PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER

Maat: px
Weergave met pagina beginnen:

Download "PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER"

Transcriptie

1 PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1

2 Colofon Naam document Procedure nieuwe ICT-voorzieningen Versienummer 1.0 Versiedatum Juni 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische- en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen voor het vastleggen van de verschillende stappen die noodzakelijk zijn om nieuwe versies, releases of updates van ICT-voorzieningen goed te keuren alvorens deze in productie worden genomen. Doelgroep Dit document is van belang voor de systeemeigenaren, functioneel- en applicatiebeheerders en de ICTafdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente ICT-beheer Uitbesteding ICT-diensten Procedure configuratiebeheer Procedure wijzigingsbeheer Service Level Agreements (SLA) Bewerkersovereenkomsten (ICT)-contracten Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel Goedkeuringsproces voor ICT-voorzieningen Maatregel Wijzigingsbeheer 4

5 Inhoudsopgave Colofon 2 Voorwoord 3 Leeswijzer 4 Inhoudsopgave 5 1 Inleiding Aanwijzing voor gebruik 7 2 Handreiking goedkeuringsprocedure Zakelijke goedkeuring Functionele goedkeuring Beveiligingsgoedkeuring Technische goedkeuring 15 Bijlage 1: Definities 16 Bijlage 2: Literatuur/bronnen 18 5

6 1 Inleiding De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met de goedkeuring van ICT-voorzieningen, zie hiervoor ook het voorbeeld gemeentelijk informatiebeveiligingsbeleid. Deze goedkeuringsprocedure maakt onderdeel uit van wijzigingsbeheer. 1 ICT-voorzieningen Onder ICT-voorzieningen vallen de volgende ICT-componenten: applicatie, systeemsoftware en hardware. Doelstelling van de goedkeuringsprocedure voor ICT-voorzieningen 2 Deze goedkeuringsprocedure voor ICT voorzieningen draagt er zorg voor dat wijzigingen op de ICT-infrastructuur (ICT-middelen en -diensten) efficiënt en effectief worden doorgevoerd met zo min mogelijk verstoring van de kwaliteit van de dienstverlening, zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld. Beheerdoelstellingen van de goedkeuringsprocedure voor ICT-voorzieningen De volgende beheerdoelstellingen dienen met een redelijke mate van zekerheid te worden gewaarborgd: ICT voorzieningen dienen te worden geautoriseerd met inachtneming van de risico s voor de ICT-diensten. De impact van de ICT voorzieningen dient van tevoren op beschikbaarheids-, capaciteits-, continuïteits- en beveiligingsaspecten, evenals (eind)gebruikersaspecten te worden getoetst. Indien ICT voorzieningen niet zijn geautoriseerd na evaluatie van de risico s, bestaat het risico dat de ICT voorzieningen ongewenste (neven)effecten hebben op ICT-diensten, die soms niet volledig kunnen worden overzien door de initiator van de wijziging. Het is daarom van belang om deze effecten gestructureerd in kaart te brengen en de impact af te stemmen met alle belanghebbenden, zoals de eigenaar van de ICT-dienst, beheerders van ICT-middelen en de betrokkenen van andere ICT-beheerprocessen. ICT voorzieningen dienen te worden beoordeeld op doeltreffendheid. Indien de doeltreffendheid van ICT voorzieningen niet wordt geëvalueerd, bestaat het risico dat de ICT voorzieningen niet, of slechts gedeeltelijk, bijdragen aan verbetering van de ICTdiensten of zelfs verstorend zijn voor de ICT-diensten. Indien ICT voorzieningen niet het beoogde effect blijken te hebben, is het van belang om terug te kunnen keren naar de oorspronkelijke situatie (ook wel: back-out of terugvalscenario). Het belang van de goedkeuringsprocedure voor ICT-voorzieningen voor informatiebeveiliging Het belang voor informatiebeveiliging omvat: Het gecontroleerd doorvoeren van geautoriseerde wijzigingen leidt ertoe, dat de kans op het niet beschikbaar zijn als gevolg van wijzigingen afneemt, en dat eventuele toch opgetreden storingen korter duren. (Dit laatste kan onder andere gerealiseerd worden door in het wijzigingsproces voorzieningen in te bouwen voor het terugdraaien van wijzigingen). Het biedt een mogelijkheid om af te dwingen dat wijzigingen eerst op 1 Zie hiervoor ook het operationele product wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 2 Dit wordt ook wel als autorisatieproces voor ICT-voorzieningen aangeduid. 6

