Proces wijzigingsbeheer
|
|
- Ruth Aerts
- 4 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Handreiking Proces wijzigingsbeheer Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)
2 Colofon Naam document Handreiking proces wijzigingsbeheer Versienummer 2.0 Versiedatum Maart 2019 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018) Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. De IBD wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van d e in deze paragraaf vermelde mededeling. Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten, licentie onder: CC BY-NC-SA 4.0. Bezoek voor meer informatie over de licentie. Rechten en vrijwaring De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. 2
3 Wijzigingshistorie; Versie Datum Wijziging / Actie 1.0 April 2014 Eerste versie Augustus 2016 Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP 2.0 Maart 2019 BIO update Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD. De IBD is ondergebracht bij VNG Realisatie. Leeswijzer Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden. Doel Het doel van dit document is om handvatten te geven om het wijzigingsbeheer proces goed te laten functioneren. Doelgroep Dit document is van belang voor systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente Handreiking configuratiemanagement Handreiking patchmanagement voor gemeenten Voorbeeld Incident management en response beleid Handreiking bedrijfscontinuiteitsbeheer Handreiking samenhang beheerprocessen en informatiebeveiliging Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO) Wijzigingsbeheer Scheiding van ontwikkel-, test- en productieomgeving Analyse en specificatie van informatiebeveiligingseisen Technische beoordeling van toepassingen na wijzigingen besturingsplatform 3
4 Wat is er veranderd ten opzichte van de BIG? Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst, in de BIG ging het alleen over IT voorzieningen & informatiesystemen. 4
5 Managementsamenvatting Wijzigingsbeheer draagt er zorg voor dat wijzigingen op de ICT-infrastructuur (ICT-middelen en -diensten) efficiënt en effectief worden doorgevoerd met zo min mogelijk verstoring van de kwaliteit van de dienstverlening, zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld. Andere processen, zoals bijv. incidentmanagement en patchmanagement, volgen het wijzigingsbeheer proces om alles op een gestructureerde manier te laten verlopen. Indien (een gedeelte van de) IT is uitbesteed dienen er goede afspraken gemaakt te worden over de wijzigingen. Het wijzigingsbeheer proces bestaat uit de volgende stappen: Indienen: Classificeren: Accepteren: Plannen: Coördineren: Evalueren: Behoort officieel niet tot de activiteiten van wijzigingsbeheer maar wordt wel door het proces ondersteund. Wijzigingsbeheer is er verantwoordelijk voor dat wijzigingen naar behoren geregistreerd worden. Indelen naar categorie en prioriteit. De wijzigingsverzoeken (VTW, Verzoek tot Wijziging) filteren en accepteren voor verdere behandeling. Samenvoegen van wijzigingen, plannen van uitvoering en van benodigde resources. Coördinatie van de bouw, test en implementatie van de wijziging. Nagaan of de wijziging een succes was en lering trekken voor de volgende keer. 5
6 Inhoudsopgave 1. Inleiding Doelstellingen wijzigingsbeheer De indeling van dit document is als volgt: Aanwijzing voor gebruik Handreiking proces Opzetten wijzigingsbeheer Indienen Classificeren Accepteren Plannen Coördineren Evalueren Afspraken vastleggen Prestatie-indicatoren Bijlage 1: Template verzoek tot wijziging Bijlage 2: Kwaliteitseisen Bijlage 3: bepalen prioriteit en categorie Bijlage 4: Definities Bijlage 5: Literatuur/bronnen
7 1. Inleiding Wijzigingsbeheer draagt er zorg voor dat wijzigingen op de ICT-infrastructuur (ICT-middelen en -diensten) efficiënt en effectief worden doorgevoerd met zo min mogelijk verstoring van de kwaliteit van de dienstverlening, zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld Doelstellingen wijzigingsbeheer De volgende beheerdoelstellingen van wijzigingsbeheer dienen met een redelijke mate van zekerheid te worden gewaarborgd: Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico s voor de ICT-diensten. De impact van de wijzigingen dient van tevoren op beschikbaarheids-, capaciteits-, continuïteits- en beveiligingsaspecten, evenals (eind)gebruikersaspecten te worden getoetst. Indien wijzigingen niet zijn geautoriseerd na evaluatie van de risico s, bestaat het risico dat de wijzigingen ongewenste (neven)effecten hebben op ICT-diensten, die soms niet volledig kunnen worden overzien door de initiator van de wijziging. Het is daarom van belang om deze effecten gestructureerd in kaart te brengen en de impact af te stemmen met alle belanghebbenden, zoals de eigenaar van de ICT-dienst, beheerders van ICT-middelen en de betrokkenen van andere ICT-beheerprocessen. Wijzigingen dienen tijdig en volledig te worden doorgevoerd. Voor het implementeren van wijzigingen dienen voldoende resources beschikbaar te zijn en de implementatie van de wijziging dient zodanig te worden gepland dat d e verstoring van de dienstverlening minimaal is. Indien wijzigingen niet tijdig en volledig worden doorgevoerd, bestaat het risico dat noodzakelijke verbeteringen of de instandhouding van de ICT-diensten in het gedrang komen. Het is van belang dat wijzigingsaanvragen tijdig in behandeling worden genomen en, evenals de resulterende wijzigingen, tijdig worden afgehandeld. Daarnaast is het van belang dat, voorafgaand aan een wijziging, alle aspecten worden geïdentificeerd die eveneens een wijziging dienen te ondergaan of worden beïnvloed als gevolg van de wijziging. Wijzigingen dienen te worden beoordeeld op doeltreffendheid. Indien de doeltreffendheid van wijzigingen niet wordt geëvalueerd, bestaat het risico dat de wijzigingen niet, of slechts gedeeltelijk, bijdragen aan verbetering van de ICT-diensten of zelfs verstorend zijn voor de ICT-diensten. Indien wijzigingen niet het beoogde effect blijken te hebben, is het van belang om terug te kunnen keren naar de oorspronkelijke situatie (ook wel: back-out of terugvalscenario) De indeling van dit document is als volgt: Hoofdstuk twee beschrijft welke stappen in het wijzigingsbeheer proces zitten. Tevens wordt het belang van wijzigingsbeheer op de informatiebeveiliging uitgelegd. Hoofdstuk drie beschrijft welke verschillende afspraken gemaakt dienen te worden. En hoofdstuk vier gaat in op de prestatie-indicatoren. 7
8 1.3. Aanwijzing voor gebruik Deze handleiding is geschreven om informatiebeveiligingsmaatregelen met betrekking tot wijzigingsbeheer uit te werken en daarbij handreikingen te geven voor het proces rondom wijzigingsbeheer en aanverwante procedures. Deze handleiding is geen volledige procesbeschrijving. Het proces wijzigingsbeheer wordt vaak uitgevoerd binnen de ICT-afdeling. De gemeentelijke beleidsregels met betrekking tot wijzigingsbeheer (systeemplanning en acceptatie) zijn: 1 Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen, en pas geïmplementeerd na formele acceptatie en goedkeuring door de opdrachtgever (veelal de proceseigenaar). De test en de testresultaten worden gedocumenteerd. Systemen voor Ontwikkeling, Test en/of Acceptatie (OT(A)) zijn logisch gescheiden van Productie (P). Faciliteiten voor Ontwikkeling, Testen, Acceptatie en Productie (OT(A)P) zijn gescheiden om onbevoegde toegang tot, of wijzigingen in het productiesysteem te voorkomen. 1 Zie ook het algemene inf ormatiebev eiligingsbeleid 8
