit referentiekader is besproken met functionarissen verantwoordelijk landse organisaties waarin zij werk ties zijn grote ondernemingen in de sectoren Telecom, Dienstverlening Binnen deze organisaties is ten tijde van de interviews in alle gevallen een gesprekken zijn aanvullingen aan het oorspronkelijke referentiekader toe gevoegd, met als resultaat dat het nu beschikbare referentiekader meer aansluit bij de praktische omstandig heden dan ten tijde van de interviews. De toetsing van het oorspronkelijke referentiekader aan de praktijk is slechts voor wat betreft de opzet uit lijke audit of beoordeling van de kend orgaan plaatsgevonden. met de geïnterviewde functionarissen kunnen de volgende observaties worden samengevat: gramma én organisatorische, juri dische en technische voorwaarden is op een juiste manier toegepast; redelijk compleet te beschouwen met als algemene opmerking dat afhankelijk van de organisatorische rol en aan te bieden diensten slechts een beperkt aantal aspecten van toepassing kan zijn; opzet en het auditen van een werking van de genoemde aspecten is altijd noodzakelijk aangezien de afhankelijk is van de organisatie en de uit te voeren taken van het passing op strategisch, tactisch en operationeel niveau; wat de taken zijn en ook wat de taken niet zijn en verkrijg voor de uit te voeren taken het mandaat van de hoogste leiding. len geconstateerd tussen het opge stelde (theoretische) referentiekader en de praktijksituaties. Bij een nadere bestudering van deze verschillen blijkt dat de reden van deze verschillen vaak terug te voeren is op de soort organisatie en de wijze waarop hier invulling is gegeven aan het geheel van maatregelen van de ging. referentiekader zijn als verschillen tussen theorie en praktijk te noemen: functionarissen zijn niet alleen de van wezenlijk belang, maar komen de organisatorische, juridische en technische aspecten bijna dagelijks aan de orde bij de afhandeling van beveiligingsincidenten; altijd vanuit de uitkomsten van een risicoanalyse plaats moeten vinden. In de bestudeerde theorie is de risi coanalyse al uitgevoerd en is beslo training en opleiding is in dit kader uit gegaan van opleiding en training ook organisaties die dit uitbeste geschonken zou moeten worden aan privacy van gegevens en secu rity. de EDP-Auditor nummer

9 VRAGEN EN ANTWOORDEN we teruggeblikt op het onderzoek zelf en de opgedane kennis en ervaring. Daarbij hebben we onszelf tevens een aantal vragen gesteld. Is er inzicht verschaft in de rol en taken van een CSIRT en de organisatorische plaats? taken, zoals beschreven in de theorie, met de feitelijke invulling hiervan in de praktijk, is de conclusie dat een verscheidenheid van deze rollen en taken in de praktijk voorkomen. De uitgangspunten en afspraken die gelegd, zijn van bepalende invloed op in welke breedte en diepte de rollen en taken worden toegepast. De twee organisatiemodellen voor maken tussen de twee modellen zijn op de eerste plaats de volwassenheid schillende rollen en taken van het R.(Rob) Schaap RA is zelfstandig adviseur op het gebied van het ontzorgen van organisaties bij vraagstukken op het gecombineerde gebied van de business en het IT-management. E.R. (Erwin) den Bak EMITA bc. is sinds 1 augustus 2009 als IT-auditor werkzaam bij de Rijksauditdienst. Het artikel is gebaseerd op de afstudeerscriptie van de auteurs in het kader van de afronding van de IT Audit opleiding aan de Vrije Universiteit in Amsterdam. Dit artikel schreven de auteurs op persoonlijke titel. ogen heeft. Is de opzet van het referentiekader van zowel het werkprogramma als de verschillende randvoorwaarden volledig geweest? De belangrijkste opmerking in dit kader is dat het werkprogramma niet los gezien mag worden van de in te vullen organisatorische, juridische en technische voorwaarden. sie, binnen welke voorwaarden het eerst in volle omvang gevoerd moeten worden met alle betrokkenen voordat gramma begonnen kan gaan worden. Praktische toepassing bereikt? ment in de auditpraktijk toepasbaar is. Wij menen dat er behoefte is aan een referentiekader en dat het door ons opgestelde referentiekader van toegevoegde waarde kan zijn voor advies voor kleinere organisaties. Kleinere organisaties dienen na te gaan of de verschillende diensten organisatie ingevuld zouden moeten gend wordt beantwoord, dan dient deze organisatie ook na te gaan op welke wijze de invoering, werking en evaluatie van deze diensten is gewaarborgd. De organisatorische plaats waar deze diensten worden beheerorganisatie zijn. kader in de praktijk nog aangetoond moet worden. We zijn dan ook benieuwd naar ervaringen van collega gaan toepassen. Met andere woorden: de werking van het raamwerk is nog niet aangetoond en vervolgonderzoek is dus noodzakelijk. Literatuur [CARN02] Carnegie Mellon University, CSIRT services, Carnegie Mellon University, [ISO05] ISO, Code voor Informatiebeveiliging - NEN-ISO/IEC 17799:2005, [EJUR08] ejure, Wet Computer Criminaliteit, ejure.nl, [MINI02] Ministerie van Justitie, Handleiding Wet Bescherming Persoonsgegevens, [KILL03] Killcrece G., Kossakowski K.P., Ruefle R., Zajicek M., Organizational Models for CSIRTs (CMU/SEI HB-001), Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, [NORE98] Norea, IT-auditing aangeduid, NOREA geschrift no. 1, NOREA, Noot i CERT maakt deel uit van het Software Engineering Institute. Het Software Engineering Institute wordt beheerd door Carnegie Mellon University voor de US Department of Defense. 16 de EDP-Auditor nummer