7 beveiligingsconsequenties worden getoetst, voordat ze worden uitgevoerd. Dit vermindert de kans op het ontstaan van beveiligingsincidenten. Het draagt bij dat relevante instellingen van de ICT-infrastructuur, uit beveiligingsoogpunt niet ongecontroleerd en ongeautoriseerd gewijzigd worden. De ICT-infrastructuur, die aan de beveiligingsnormen voldoet, blijft aan het afgesproken niveau voldoen. 1.1 Aanwijzing voor gebruik Deze handleiding is geschreven om handreikingen te geven voor een goedkeuringsprocedure voor ICT-voorzieningen. De gemeentelijke beleidsregels met betrekking tot goedkeuringsprocedures voor ICT-voorzieningen zijn: 3 Er behoort een goedkeuringsproces voor nieuwe ICT-voorzieningen te worden vastgesteld en geïmplementeerd. o Er is een goedkeuringsproces voor nieuwe ICT-voorzieningen en wijzigingen in ICTvoorzieningen (in Information Technology Infrastructure Library (ITIL) termen: wijzigingsbeheer). Wijzigingen in ICT-voorzieningen en informatiesystemen behoren te worden beheerst. o In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: 1. Het administreren van significante wijzigingen. 2. Impactanalyse van mogelijke gevolgen van de wijzigingen. 3. Goedkeuringsprocedure voor wijzigingen. 3 Zie ook het voorbeeld Algemene informatiebeveiligingsbeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 7

8 2 Handreiking goedkeuringsprocedure De goedkeuring van ICT-voorzieningen omvat vier onderdelen: 1. Een zakelijke goedkeuring: Bij een zakelijke goedkeuring dient getoetst te worden of de ICT-voorzieningen voldoen aan de gestelde afspraken tussen de leverancier en de gemeente 4, binnen het gestelde budget en Return on Investment (ROI) 5 et cetera. 2. Een functionele goedkeuring: Bij de functionele goedkeuring dient door middel van testen door de functioneel beheerder/eindgebruikers getoetst te worden of de ICT-voorzieningen voldoen aan de eisen en wensen, zoals vermeld in het programma van eisen Een beveiligingsgoedkeuring: Bij de beveiligingsgoedkeuring dient op basis van de vastgestelde beveiligingseisen van de gemeente nagegaan te worden of alle relevante beveiligingseisen en procedures worden nageleefd. 4. Een technische goedkeuring: Bij de technische goedkeuring dient door de ICT-afdeling gecontroleerd te worden of de nieuwe ICT-voorzieningen naar behoren zullen functioneren in de bestaande ICT-omgeving van de gemeente. Uitgangspunten Onderstaande uitgangspunten dienen in acht te worden genomen: Voor implementatie van applicaties en/of systeemsoftware wordt gecontroleerd of er een actuele back-up beschikbaar is ten behoeve van een back-out (terugvalscenario) procedure. De systeembeheerder implementeert nieuwe versies van de applicatie en/of systeemsoftware pas nadat de documentatie is aangepast en de software en/of hardware is getest. Bijvoorbeeld door de applicatiebeheerder of de systeembeheerder. De leverancier kan voor de uitvoering van deze goedkeuringsprocedure niet worden ingeschakeld om een duidelijke scheiding te maken tussen, aan de ene kant de rol van de productleverancier en aan de andere kant die van de gemeente, die moet testen of producten aan de gestelde (beveiligings)eisen voldoen. De goedkeuringsprocedure moet worden uitgevoerd door een partij die onafhankelijk is van de ICT-voorziening. De goedkeuringsprocedure en het testen maken onderdeel uit van wijzigingsbeheer. 7 Uitvoering 1. De configuratiebeheerder ontvangt de ICT-voorziening en de bijbehorende documentatie van de leverancier en geeft deze documentatie aan degene die een rol spelen in dit goedkeuringsproces. 8 Bijvoorbeeld de applicatie-, netwerk- en/of systeembeheerder. 4 Zie hiervoor ook het operationele product Inkoopvoorwaarden en informatiebeveiligingseisen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Het programma van eisen is een geschreven verzameling van eisen en wensen ten aanzien van een mogelijk te ontwerpen product, constructie, aan te schaffen dienst, of anderszins. De bedoeling van een programma van eisen is van tevoren de randvoorwaarden en limieten te definiëren. De eisen zijn de criteria waaraan voldaan moet worden, de wensen zijn de criteria waaraan de verwachting is dat er zo veel mogelijk aan voldaan wordt. 7 Zie hiervoor ook het operationele product Wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product Configuratiebeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8