9 2. Handreiking proces Wijzigingsbeheer heeft als doel om alle wijzigingen op een gestructureerde manier te laten verlopen om de kans op verstoren in het ICT landschap tot een minimum te beperken. De verschillende stappen in het proces worden in bijlage 2 verder toegelicht. Wijzigingen Een wijziging is de toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. De scope is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items. Wijzigingen kunnen voortkomen uit diverse behoeften, zoals nieuwe functionele en technische eisen, vanwege bedrijfsoverwegingen of een (nood)wet, en oplossingen voor problemen. Kwetsbaarheden die verholpen worden door een beveiligingsupdate (patch) zijn een ander voorbeeld van een wijziging. Belang van wijzigingsbeheer voor informatiebeveiliging Het belang van wijzigingsbeheer voor informatiebeveiliging omvat: Het gecontroleerd doorvoeren van wijzigingen leidt ertoe dat de kans op het niet beschikbaar zijn van de ICTdienstverlening als gevolg van wijzigingen afneemt, en dat eventuele toch opgetreden storingen korter duren (door de in het wijzigingsproces ingebouwde voorzieningen voor terugdraaien van wijzigingen). Het biedt een mogelijkheid om af te dwingen dat wijzigingen eerst op beveiligingsconsequenties worden getoetst voordat ze worden uitgevoerd. Dit vermindert de kans op het ontstaan van beveiligingsincidenten. Het draagt zorg dat uit beveiligingsoogpunt relevante instellingen van de ICT-infrastructuur niet ongecontroleerd en ongeautoriseerd gewijzigd kunnen worden. De ICT-infrastructuur, die aan de beveiligingsnormen voldoet, blijft aan het afgesproken niveau voldoen. Activiteiten wijzigingsbeheerder De wijzigingsbeheerder voert onder andere onderstaande activiteiten uit: De wijzigingsbeheerder checkt de volledigheid en juistheid van het wijzigingsvoorstel op basis van een door de wijzigingsbeheerder opgestelde checklist. De wijzigingsbeheerder ziet erop toe dat de wijzigingsprocedures worden gehandhaafd, en bewaakt de voortgang van de afhandeling van wijzigingen. De wijzigingsbeheerder classificeert in overleg met de indiener het wijzigingsvoorstel op basis van prioriteit en categorie. De wijzigingsbeheerder laat op een geaccepteerd wijzigingsvoorstel een impactanalyse uitvoeren, en stelt op basis van de impactanalyse een rapportage op die het volgende bevat: o Aannames o Beperkingen o Omvang o Consequenties wijzigingsvoorstel o Oplossingsalternatief en betrokken configuratie-items o Uit te voeren activiteiten o Begroting o Risicoanalyse De wijzigingsbeheerder is voorzitter van de Wijzigingsadviescommissie (Change Advisory Board) 2, waarin alle expertise is verzameld zodat de wijzigingsvoorstellen op alle aspecten beoordeeld kunnen worden en waarvan de leden samenkomen in het wijzigingsoverleg. 2 De Wijzigingsadv iescommissie is een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning v an wijzigingen ondersteunt. Een Wijzigingsadv iescommissie bestaat v eelal uit v ertegenwoordigers v an alle af delingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toelev eranciers). 9
10 De wijzigingsbeheerder verstrekt aan de Wijzigingsadviescommissie de rapportage van de uitgevoerde impactanalyse en de (op basis van de uitgevoerde impactanalyse) gewijzigde uitgifteplanning. De wijzigingsbeheerder is voorzitter van het wijzigingsoverleg waarin de wijzigingsvoorstellen (al dan niet) geautoriseerd worden. Impactanalyses worden door de Wijzigingsadviescommissie gebruikt bij het beoordelen van wijzigingsvoorstellen. De uitgifteplanning wordt door de Wijzigingsadviescommissie gebruikt om de haalbaarheid van een wijzigingsvoorstel voor een bepaalde datum te kunnen beoordelen. Eventuele urgente wijzigingsvoorstellen worden (afhankelijk van de beschikbare tijd) wel of niet beoordeeld met behulp van een impactanalyse, wel of niet voorgelegd aan de Wijzigingsadviescommissie, maar worden altijd getest. De wijzigingsbeheerder zorgt er voor dat hij de procesgang rondom urgente wijzigingsvoorstellen bijhoudt en te allen tijde kan verantwoorden aan de Wijzigingsadviescommissie en de ICT-manager Opzetten wijzigingsbeheer Beoordelen van kwaliteit wijzigingsbeer Onderstaande vragenlijst kan door de gemeente worden gebruikt om het huidige proces rondom wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Is het doel van wijzigingsbeheer eenduidig vastgelegd? Zijn verantwoordelijkheid en bevoegdheden voor het indienen en afhandelen van wijzigingsverzoeken eenduidig in de gemeente belegd. Is bepaald welke functies of processen direct te maken hebben met het proces? Is wijzigingsbeheer gescheiden van ontwikkelings- en productietaken? Zijn de verantwoordelijkheden en procedures met betrekking tot wijzigingsbeheer formeel vastgelegd, zodat er voldoende controle is op alle wijzigingen aan apparatuur, programmatuur en procedures? Is er voldoende capaciteit beschikbaar om wijzigingen tijdig te kunnen behandelen? Is er sprake van een juiste functiescheiding binnen het proces wijzigingsbeheer? Zijn procedurebeschrijvingen beschikbaar waarin de activiteiten van de verschillende betrokkenen zijn vastgelegd? Is bij de gerelateerde processen voldoende inzicht en kennis aanwezig met betrekking tot doel, verantwoordelijkheden en werkwijze van het proces? Is bij de procedures met betrekking tot wijzigingen voldoende aandacht besteed aan: o Autorisatie van het wijzigingsverzoek (inclsief onderbouwing van de wijziging). o Het vaststellen en noteren van belangrijke wijzigingen. o Het bepalen van de mogelijke gevolgen van dergelijke wijzigingen. o Een goedkeuringsprocedure voor voorgestelde wijzigingen voor vertrouwelijkheid, integriteit en beschikbaarheid. o Een gedetailleerde mededeling van de wijzigingen aan alle betrokken personen. o Procedures en verantwoordelijkheden voor het terugdraaien en herstellen van niet geslaagde wijzigingen. o Voortgangsbewaking. o Het genereren van een audit trail. o Detectie en interne controle van wijzigingen. Is een rapportagestructuur vastgelegd ten aanzien van het functioneren van het proces? Worden de rapportages gebruikt voor sturing van het proces? Worden de rapportages op regelmatige basis opgesteld? Aangevuld met ad hoc rapportages? 3 De ICT-manager is v erantwoordelijk v oor de gehele ICT-gerelateerde dienstv erlening. 10
11 Processtappen: Indienen: Accepteren: Classificeren: Plannen: Coördineren: Evalueren: Behoort officieel niet tot de activiteiten van wijzigingsbeheer maar wordt wel door het proces ondersteund. Wijzigingsbeheer is er verantwoordelijk voor dat wijzigingen naar behoren geregistreerd worden. De wijzigingsverzoeken (VTW, Verzoek tot Wijziging) filteren en accepteren door de wijzigingsadviescommissie voor verdere behandeling. Indelen naar categorie en prioriteit. Samenvoegen van wijzigingen, plannen van uitvoering en van benodigde resources. Coördinatie van de bouw, test en implementatie van de wijziging. Nagaan of de wijziging een succes was en lering trekken voor de volgende keer Indienen Door wijzigingsbeheer worden alleen geautoriseerde en geaccepteerde wijzigingsverzoeken in behandeling genomen en om dit te realiseren dient door de gemeente vastgelegd te zijn welke gemeenteambtenaren welk type wijzigingsverzoek mogen indienen. Alle wijzigingsverzoeken moeten worden geregistreerd. Er zijn door wijzigingsbeheer eisen gesteld aan de wijze waarop een wijzigingsverzoek wordt ingediend en welke informatie daarbij minimaal moet worden verstrekt. Alle wijzigingen worden bij voorkeur geregistreerd in een wijzigingsbeheersysteem. Indeling van de wijzigingen Hieronder een voorbeeld indeling van wijzigingen: Standaardwijzigingen: Dit zijn routinematige beheertaken, die procedurematig (gestandaardiseerd) worden uitgevoerd. Dit type wijziging is door wijzigingsbeheer of de Wijzigingsadviescommissie eenmalig geautoriseerd en hoeft niet elke keer opnieuw te worden beoordeeld. Dit type wijziging wordt als beheertaken routinematig uitgevoerd. Spoedwijzigingen: Dit type wijziging is een oplossing voor incidenten bij primaire bedrijfsprocessen van de gemeente, of het betreft een spoed aanpassing aan de ICT-infrastructuur (bijvoorbeeld een noodwet of een beveiligingsupdate). Spoedwijzigingen wijken af van de normale