CSIRT Vanuit een IT-audit perspectief

CSIRT Vanuit een IT-audit perspectief CSIRT Vanuit een IT-audit perspectief Datum : Maart 2008 Status : Definitief Betreft : Referaat Postgraduate IT-audit opleiding Team : 812 Afstudeerders : E. den Bak (9981216) R. Schaap (9981286) Begeleider

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015

NOREA Visie 2020. - Brigitte Beugelaar. 14 september 2015 NOREA Visie 2020 - Brigitte Beugelaar 14 september 2015 NOREA, de beroepsorganisatie van IT-auditors Opgericht in 1992 1635 registerleden 253 aspirant-leden, d.w.z. in opleiding 123 geassocieerde leden,

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Hoe kan ik Inspectieview gebruiken in mijn toezichtproces?

Hoe kan ik Inspectieview gebruiken in mijn toezichtproces? Hoe kan ik Inspectieview gebruiken in mijn toezichtproces? Versie 1.0 Datum 2 april 2014 Status Definitief Colofon ILT Ministerie van Infrastructuur en Milieu Koningskade 4 Den Haag Auteur ir. R. van Dorp

Nadere informatie

MIP staat voor Meldingen Incidenten Patiëntenzorg. Van die dingen waarvan je niet wilt dat ze gebeuren maar die desondanks toch voorkomen.

MIP staat voor Meldingen Incidenten Patiëntenzorg. Van die dingen waarvan je niet wilt dat ze gebeuren maar die desondanks toch voorkomen. Algemene inleiding Een onderdeel van de gezondheidswet is dat er uitvoering gegeven moet worden aan de systematische bewaking, beheersing en verbetering van de kwaliteit van de zorg. Hiervoor heeft Schouder

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Meldplicht Datalekken: bent u er klaar voor?

Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? AANLEIDING Per 1 januari 2016 is de Meldplicht Datalekken in werking getreden. Over deze meldplicht, welke is opgenomen

Nadere informatie

www.afier.com Klachtenregeling Inhoud

www.afier.com Klachtenregeling Inhoud 7 Klachtenregeling Inhoud 1. Doelstellingen en uitgangspunten 2. Contactpersonen 3. Klachtenprocedure 4. Evaluatie klachtenafhandeling 5. Geheimhouding 6. Privacy en rechtbescherming 1. Doelstellingen

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Privacy Policy Oude Dibbes

Privacy Policy Oude Dibbes Privacy Policy Oude Dibbes 22-08-15 pagina 1 van 6 Inhoudopgave 1 Privacy Policy... 3 1.1 Oude Dibbes en derden... 3 1.2 Welke informatie wordt door Oude Dibbes verwerkt en voor welk doel?... 3 1.2.1 Klantgegevens...