9 2. De documentatie wordt door de belanghebbende bestudeerd. Hierbij dient rekening te worden gehouden met de eventuele beïnvloeding van andere ICT-componenten. Bij eventuele onduidelijkheden, wordt contact gezocht met de leverancier om deze onduidelijkheden weg te nemen. 3. De ICT-voorziening wordt in de test- en acceptatieomgeving getest. Dit aan de hand van acceptatiecriteria welke vooraf door de belanghebbende zijn opgesteld. Het verloop van de test en de resultaten ervan worden vermeld in een testrapportage. Aangezien het testen van de ICT-voorziening een belangrijk onderdeel is in de goedkeuringsprocedure wordt hieronder extra aandacht besteed aan de verschillende tests die uitgevoerd dienen te worden: Zowel de ICT-voorzieningen als de back-out-procedure en de invoermethode van de ICT-voorziening dienen grondig te worden getest. Afwijkingen van dit principe worden vooraf formeel goedgekeurd. De toetsingsresultaten worden geaccordeerd door belanghebbenden. Als het ICT-voorzieningen betreft met impact op de informatiebeveiliging, wordt in overleg met de beveiligingsbeheerder bepaald of er specifieke informatiebeveiligingstesten uitgevoerd moeten worden (penetratietesten, code reviews et cetera). Waar nodig wordt apparatuur en programmatuur gecontroleerd op compatibiliteit met andere systeemcomponenten. Er dient voor de testwerkzaamheden een aparte testomgeving te zijn. Testen worden uitgevoerd door de degenen die het wijzigingsverzoek hebben ingediend of vertegenwoordigers daarvan (gebruikersorganisatie van de gemeente) en ICT-beheer. De leverancier of bouwers kunnen voor de uitvoering van deze tests niet worden ingeschakeld, om een duidelijke scheiding te maken tussen aan de ene kant de rol van de productleverancier, en aan de andere kant die van de gemeente die moet testen of producten aan de gestelde eisen voldoen. Tevens dienen systemen voor Ontwikkeling, Test en/of Acceptatie (OT(A)) logisch gescheiden te zijn van Productie (P). Acceptatietests worden uitgevoerd door zowel gebruikers (gebruiksacceptatie) als de beheerders (productie-acceptatietest). De acceptatietest maakt deel uit van het geheel aan testen die in het kader van de goedkeuringsprocedure plaatsvinden. Er zijn duidelijke voorschriften nodig voor het toezicht houden op de kwaliteit van het testen en van de documentatie van de testresultaten. De testrapportage wordt ter beschikking gesteld aan de beveiligingsbeheerder en wordt opgenomen in de bij de ICT-voorziening horende versiedocumentatie. 4. Indien de tests tot een bevredigend resultaat leiden, wordt de ICT-voorziening in productie genomen. Indien de test niet tot een bevredigend resultaat leidt, wordt dit zo spoedig mogelijk teruggekoppeld naar de leverancier. Bij ontvangst van een door de leverancier aangepaste release wordt de voorliggende procedure herhaald. Beoordelen van de kwaliteit van de goedkeuringsprocedure voor ICT-voorzieningen Onderstaande vragenlijst kan door de gemeente worden gebruikt om de goedkeuringsprocedure voor ICT-voorzieningen te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot de goedkeuringsprocedure voor ICT-voorzieningen te maken: Bestaat er een goedkeuringsprocedure voor de installatie van nieuwe voorzieningen of wijziging van bestaande ICT-voorzieningen voor informatietechnologie (apparatuur en programmatuur)? Is daarin vastgelegd dat geen ongeautoriseerde voorzieningen mogen worden geïnstalleerd en gebruikt? 9

10 Moet volgens die goedkeuringsprocedure elke installatie formeel worden goedgekeurd, waarbij het doel en het gebruik worden geautoriseerd, en bestaat er zowel een zakelijk als een technisch autorisatieniveau? Is bekend wie van de gemeente zakelijke goedkeuring mogen verlenen? Behoren daartoe ook de medewerkers die verantwoordelijk zijn voor het onderhoud van het systeem, zodat zekerheid bestaat over naleving van de relevante beveiligingseisen en - procedures? Is bij de goedkeuring ook rekening gehouden met de effectiviteit en de efficiency van de informatiebeveiliging, zoals beheerskosten, mate van controleerbaarheid en soort rapportage? Is bekend wie van de gemeente technische goedkeuring mogen verlenen? Mag slechts apparatuur of programmatuur in een netwerk worden geplaatst van een technisch goedgekeurd type? Mag slechts apparatuur of programmatuur worden gebruikt van een technisch goedgekeurd type, zodat het dienstverlenend bedrijf dat het onderhoud verzorgt niet voor verrassingen komt te staan? Wordt steeds gecontroleerd of de voorschriften uit de procedure worden nageleefd? Is bekend wie van de gemeente die controle uitvoert en aan wie wordt gerapporteerd? Bestaat er een migratiekalender voor de ICT-voorzieningen? 2.1 Zakelijke goedkeuring Bij een zakelijke goedkeuring dient getoetst te worden of de ICT-voorzieningen voldoen aan de gestelde afspraken tussen de leverancier en de gemeente, binnen gesteld budget en Return on Investment (ROI) et cetera. In deze paragraaf zal vooral aandacht worden besteed aan de afspraken met betrekking tot informatiebeveiliging. Bij het verwerven van ICT-producten of ICT-diensten is het van belang om in een vroegtijdig stadium aan mogelijke leveranciers kenbaar te maken welke beveiligingseisen de gemeente wenst te nemen, of door haar leverancier uitgevoerd wenst te zien. De gemeentefunctionaris die verantwoordelijk is voor de betreffende opdracht, is er ook verantwoordelijk voor om er op toe te zien dat de leverancier van de betreffende diensten aan deze eisen voldoet. Beoordelen van de kwaliteit van de dienstverleningsovereenkomst Onderstaande vragenlijst kan door de gemeente worden gebruikt om de dienstverleningsovereenkomst te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot de dienstverleningsovereenkomst te maken. 9 Algemene vragen: Is de verantwoordelijkheid voor het beheer van contracten duidelijk belegd binnen de gemeente? Bevat het contract de verplichtingen van alle partijen waarop de overeenkomst betrekking heeft? Is bij het opstellen van dat contract gebruik gemaakt van de expertise van een juridisch deskundige? Bestaat het recht om de contractuele verantwoordelijkheden te controleren? 9 Zie hiervoor ook het operationele product Inkoopvoorwaarden en informatiebeveiligingseisen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 10