procedures, omdat voor dit soort wijzigingen de benodigde middelen meteen moeten worden vrijgemaakt. Ook kan een spoedvergadering van de Wijzigingsadviescommissie vereist zijn. (Overige) wijzigingen: Dit betreft alle overige wijzigingsverzoeken om aanpassingen aan de beheerde ICTinfrastructuur aan te brengen. Voor deze wijzigingen gelden de standaardwijzigingsprocedures, zoals in dit document beschreven Classificeren Voor (voorgestelde) wijzigingen geldt dat deze systematisch worden geclassificeerd op impact en dat deze worden geautoriseerd met inachtneming van de impactanalyse. Als het wijzigingsverzoek is geaccepteerd, wordt de prioriteit en de categorie daarvan aangegeven. Voor standaardwijzigingen 4, die een verkorte procedure mogen doorlopen, geldt dat deze vooraf worden geclassificeerd, geautoriseerd en gedocumenteerd. Urgentie Een maatstaf die aangeeft hoe lang het duurt tot een incident, probleem of wijziging een significante impact op de bedrijfsvoering van de gemeente heeft. Zo kan een incident met een hoge impact een lage urgentie hebben, als de impact de bedrijfsvoering pas schaadt aan het eind van het financiële jaar. Impact en urgentie worden gebruikt om een prioriteit toe te kennen. Impact De mate waarin een incident, probleem of wijziging effect heeft op bedrijfsprocessen van de gemeente. Impact is vaak gebaseerd op het effect op dienstenniveaus. Impact en urgentie worden gebruikt om prioriteit aan te geven. 4 Een standaardwijziging is een v ooraf geautoriseerde wijziging met een laag risico, die relatief v eel v oorkomt en een procedure of werkinstructie v olgt, zoals het resetten v an een wachtwoord of een nieuwe medewerker v oorzien v an standaardapparatuur. Deze s tandaardwijzigingen dienen wel geregistreerd te worden in het wijzigingsbeheersy steem. 11
12 Om de impact van de wijziging te kunnen vaststellen dient gebruik gemaakt te worden van een gestandaardiseerde procedure. De volgende onderdelen dienen hierbij behandeld te worden: Impact op de financiële situatie van de gemeente. Denk hierbij aan zowel de kosten als de baten. Impact op de gebruikersorganisatie van de gemeente. Inspanning die de gebruikersorganisatie van de gemeente moet leveren. Impact op het gemeentepersoneel. Impact op het materieel. Impact op de ICT-infrastructuur. Impact op het beheer. Inspanning die de ICT-organisatie moet leveren. Impact op het beveiligingsniveau van de gemeente. Impact op de bescherming van persoonsgegevens. Denk hierbij aan zowel de persoonsgegevens van gemeenteambtenaren als burgers Accepteren Na de registratie voert wijzigingsbeheer een globale controle uit om vast te stellen of een wijzigingsverzoek onlogisch, onwerkbaar of onnodig is. Dergelijke aanvragen worden afgewezen met opgaaf van reden. De aanvrager dient de gelegenheid geboden te worden om de aanvraag te verdedigen als deze is afgewezen en/of het wijzigingsverzoek opnieuw in te dienen Plannen De planning van de wijziging wordt door wijzigingsbeheer opgezet in een wijzigingskalender of wijzigingsplan. Het wijzigingsplan bevat details van alle goedgekeurde wijzigingen en hun planning. Leden van de Wijzigingsadviescommissie adviseren over de planning van een wijziging, want er moet rekening worden gehouden met de beschikbaarheid van het personeel, de middelen, de te maken kosten en de gebruikersorganisatie van de gemeente. Wijzigingsbeheer heeft een gedelegeerde autoriteit en handelt namens het ICT-management. Het kan voor wijzigingen met een grote impact noodzakelijk zijn instemming te verkrijgen van het ICT-management voorafgaand aan de behandeling in de Wijzigingsadviescommissie. Het goedkeuren van de wijziging kan worden ondersteund door drie basisprocessen: Financiële goedkeuring: kosten-batenanalyse en budgettering. Technische goedkeuring: impact, noodzakelijkheid en haalbaarheid. Zakelijke goedkeuring: goedkeuring van de gebruikers betreffende functionaliteitbehoefte en impact Coördineren Goedgekeurde wijzigingen worden doorgegeven aan de betrokken productspecialisten voor de bouw en samenstelling van de wijzigingen. Voordat wijzigingen kunnen worden doorgevoerd, moeten de wijzigingen eerst worden getest. Bij het bouwen, testen en implementeren kan uitgiftebeheer een belangrijke coördinerende rol spelen. Ter ondersteuning van wijzigingen dient afdoende aandacht te worden besteed aan communicatie. Bouwen Niet alle wijzigingen hebben een expliciete bouwfase. Zo worden gestandaardiseerde wijzigingen (bijvoorbeeld het resetten van een wachtwoord) direct ingepland en uitgevoerd. Deze standaardwijzigingen dienen wel geregistreerd te worden in het wijzigingsbeheersysteem. Deze registratie is nodig om de voortgang te kunnen bewaken en hierover te rapporteren. Het bouwen kan inhouden dat er een nieuwe softwareversie komt, met nieuwe documentatie, handleidingen, installatieprocedures, inclusief een back-out-plan en aanpassingen op de hardware. De Changemanager vervult hierbij een coördinerende rol. Als onderdeel van de oplevering van een wijziging moet ook een rollback procedure (terugvalscenario) worden geschreven, om de situatie terug te kunnen draaien als de wijziging niet het gewenste resultaat oplevert. Hierin dient te worden beschreven onder welke condities tot een terugval wordt overgegaan en wie daartoe kan besluiten. Wijzigingsbeheer mag 12
13 de wijziging niet goedkeuren als er geen back-out-procedure is. Als de wijziging impact heeft op de gebruikersomgeving, dan zal er ook een communicatieplan moeten worden geschreven. Verder wordt in de bouwfase een implementatieplan opgesteld en bekende fouten van te implementeren wijzigingen worden geregistreerd. Testen Zowel de wijziging als de back-out-procedure en de invoermethode van de wijziging dienen grondig te worden getest. Afwijkingen van dit principe worden vooraf formeel goedgekeurd, eventueel achteraf in het geval van spoedeisende wijzigingen. Daarbij moet worden gelet op de criteria van doeltreffendheid en autorisatie die eerder al door de Wijzigingsadviescommissie zijn bepaald. Voor elke wijzigingscategorie zijn regels opgesteld voor de omvang en diepgang van de tests. De toetsing op doeltreffendheid van wijzigingen is functioneel gescheiden van de uitvoering van wijzigingen. De toetsingsresultaten worden geaccordeerd door belanghebbenden. Als het een wijziging betreft met impact op de informatiebeveiliging, wordt in overleg met de beveiligingsbeheerder bepaald of er specifieke informatiebeveiligingstesten uitgevoerd moeten worden (penetratietesten, code reviews et cetera). Waar nodig wordt apparatuur en programmatuur gecontroleerd op compatibiliteit met andere systeemcomponenten. Er dient voor de testwerkzaamheden een aparte testomgeving te zijn. Testen worden uitgevoerd door de bouwers, degenen die het wijzigingsverzoek hebben ingediend of vertegenwoordigers daarvan (gebruikersorganisatie va n de gemeente) en ICT-beheer. Er dient een scheiding te zijn tussen de omgeving waar gebouwd is en de omgeving waar getest wordt. De test moet worden uitgevoerd door een partij die onafhankelijk is van de bouw. Acceptatietests worden uitgevoerd door zowel gebruikers (gebruiksacceptatie) als de beheerders (productieacceptatietest). De acceptatietest maakt deel uit van het geheel aan testen die in het kader van de wijziging plaatsvinden. Ook zijn duidelijke voorschriften nodig voor het toezicht houden op de kwaliteit van het testen en van de documentatie van de testresultaten. Implementeren Iedereen die vanuit de betrokken afdeling het beheer van de ICT-infrastructuur onder zijn verantwoording heeft, kan worden belast met het implementeren van een wijziging op de infrastructuur. Wijzigingsbeheer ziet erop toe dat de wijziging op schema ligt. Er moet een duidelijk communicatieplan liggen waarin staat wie van de wijziging op de hoogte gebracht moeten worden gesteld. Bijvoorbeeld: gebruikers, netwerk-, systeembeheer, et cetera Evalueren Doorgevoerde wijzigingen, met uitzondering van de standaardwijzigingen, worden na een bepaalde tijd geëvalueerd, waarbij in elk geval vastgesteld wordt of de wijziging niet tot incidenten heeft geleid en of de juiste classificatie is toegepast. Daarna wordt desgewenst in de Wijzigingsadviescommissievergadering bezien of nog verdere nazorg nodig is. Daarbij wordt gelet op de volgende zaken: Heeft de wijziging het beoogde doel bereikt? Zijn de gebruikers tevreden met het resultaat? Zijn er nevenverschijnselen opgetreden? Zijn de geraamde kosten en inspanningen niet overschreden? Is de wijziging een succes en zijn a lle activiteiten en registraties voor de wijziging gecontroleerd op afronding, dan kan het wijzigingsverzoek worden afgesloten. Is de wijziging geen succes, dan wordt de procesgang hervat op de plaats waar het misgegaan is, met een aangepaste werkwijze. 13