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

MOBI PROCES BESCHRIJVING

MOBI PROCES BESCHRIJVING MOBI METHODIEK VOOR EEN OBJECTIEVE BEVEILIGINGSINVENTARISATIE PROCES BESCHRIJVING HAVENBEDRIJF AMSTERDAM INHOUDSOPGAVE MOBI voor havenfaciliteiten... 2 INLEIDING... 2 ALGEMEEN... 2 PROCES SCHEMA... 5 BIJLAGEN...

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > Artikel 1 Begripsbepalingen In deze Privacyregeling wordt

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ: AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming

Nadere informatie

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken Veilig gebruik van suwinet Mariska ten Heuw Wethouder Sociale Zaken Aanleiding en korte terugblik SZW Inspectie onderzoekt periodiek gebruik suwinet Gemeentelijke presentaties schieten tekort Suwi Normenkader

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

z2010-01224 Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

z2010-01224 Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Onderzoek naar de verwerking van medische

Nadere informatie

Real-time betrouwbaarheid. Een geïntegreerd detectie-, vangst- en waarschuwingssysteem voor muizen met real-time rapportage

Real-time betrouwbaarheid. Een geïntegreerd detectie-, vangst- en waarschuwingssysteem voor muizen met real-time rapportage Real-time betrouwbaarheid Een geïntegreerd detectie-, vangst- en waarschuwingssysteem voor muizen met real-time rapportage De kern van uw bedrijf beschermd Ongedierte Plaagdieren kan kunnen uw organisatie

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Vragenlijst onderzoek

Vragenlijst onderzoek Vragenlijst onderzoek Compliance in de zorg KPMG, VCZ en Erasmus Februari 06. HOEVEEL MEDEWERKERS (FTE) TELT HET ZIEKENHUIS?. IN WAT VOOR TYPE ZIEKENHUIS BENT U WERKZAAM? Algemeen 9 Topklinisch 50-000

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING Hoofdstuk 6 BEVEILIGING Binnenvaarttankers laden of lossen vaak op faciliteiten waar zeevaarttankers worden behandeld en waar dus de International Ship en Port Facility Security (ISPS) Code van toepassing

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Tijssens Electrotechniek B.V. De Boelakkers 25 5591 RA Heeze Energie Management Actieplan 2015 Status: definitief versie 1.0 Datum: november 2015 Datum gewijzigd: n.v.t. Auteur: U.Dorstijn Pagina 1 Inhoud

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Naast de Nederland ICT Voorwaarden, die van toepassing zijn op de overeenkomst, zijn de onderstaande bepalingen eveneens van toepassing.

Naast de Nederland ICT Voorwaarden, die van toepassing zijn op de overeenkomst, zijn de onderstaande bepalingen eveneens van toepassing. notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0005-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015 Inhoudsopgave Introductie Privacy Health Check 3 Managementsamenvatting

Nadere informatie

Informatiebeveiliging. Gezondheidszorg

Informatiebeveiliging. Gezondheidszorg IBGZ Informatiebeveiliging Gezondheidszorg Fabels en feiten over informatiebeveiliging Med. Drs. Hossein Nabavi Drs. Jaap van der Kamp CISSP Er bestaan heel wat misverstanden over informatiebeveiliging

Nadere informatie

Team Werk en Inkomen Gemeente Deventer

Team Werk en Inkomen Gemeente Deventer NALEVING VAN DE INFORMATIEPLICHT BIJ HEIMELIJKE WAARNEMING DOOR SOCIALE DIENSTEN Onderzoek door het College bescherming persoonsgegevens (CBP) naar de naleving van de informatieplicht bij heimelijke waarneming

Nadere informatie