14 3. Afspraken vastleggen In de dienstenniveauovereenkomst(en) (DNO) of Service Level Agreements (SLA) zijn afspraken vastgelegd over: Het indienen van wijzigingsverzoeken door de gemeente, de verschillende categorieën wijzigingen die daarbij worden onderkend, evenals criteria voor indeling van deze categorieën en per onderkende wijzigingscategorie de tijd die geldt voor het doorvoeren van de betreffende wijziging. De wijze waarop (belangrijke) wijzigingen binnen de ICT-organisatie impact kunnen hebben voor de gebruikersorganisatie van de gemeente, of waarbij inbreng van de gebruikersorganisatie van de gemeente nodig is, dienen met de gebruikersorganisatie van de gemeente worden afgestemd. De wijze waarop over wijzigingen wordt gerapporteerd. Afspraken met leveranciers In het contract met leveranciers wordt vastgelegd dat de leverancier een wijzigingsbeheerproces uitvoert dat aan de hiervoor genoemde normen voldoet. Het wijzigingsbeheerproces bij de leverancier en bij de exploitatieorganisatie van de gemeente worden op elkaar afgestemd, dit geldt in het bijzonder voor de wederzijdse wijzigingskalenders. In het contract met leveranciers wordt vastgelegd welke categorieën wijzigingen de leverancier autonoom binnen zijn eigen wijzigingsbeheerproces mag doorvoeren, en over welke wijzigingen afstemming met het wijzigingsbeheerproces van de gemeente plaatsvindt. In het contract met leveranciers wordt vastgelegd welke eisen door de gemeente worden gesteld aan de informatievoorziening over de wijzigingen bij de leverancier. 14
15 4. Prestatie-indicatoren Prestatie-indicatoren dienen aan te geven in welke mate het proces wijzigingsbeheer slaagt in haar doelstelling: het efficiënt en effectief doorvoeren van wijzigingen met zo min mogelijk verstoring van de kwaliteit van de dienstverlening, zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld. Prestatie-indicatoren die door de dienstenorganisatie kunnen worden gemeten, zijn onder andere: Het aantal wijzigingen dat per tijdseenheid wordt doorgevoerd, verdeeld over de verschillende categorieën. Het aantal of het percentage afgewezen wijzigingen, verdeeld over de verschillende categorieën. Het aantal of het percentage van wijzigingen dat per periode wordt gesignaleerd zonder registratie en autorisatie. Het aantal of het percentage (beveiligings)incidenten per impactcategorie dat uit wijzigingen voortkomt. Het aantal of het percentage verstoringen dat uit wijzigingen voorkomt. Het aantal of het percentage back-outs dat in wijzigingen aan de orde was. Het aantal of het percentage wijzigingen dat binnen de geplande doorlooptijd, resources en het budget is uitgevoerd. Het gerealiseerde budget of het aantal bestede uren aan wijzigingen per periode. Kosten van uitgevoerde wijzigingen. 15
16 Bijlage 1: Template verzoek tot wijziging In deze bijlage wordt een template verzoek tot wijziging weergegeven, die gemeenten kunnen gebruiken om hun eigen wijzigingsformulier te ontwerpen. 5 Bij het invullen van het wijzigingsformulier kan ondersteuning noodzakelijk zijn van de CISO 6 ) applicatie-, functioneel- en technisch beheer, gebruikersorganisatie van de gemeente et cetera. Verzoek tot Wijziging (VTW) Ingediend door: Team/afdeling: Telefoonnummer: Datum: Referentie: Onderwerp: Gewenste wijziging: Aanleiding (motivatie): Doelstelling: Impact financieel: Impact gebruikersorganisatie: Inspanning gebruikersorganisatie: Impact personeel: Impact materieel: Impact infrastructuur: Versie 1.0, de dato Document voor het indienen van wijzigingsverzoeken. Vermeld hier de voor- en achternaam van de indiener van het wijzigingsverzoek. Vermeld hier het team/afdeling van de indiener van het wijzigingsverzoek. Vermeld hier het adres van de indiener van het wijzigingsverzoek. Vermeld hier het telefoonnummer van de indiener van het wijzigingsverzoek. Vermeld hier de datum waarop het wijzigingsverzoek is opgesteld. Vermeld hier, indien van toepassing, de referentie in dat door uw afdeling aan dit wijzigingsverzoek is toegekend. Geef kort en bondig de context in waar het verzoek om draait en geef hierbij aan waarop het wijzigingsverzoek betrekking heeft. Denk hierbij aan bedrijfsproces(sen), informatiesyste(e)m(en), locatie(s), proble(e)m(en). Geef een korte inhoudelijke omschrijving van de gewenste functionaliteit (resultaat), eventuele alternatieven en het beoogde resultaat (de oplossing). Geef hier ook een overzicht van de configuratie-items die betrokken zijn bij deze voorgestelde wijziging. Geef een omschrijving van de aanleiding voor het indienen van het wijzigingsverzoek. Denk aan verandering in de omgeving, bedrijfsvoering of een incident/probleem. Eventueel de referentie naar het incident/probleem (mits deze ICT-beheerprocessen zijn geïmplementeerd). Geef een omschrijving van de doelstelling die gerealiseerd moet worden met het wijzigingsverzoek. Geef een omschrijving, indien mogelijk, van de verwachte financiële consequenties bij de wijziging. Denk aan de verwachte baten, is er al budget (en hoeveel) gereserveerd. Geef een omschrijving, indien mogelijk, van de verwachte organisatorische consequenties en bedrijfsvoering van de gemeente bij de wijziging. De impact op de gebruikersorganisatie wordt bepaald door antwoorden op onderstaande vragen: Voor hoeveel diensten en producten heeft de wijziging gevolgen? Hoeveel mensen maken gebruik van deze diensten? Hoe bedrijfskritisch zijn deze diensten en/of producten? Geef het aantal uur, indien mogelijk, wat de gebruikersorganisatie van de gemeente aan inspanning moet besteden met betrekking tot de wijziging. Denk aan testactiviteiten. Geef hierbij een onderbouwing/ toelichting. Geef een omschrijving, indien mogelijk, van de verwachte personele consequenties bij de wijziging. Denk aan opleiding, herplaatsing en ontslagen. Geef een omschrijving, indien mogelijk, van de verwachte materiële consequenties bij de wijziging. Denk aan het afvoeren van materieel. Geef een omschrijving, indien mogelijk, van de verwachte consequenties voor ICT-middelen in de huidige infrastructuur. De impact op de infrastructuur wordt bepaald door antwoorden op onderstaande vragen: Welke configuratie-items zijn afhankelijk van, of gerelateerd aan het configuratie-item dat gewijzigd gaat worden? Wat is de invloed en wat moet er aan het gerelateerde configuratie-item aangepast worden? Welke andere configuratie-items komen voor dezelfde wijziging in aanmerking? 5 Hierbij zijn de BiSL Best Practices v oorbeeld wijzigingsf ormulieren als uitgangspunt gebruikt ( oundation.org/nl/bisl/bestpractices) 6 Chief Inf ormation Security Officer 16
17 Impact beheer: Inspanning ICT: Impact beveiligingsniveau: Impact bescherming persoonsgegevens: Afhankelijkheden: Consequenties van het niet doorvoeren van de wijziging: Gewenste datum gereed: Geef een schatting, indien mogelijk, hoeveel uur aan regulier beheer per week erbij zou komen door de wijziging. Geef hierbij een onderbouwing/ toelichting. Geef het aantal uur, indien mogelijk, wat de ICT-afdeling aan inspanning moet besteden met betrekking tot de wijziging. Geef hierbij een onderbouwing/ toelichting. Geef aan, indien mogelijk, of er speciale beveiligingseisen moeten worden genomen. Vooral als de eisen afwijken van de BIG. De impact op het beveiligingsniveau kan onder andere worden vastgesteld door antwoorden op onderstaande vragen: Veroorzaakt de wijziging veranderingen in de bestaande beveiligingsmaatregelen (bevoegdhedenregeling, controles in de applicatie et cetera)? Moeten voor de wijziging nieuwe en/of specifieke beveiligingsmaatregelen, bovenop de BIO, worden geïmplementeerd? Veroorzaakt de wijziging veranderingen in de bestaande continuïteitsmaatregelen (back-up, redundantie, uitwijk)? Moeten voor de wijziging nieuwe en/of specifieke continuïteitsmaatregelen worden geïmplementeerd? Geef aan, indien mogelijk, of er speciale beveiligingseisen moeten worden genomen om persoonsgegevens te beschermen. Vooral als de eisen afwijken van de BIG. De impact op het beschermingsniveau van persoonsgegevens kan onder andere worden vastgesteld door antwoorden op onderstaande vragen: Worden in het systeem persoonsgegevens vastgelegd? Zo ja, welke? Worden persoonsgegevens uit andere systemen gebruikt of verwerkt? Zo ja, welke? Indien een van bovenstaande vragen met ja beantwoord is, is het systeem gemeld bij de Functionaris Gegevensbescherming (FG) Geef een omschrijving van de relaties of afhankelijkheden met andere (deel)processen. Denk hierbij ook aan relaties met andere wijzigingsverzoeken. Geef een omschrijving van het niet, of niet tijdig, doorvoeren van de wijziging. Geef de datum waarop de wijziging gereed dient te zijn. Prioriteit voorstel 7 : Doe een voorstel voor de prioriteit van het wijzigingsverzoek. Motivatie prioriteit: Gewenste realisatiedatum: Motivatie realisatiedatum: Bijlage(n): Normaal (0) O Verzoek is gewenst. Verzoek mag niet worden uitgesteld, de bedrijfsvoering komt in Hoog (1) O gevaar. Hoogste (2) O Operationeel belang. Geef een motivatie van de prioriteit. Bij prioriteit hoog en hoogst is dit verplicht. Vermeld hier de gewenste realisatiedatum. Geef een motivatie van de gewenste realisatiedatum. Geef aan welke bijlagen zijn meegestuurd. Geautoriseerd door: Datum: Handtekening Vermeld hier de voor- en achternaam van degene die het wijzigingsverzoek heeft geautoriseerd. Vermeld hier de datum waarop het wijzigingsverzoek is geautoriseerd. Plaats hier de handtekening van degene die het wijzigingsverzoek heeft geautoriseerd. Tabel 1: Template verzoek tot wijziging 7 Aankruisen wat v an toepassing is. 17
18 Bijlage 2: Kwaliteitseisen Registratie wijzigingen Eisen die aan dit wijzigingsbeheersysteem dienen te worden gesteld zijn bijvoorbeeld: Unieke identificatie van wijzigingen (wijzigingsnummer). Mogelijkheden om de verschillende stappen in het wijzigingsproces vast te leggen. Mogelijkheden om te registreren welke configuratie-items (CI s) bij de wijziging betrokken zijn (bevat relatie met de configuratiebeheerdatabase (CBDB)). De mogelijkheid om te registreren voor welke problemen en bekende fouten de wijziging een oplossing biedt (bevat relatie met de probleemregistratie). Voorzieningen voor de rapportage over de status van wijzigingen en het verloop van het wijzigingsbeheerproces (aantallen wijzigingen wachtend op goedkeuring, aantal teruggedraaide wijzigingen et cetera). Waar komen wijzigingsverzoeken vandaan? Wijzigingsverzoeken kunnen worden ingediend door of een gevolg zijn van bijvoorbeeld: Probleembeheer - Het indienen van een wijzigingsverzoek bij wijzigingsbeheer ten behoeve van de oplossing van een bekende/structurele fout met als doel de dienstverlening te stabiliseren. Gebruikersorganisatie van de gemeente - Deze vragen om meer, of andere functionaliteiten van de diensten. Deze verzoeken worden vaak ingediend door functioneel beheer of via d ienstenniveaubeheer. Leveranciers - Leveranciers komen met nieuwe releases en upgrades van hun producten en moeten daarbij aangeven welke structurele fouten daarin zijn weggenomen en welke nieuwe functionaliteiten zijn geïmplementeerd. Ook kunnen zij aangeven dat bepaalde versies niet langer worden ondersteund, of dat voor een versie geen garanties kunnen worden afgeven. Projecten - Een project kan meerdere wijzigingen tot gevolg hebben. Wetgeving - Als aan de dienstverlening nieuwe of veranderde wettelijke eisen worden gesteld, of als er nieuwe eisen voor de ICT komen ten aanzien van beveiliging, bedrijfscontinuïteit en licentiebeheer. Welke informatie moet worden verstrekt? Hieronder een voorbeeld van informatie die minimaal bij een wijzigingsverzoek moet worden aangeleverd: Informatie met betrekking tot de indiener van het wijzigingsverzoek. Informatie met betrekking tot de degene die het wijzigingsverzoek heeft geautoriseerd. Datum waarop het wijzigingsverzoek is ingediend. Een omschrijving van de voorgestelde wijziging. o Indien van toepassing de referentie naar het achterliggende incident/pro bleem. o De configuratie-items die betrokken zijn bij deze voorgestelde wijziging. o Relaties of afhankelijkheden met andere (deel)processen. Een omschrijving wat de motivatie/aanleiding/reden van de voorgestelde wijziging is. De doelstelling van de voorgestelde wijziging. De consequenties van de voorgestelde wijziging, inclusief de consequenties als de voorgestelde wijziging niet wordt doorgevoerd. Een voorstel van de prioriteit, inclusief motivatie, van de voorgestelde wijziging. De gewenste realisatiedatum, inclusief een motivatie. Het aantal gebruikers dat gebruik maakt van het proces / de dienst / de functie die gerelateerd is aan de voorgestelde wijziging. De impact op de bedrijfsprocessen van de gemeente. De impact van de voorgestelde wijziging op het beveiligingsniveau. Dit kan onder andere worden vastgesteld door het beantwoorden van onderstaande vragen: 18
19 o Veroorzaakt de wijziging veranderingen in de bestaande beveiligingsmaatregelen (autorisaties, controles in de applicatie et cetera)? o Moeten voor de wijziging nieuwe en/of specifieke beveiligingsmaatregelen, bovenop de BIG, worden geïmplementeerd? o Veroorzaakt de wijziging veranderingen in de bestaande continuïteitsmaatregelen (back -up, redundantie, uitwijk)? Zo ja, moeten nieuwe en/of specifieke continuïteitsmaatregelen worden geïmplementeerd? Om dit vast te kunnen stellen moet er mogelijk ook een baselinetoets/verkorte risicoanalyse op de BIG uitgevoerd worden. 8 Wat zijn de beveiligingseisen, vooral als deze afwijken van de BIG. De impact van de voorgestelde wijziging op het beschermingsniveau van persoonsgegevens. Dit kan onder andere worden vastgesteld door het beantwoorden van onderstaande vragen: o Worden in het systeem persoonsgegevens vastgelegd? Zo ja, welke? o Worden persoonsgegevens uit andere systemen gebruikt of verwerkt? Zo ja, welke? o Indien een van bovenstaande vragen met ja beantwoord is, is het systeem gemeld bij de Functionaris Gegevensbescherming (FG) o Ook heeft de IBD documentatie rond PIA s op de website. De impact van de voorgestelde wijziging op de infrastructuur. De impact van de voorgestelde wijziging. De urgentie van de voorgestelde wijziging. De prioriteit, gebaseerd op impact en urgentie, van de voorgestelde wijziging. In bijlage 1 wordt een voorbeeld van een wijzigingsformulier weergegeven. Indien bovenstaande gegevens niet voorhanden zijn wordt het wijzigingsverzoek geweigerd. Bij een geaccepteerde wijziging wordt het wijzigingsnummer (referentie) doorgegeven aan de indiener. De medewerker die de wijziging registreert noteert ook de oplosgroep (het expertiseteam) dat de wijziging zal behandelen. De wijzigingsbeheerder is eindverantwoordelijk voor de juiste toewijzing. 8 Zie hierv oor ook het operationele product Basis risicoanaly semethode gemeenten 19
20 Hieronder wordt een overzicht gegeve n van de activiteiten die binnen registreren kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Indienen van wijzigingsverzoek Voordat een wijzigingsverzoek kan worden ingediend en geregistreerd dienen de volgende activiteiten uitgevoerd te zijn: Vaststellen welke gemeenteambtenaren welk type wijzigingsverzoek mogen Wijzigingsbeheer (U) indienen. Vaststellen welke informatie minimaal moet worden ingevuld op het wijzigingsformulier. Criteria vaststellen met betrekking tot impact, urgentie en prioriteit. Invullen van wijzigingsformulier. Tabel 2: Activiteiten indienen wijzigingsverzoek Wijzigingsbeheer (U) Indiener (U) / Wijzigingsbeheer (U) Indiener (U) / Wijzigingsbeheer (C) Beoordelen van kwaliteit wijzigingsbeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Is er een eenduidige definitie vastgesteld van het begrip wijziging? Dekt deze definitie alle wijzigingen ten aanzien van de status van een configuratie-item, zoals vastgelegd bij configuratiebeheer? 9 Bestaat er een formele procedure voor het indienen van wijzigingsverzoeken? Is bepaald wie een wijzigingsverzoek kan indienen en langs welke weg? Is een template wijzigingsformulier beschikbaar met toelichting? Is bepaald welke informatie minimaal dient te worden verstrekt bij het indienen van een wijzigingsverzoek? Zijn criteria met betrekking tot impact, urgentie en prioriteit vastgesteld? De impact met betrekking tot het beveiligingsniveau en de bescherming van de persoonsgegevens worden hieronder verder toegelicht. Impact beveiligingsniveau De impact op het beveiligingsniveau kan onder andere worden vastgesteld door antwoorden op onderstaande vragen: Veroorzaakt de wijziging veranderingen in de bestaande beveiligingsmaatregelen (bevoegdhedenregeling, controles in de applicatie et cetera)? Moeten voor de wijziging nieuwe en/of specifieke beveiligingsmaatregelen, bovenop de BIG, worden geïmplementeerd? Veroorzaakt de wijziging veranderingen in de bestaande continuïteitsmaatregelen (back -up, redundantie, uitwijk)? Moeten voor de wijziging nieuwe en/of specifieke continuïteitsmaatregelen worden geïmplementeerd? Impact bescherming persoonsgegevens De impact op het beschermingsniveau van persoonsgegevens kan onder andere worden vastgesteld door antwoorden op onderstaande vragen: Worden in het systeem persoonsgegevens vastgelegd? Zo ja, welke? Worden persoonsgegevens uit andere systemen gebruikt of verwerkt? Zo ja, welke? Indien een van bovenstaande vragen met ja beantwoord is, is het systeem gemeld bij de Functionaris Gegevensbescherming (FG) 9 Zie hierv oor ook het operationele product Handreiking proces conf iguratiebeheer. 20
21 Prioriteit De prioriteit wordt gebruikt om het relatieve belang te bepalen van een wijziging. Prioriteit is een afgeleide van urgentie en impact, en wordt gebruikt om te bepalen hoeveel tijd nodig is voor de acties die moeten worden ondernomen. Bijvoorbeeld: de Dienstenniveau overeenkomst (DNO) kan aangeven dat incidenten met prioriteit 2, binnen 12 uur moeten zijn opgelost. Van elke wijziging wordt de prioriteit bepaald en voor het indelen in prioriteitsklassen zijn criteria vastges teld. Categorie De categorie geeft aan hoe de aanvraag verder zal worden afgehandeld en wordt bepaald op basis van de impact en belasting van de resources van de ICT-organisatie. Naast de hiervoor genoemde classificatie kan ook worden aangegeven welke expertiseteams (bijvoorbeeld systeembeheer, netwerkbeheer en telecommunicatie) en welke diensten in de wijziging betrokken zijn. Activiteit Uitvoering (U) / Coördinatie (C) Toekennen van urgentie De urgentie wordt, in overleg met de indiener, toegekend. Wijzigingsbeheer (U) Toekennen van impact De impact wordt toegekend. De impact wordt op verschillende disciplines door verschillende gemeentefunctionarissen vastgesteld. Toekennen van prioriteit De prioriteit geeft het belang aan en is een afgeleide van urgentie en impact. Toekennen van categorie De categorie wordt, eventueel in overleg met de Wijzigingsadviescommissie, toegekend. Categorieën worden toegekend door wijzigingsbeheer, zo nodig in overleg met de Wijzigingsadviescommissie, die een indicatie geeft van de impact van de wijziging en de belasting op de ICT-organisatie. Tabel 3: Activiteiten prioriteren van wijzigingen Applicatiebeheer (U), Functioneel beheer (U), Beveiligingsfunctionaris (U) / Wijzigingsbeheer (C) Wijzigingsbeheer (U) Wijzigingsbeheer (U) Beoordelen van kwaliteit wijzigingsbeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Worden alle wijzigingsaanvragen geclassificeerd ten aanzien van de volgende aspecten: o Prioriteit (spoed van de wijziging) o Complexiteit (impact op de organisatie) o Doorlooptijd o Soort ICT-middel (hardware, besturingsprogrammatuur, applicaties, procedures) Zijn er objectieve criteria vastgelegd op basis waarvan bepaald kan worden in welke categorie een wijziging thuishoort? Ziet de wijzigingsbeheerder erop toe dat deze criteria juist worden toegepast? Zijn er categorieën voor wijzigingen met grote (spoedeisende of urgente wijziging), substantiële (major wijziging) en geringe gevolgen (standaardwijziging) beschikbaar? Zijn aan de verschillende categorieën specifieke afhandelingsprocedures gekoppeld? Bijvoorbeeld standaard procedure, een hoge prioriteit procedure en een nood procedure (zie ook bijlage 2). Is in deze afhandelingsprocedures vastgelegd dat alle wijzigingen geautoriseerd dienen te worden door de budgethouder, applicatie, functioneel en technisch beheerder? Zijn voor routinematige wijzigingen standaardprocedures en checklists beschikbaar? Is voor een spoedeisende/urgente wijziging een aparte procedure beschikbaar, waarbij eventueel het wijzigingsproces achteraf alsnog wordt doorlopen? 21
22 Voorgestelde wijzigingen worden geprioriteerd en gepland in overleg met alle belanghebbenden. Er dient hierbij veel aandacht te worden besteed aan informatieverstrekking over deze planning van wijzigingen. Bijvoorbeeld: in de vorm van een wijzigingsplan of de wijzigingskalender. Wijzigingsbeleid formuleren Wijzigingsverzoeken kunnen worden gebundeld in een enkele uitgifte, zodat ook een enkele back -out kan worden uitgevoerd (voor terugrol ) als het misgaat. Een dergelijke gebundelde uitgifte moet worden gezien als een e nkele wijziging, zelfs als deze uit meerdere aparte wijzigingen is opgebouwd. Uitgiftes kunnen met een functioneel doel voor de business gepland worden. Hiervoor dient beleid geformuleerd te worden en dat dient gecommuniceerd te worden met de ICT-organisatie en met de gemeenten. Dit beleid moet voorkomen dat bij de gebruiker voortdurend de straat wordt opengebroken. Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent voor realisatie en implementatie. Dit beslissingsforum (de Wijzigingsadviescommissie) voldoet aan de volgende eisen en de wijzigingsadviescommissie is hiervoor verantwoordelijk: De leden zijn beslissingsbevoegd. De Wijzigingsadviescommissie is zodanig samengesteld dat er een evenwicht bestaat tussen de belangen van de beheer- en exploitatieorganisatie (continuïteit en stabiliteit) en de gebruikersorganisatie van de gemeente (nieuwe functionaliteit). De leden van de Wijzigingsadviescommissie beschikken gezamenlijk over voldoende beheer-, exploitatie- en materiekennis om verantwoorde besluiten over de wijzigingen te kunnen nemen. De verantwoordelijke voor bijvoorbeeld informatiebeveiliging en bedrijfscontinuïteitsbeheer kunnen via de wijzigingsbeheerder hun standpunten over wijzigingen in de Wijzigingsadviescommissie inbrengen, of zijn zelf (al dan niet op ad hoc basis) lid van de Wijzigingsadviescommissie. De Wijzigingsadviescommissie kan, in overleg met de ICT-afdelingen, vaste periode instellen voor het doorvoeren van wijzigingen op momenten dat de dienstverlening daar geen, of zo min mogelijk, last van heeft. Geschikte momenten kunnen bijvoorbeeld worden gevonden in de weekenden of buiten de geijkte werktijden (kantooruren). Ook kunnen periodes worden vastgesteld waarin juist weinig of geen wijzigen worden gepland, zoals binnen de kantooruren of rond de jaarwisseling. Activiteit Uitvoering (U) / Coördinatie (C) Accepteren van wijzigingsverzoek Controleren of het ingediende wijzigingsverzoek aan vooraf gedefinieerde criteria Wijzigingsbeheer (U) voldoet. Tabel 4: Activiteiten accepteren wijzigingsverzoek Als het wijzigingsverzoek is geaccepteerd, wordt de informatie voor het verdere verloop van de wijziging vastgelegd in een wijzigingsregistratie. In het verdere verloop van de wijziging wordt hier steeds meer informatie aan toegevoegd, zoals: De toegekende prioriteit De toegekende categorie Beoordeling van de impact en benodigde resources, denk hierbij ook aan de kosten Testresultaten Implementatieplan inclusief een back-out-plan (terugvalscenario) Actuele datum en tijd van de wijziging De reden van een eventuele afkeuring van het wijzigingsverzoek 22
HANDREIKING PROCES WIJZIGINGSBEHEER
HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer
Nadere informatieHANDREIKING PROCES WIJZIGINGSBEHEER
HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer
Nadere informatieMobiele Gegevensdragers
Handreiking Mobiele Gegevensdragers Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Mobiele
Nadere informatieVERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014
Nadere informatieHandleiding. Checklist Data Privacy Impact Analyse
Handleiding Checklist Data Privacy Impact Analyse Colofon Naam document Checklist Data Privacy Impact Analyse Versienummer 1.0 Versiedatum 04-06-2018 Versiebeheer Het beheer van dit document berust bij
Nadere informatieResponsible Disclosure
Handreiking Responsible Disclosure Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Responsible
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatiePatch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieTOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieJaarrapportage gegevensbescherming
Voorbeeld Jaarrapportage gegevensbescherming Jaarrapportage voor het college van Burgemeester en Wethouders Colofon Naam document FG Jaarrapportage College van Burgemeester en Wethouders Versienummer 1.0
Nadere informatieJaarrapportage gegevensbescherming
Voorbeeld Jaarrapportage gegevensbescherming Jaarrapportage voor de gemeenteraad Colofon Naam document FG Jaarrapportage gemeenteraad Versienummer 1.0 Versiedatum 13-03-2019j Versiebeheer Het beheer van
Nadere informatieVeilige afvoer van ICT-middelen
Handreiking Veilige afvoer van ICT-middelen Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking
Nadere informatieInkoopvoorwaarden en informatiebeveiligingseisen
Handreiking Inkoopvoorwaarden en informatiebeveiligingseisen Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatiePROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER
PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1 Colofon Naam document Procedure
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatiePROCEDURE NIEUWE ICT- VOORZIENINGEN
PROCEDURE NIEUWE ICT- VOORZIENINGEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1 Colofon Naam document Procedure nieuwe ICT-voorzieningen
Nadere informatieFactsheet. Verwerkingsverantwoordelijke of verwerker?
Factsheet Verwerkingsverantwoordelijke of verwerker? Versiebeheer Versie Wijzigingen Datum 1.0 Definitieve versie Juni 2018 1.1 Verduidelijking tav on premise software. Januari 2019 Colofon Deze handreiking
Nadere informatiegemeente Eindhoven Wijzigingsbeheer Gedetailleerde procesbeschrijving Informatisering & Beheer iwa/gd
A gemeente Eindhoven Wijzigingsbeheer Gedetailleerde procesbeschrijving Informatisering & Beheer November 2013 iwa/gd13006902 NovemberNovember 2013 Wijzigingsbeheer gedetailleerde procesbeschrijving Informatisering
Nadere informatie24/7. Support. smart fms
24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het
Nadere informatieService Garantie. Inhoudsopgave. Versie 1.2. November 2016
Service Guarantee, version 1.2 Versie 1.2 Service Garantie November 2016 Inhoudsopgave 1. Inleiding 1.1 Service Garantie 1.2 Begrippen en definities 1.3 Service 1.3.1 Service Support Service Desk Incidenten
Nadere informatieVoorbeeld SLA <applicatie>
Naam Best Practice Voorbeeld SLA IDnr 067_BP_N Datum aangepast 01/01/2011 Omschrijving van de inhoud Een voorbeelddocument van (SLA) Soort document Voorbeeld ASL Processen Servicelevel management
Nadere informatieVersie Wijzigingen Datum 1.1 VNG Realisatie lay-out
Privacybeleid IBD Versiebeheer Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out 16-4-2018 Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT
Nadere informatieINKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN
INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieFunctieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00
Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00 Doel Zorgdragen voor adequaat beheer en onderhoud van systemen en applicaties, voor tijdige en effectieve ondersteuning van en kennisontwikkeling
Nadere informatieService Level Management DAP Template
Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieService Level Agreement Datacenter Vlaanderen
Service Level Agreement Datacenter Vlaanderen De SLA bevat de service levels oftewel dienstenniveaus die door Datacenter Vlaanderen en Opdrachtgever zijn overeengekomen met betrekking tot haar dienstverlening.
Nadere informatieOverzicht van taken en competenties. Demandmanager-rol
Overzicht van taken en competenties Demandmanager-rol Inhoudsopgave 1 Taakomschrijving... 2 1.1 AA-1 Goedkeuren/beoordelen opdracht, verzoek, e.d.... 2 1.2 AA-7 Evalueren opdracht... 2 1.3 CA-1 Onderhouden
Nadere informatieAansluiten bij de IBD. Het stappenplan
Aansluiten bij de IBD Het stappenplan Versiebeheer 20170125 versie 2 20180222 versie februari 2018 links aangepast i.v.m. nieuwe website, nieuwe lay-out document Over de IBD De IBD is een gezamenlijk initiatief
Nadere informatieToelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieInnovatie in een veranderd risicolandschap
Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde
Nadere informatieIT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht
IT General Controls en beheersmaatregelen met een IT-component Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht (versie 1.0 definitief) september 2019 IT General Controls en beheersmaatregelen
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieService Niveau Overeenkomst Digikoppeling
Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieFunctioneel Applicatie Beheer
Functioneel Applicatie Beheer Functioneel Applicatie Beheer Goed functioneel beheer werkt als smeerolie voor uw organisatie en zorgt voor een optimale aansluiting van de informatievoorziening op de primaire
Nadere informatieProcesbeschrijving Punch out aansluiting DigiInkoop
Procesbeschrijving Punch out aansluiting DigiInkoop Versie 1.1 Datum 28 mei 2014 Status Definitief Colofon Projectnaam DigiInkoop Versienummer 1.1 Contactpersoon Centraal Functioneel Beheer DigiInkoop
Nadere informatieMedewerker administratieve processen en systemen
processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met
Nadere informatieProces configuratiebeheer
Handreiking Proces configuratiebeheer Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking proces
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatiePATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieSAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING
SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Samenhang beheerprocessen
Nadere informatieInformatiebeveiligingsbeleid SBG
Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding
Nadere informatieGeef de titel van het wijzigingsverzoek zo kort mogelijk weer.
Naam indiener WIJZIGINGSVOORSTEL Nummer: xxx Datum: dd-mm-jj Status: stap 1, 2, 3, 4 of 5 Bedrijfsonderdeel/afdeling/ functie Naam projectmanager Naam wijzigingsbehandelaar (indien van toepassing) Het
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieInkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline
Nadere informatieICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden
Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieContractmanagement. Handreiking
Handreiking Contractmanagement Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Contractmanagement
Nadere informatieMODEL VOOR EEN VERWERKERSOVEREENKOMST
MODEL VOOR EEN VERWERKERSOVEREENKOMST Colofon Naam document Model voor een verwerkersovereenkomst. Versienummer 2.3 Versiedatum maart 2017 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst
Nadere informatieGemeente Zandvoort. Telefoon: Fax:
Vastgesteld door het college : d.d. 19 mei 2015 Gepubliceerd in de Zandvoortse Courant : d.d. 26 mei 2015 Inwerkingtreding : d.d. 19 mei 2015 Registratienr: 2015/05/000532 Auteur: R. Zwietering Gemeente
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieHandleiding GBO Helpdesk voor aanmelders
Inhoud 1 Inleiding... 2 2 In- en uitloggen... 3 2.1 Webadres GBO Helpdesk... 3 2.2 Inloggen... 3 2.3 Wachtwoord wijzigen... 4 2.4 Uitloggen... 4 3 Incidenten... 5 3.1 Incident aanmelden... 5 3.2 Bijlage
Nadere informatieVERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK
VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT Graafseweg 10 5213 AL - s-hertogenbosch KVK 71055657 SERVICE LEVEL AGREEMENT 1. PARTIJEN Deze Service Level Agreement
Nadere informatieRapport Richtlijn gebruik productiegegevens
Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum
Nadere informatieKwaliteitsbewaking en testen in ICT beheerorganisaties
DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieTHIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2
THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 7.2 KENMERK: 1709R.AH117 DATUM: 29 SEPTEMBER 2017 Third Party Mededeling 2017 Applicatie: CityPermit Release:
Nadere informatieHandreiking. Standaard Verwerkersovereenkomst Gemeenten
Handreiking Standaard Verwerkersovereenkomst Gemeenten 1 Colofon Naam document Toelichting standaard verwerkersovereenkomst Versienummer 1.00 Versiedatum 01-08-2018 Versiebeheer Het beheer van dit document
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieHet BiSL-model. Een whitepaper van The Lifecycle Company
Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte
Nadere informatieEindbeoordelingsformulier (Applicatieontwikkelaar 4)
Eindbeoordelingsformulier (Applicatieontwikkelaar 4) Eindbeoordeling werkprocessen Naam stagiair BPV bedrijf Datum BPV Begeleider Praktijkopleider Periode Kerntaak 1: Ontwerpen van de applicatie, (cross)media
Nadere informatiePROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D
PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D Auteur : P. van der Meer, Ritense B.V. Datum : 17 juli 2008 Versie : 1.3 2008 Ritense B.V. INHOUD 1 VERSIEBEHEER...1 2 PROJECT
Nadere informatiestaat is om de AVG na te komen.
Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieHANDREIKING PROCES CONFIGURATIEBEHEER
HANDREIKING PROCES CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces configuratiebeheer
Nadere informatieResultaat risico inventarisatie Noordelijk Belastingkantoor
Resultaat risico inventarisatie Noordelijk Belastingkantoor NOTITIE AAN: Bestuur NBK 11-1-2019 VAN: VKA STATUS: Aanleiding en vraag Het Noordelijk Belastingkantoor (hierna: NBK) verzorgt voor drie noordelijke
Nadere informatieDoel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012
Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieOpleidingsgebied ICT. Niveau Beginnend *zie omschrijving beoordelingscriteria Gevorderd* Bekwaam* Werkproces(sen) Beoordeling* 1 e 2 e eind
Opleidingsgebied ICT Kwalificatiedossier en kerntaak ICT- en mediabeheer 2012-2013 Kerntaak 2: Implementeren van (onderdelen van) informatie- of mediasystemen Kwalificatie en crebocode ICT-beheerder 95321
Nadere informatieIT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht
IT General Controls en met een IT-component Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht (versie 1.0 definitief) september 2019 IT General Controls en met een IT-component Alle
Nadere informatieProjectmanagement De rol van een stuurgroep
Projectmanagement De rol van een stuurgroep Inleiding Projecten worden veelal gekenmerkt door een relatief standaard projectstructuur van een stuurgroep, projectgroep en enkele werkgroepen. De stuurgroep
Nadere informatieOmschrijving service niveau (basis) Evidos clouddienst
Omschrijving service niveau (basis) Evidos clouddienst Versie: 1.0 Datum: 21 december 2018 1 1. Inleiding Onderliggend document beschrijft het basis service niveau dat Evidos (actief onder de handelsnamen
Nadere informatieBest practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.
ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem
Nadere informatieL = Lokaal, R = Regionaal; N = NL, Landelijk. (Het betreft hier de Nederlandse politie) T1 = tussentijds resultaat, Tn = gewenst eindresultaat
Bron [een deel van; zie ook blz 6]: http://www.aslbislfoundation.org/dmdocuments/bisl_bp051_wie_doet_wat_matrix.doc (BiSL-Procescluster/Proces Informatiecoördinatie) Wie-Doet-Wat-Matrix / WDW-matrix 1.
Nadere informatieCONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum
Nadere informatieRapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C
DigiD aansluiting no.1 - Bijlage B + C Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C gemeente Renswoude Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen?
Nadere informatieAVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans
AVG GAP Analyse En verwerkingsregistratie Classificatie Gegenereerd door Vertrouwelijk De onderwerpen in deze GAP Analyse zijn afgeleid van de Algemene Verordening Gegevensbescherming (AVG), welke op 25
Nadere informatieContractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieRaamwerk Informatiebeveiliging Gegevensdiensten
Raamwerk Informatiebeveiliging Gegevensdiensten Raamwerk voor te treffen informatiebeveiligingsmaatregelen bij de levering van gegevensdiensten door de afdeling Onderzoek, Informatie en Statistiek Cluster
Nadere informatieDe 10 bestuurlijke principes voor informatiebeveiliging
Baseline De 10 bestuurlijke principes voor informatiebeveiliging Behorende bij de Baseline Informatiebeveiliging Overheid (BIO) Colofon Copyright 2019 Vereniging van Nederlandse Gemeenten (VNG). Alle rechten
Nadere informatieQ3 Concept BV Tel: +31 (0)413 331 331
Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service
Nadere informatieChange Management RFC Checklist
Change Management Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : Pagina : I Colofon Titel Change Management Ondertitel Versie
Nadere informatieAnt: B Dit is het doel van het proces.
In welk proces vormt het voor aanpassingen in de informatievoorziening beschikbaar gestelde budget een mandaat voor besluitvorming? A: Contractmanagement B: Financieel management C: Transitie D: Wijzigingenbeheer
Nadere informatieIT Beleid Bijlage R bij ABTN
IT Beleid Dit document heeft 8 pagina s Versiebeheer Versie Auteur Datum Revisie V1.0 Bestuur 18 december 2018 Nieuwe bijlage i Inhoudsopgave 1. Inleiding 1 2. Scope van het IT Beleid 1 3. IT risico s
Nadere informatieBijlage 10 Begrippenlijst Kwaliteitssysteem voor het. beheer van KLIVIA
Bijlage 10 Begrippenlijst Kwaliteitssysteem voor het beheer van KLIVIA INHOUDSOPGAVE 1 Inleiding... 1 1.1 Doel, omvang en indeling van de begrippenlijst... 1 2 Begrippenlijst... 2 8 april 2015 1 Inleiding
Nadere informatiePATCHMANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
PATCHMANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patchmanagement voor gemeenten Versienummer
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 2.0 Datum 16 december 2016 Status Definitief Colofon Projectnaam DigiD Versienummer 2.0 Contactpersoon Servicecentrum Organisatie Logius Bezoekadres Wilhelmina
Nadere informatiePatchmanagement voor gemeenten
Handreiking Patchmanagement voor gemeenten Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Patchmanagement
Nadere informatieOpleidingsgebied ICT. Niveau Beginnend *zie omschrijving beoordelingscriteria Gevorderd* Bekwaam* Werkproces(sen) Beoordeling* 1 e 2 e eind
Opleidingsgebied ICT Kwalificatiedossier en kerntaak ICT- en mediabeheer 2012-2013 Kerntaak 3: Beheren van (onderdelen van) informatie- of mediasystemen Kwalificatie en crebocode ICT-beheerder 95321 Leeromgeving
Nadere informatieMOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieBIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching
Europese aanbesteding Netwerkinfrastructuur Hardware, service en ondersteuning BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching Niet openbare procedure Selectiecriteria met een gewogen
Nadere informatie