11 Zijn er in het contract beperkende bepalingen opgenomen, ten aanzien van het kopiëren en openbaar maken van informatie? Bevat het contract bepalingen met sancties of boetebedingen voor het geval dat een contractpartij de verplichtingen niet naleeft? Heeft men maatregelen getroffen die er op gericht zijn om bij het beëindigen van het contract de informatie en goederen terug te geven of te vernietigen? Is in het contract rekening gehouden met verantwoordelijkheden op grond van wettelijke eisen? Wordt bijgehouden welke contracten zijn afgesloten? Beschrijft het contract welke ICT-producten of -diensten beschikbaar worden gesteld? Heeft men de verzekering dat installatie van het nieuwe systeem (of systeemcomponenten) geen nadelige invloed heeft op bestaande systemen, in het bijzonder tijdens de drukste verwerkingstijden (zoals aan het einde van de maand)? Wordt er voorzien in cursussen? Vraagstukken met betrekking tot informatiebeveiliging: Wordt in het contract aandacht besteed aan het algemene beleid ten aanzien van informatiebeveiliging? Draagt de leverancier zorg voor een Escrow? Zijn in dat contract de noodzakelijke beveiligingsvoorwaarden opgenomen? Wordt door de gemeente gecontroleerd dat de beveiligingseisen ook worden nageleefd door de leverancier? Of wordt hiervoor door de leveranciers een Third Party Mededeling (TPM) 10 overhandigd? Wanneer er persoonsgegevens worden bewerkt in systemen van de leverancier buiten de gemeente (bijvoorbeeld bij Software as a Service (SaaS) 11 ), accepteert de leverancier dan een bewerkersovereenkomst 12 als onderdeel van het contract? Worden de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), voor zover van toepassing verklaard door de gemeente, door de leverancier geaccepteerd en toegepast op de geleverde producten en/of diensten? Indien de wens bestaat tot een hoge beschikbaarheid, is er dan in het contract aandacht besteed aan continuïteitsvoorzieningen? Bevat de dienstverleningsovereenkomst met leveranciers passages over aansprakelijkheid en betrouwbaarheid van de dienstverlening en maximaal toelaatbare duur van uitval? Zijn de tijdstippen en dagen, waarop de dienst beschikbaar moet zijn, vastgelegd in het contract? Bevatten de leveringsvoorwaarden van de gemeente eisen betreffende ingehuurd personeel in het kader van informatiebeveiliging? Zijn de overeenkomsten, die betrekking hebben op de toegang tot ICT-voorzieningen van de onderneming door externe gebruikers, gebaseerd op een formeel contract? Wordt er gecontroleerd of een contract is getekend, voordat er toegang tot de ICTvoorzieningen wordt verleend? Is in het contract vastgelegd welke toegangsmethoden zijn toegestaan en hoe gebruikersidentificaties en wachtwoorden moeten worden beheerd en gebruikt? 10 Een TPM is een verklaring welke afgegeven wordt door een onafhankelijke audit partij over de kwaliteit van een ICT-dienst Zie hiervoor ook het operationele product Bewerkersovereenkomst van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 11

12 Wordt in het contract verwezen naar procedures voor de bescherming van bedrijfsmiddelen, waaronder ook informatie? Is per contract de verantwoordelijkheid geregeld voor de installatie en het onderhoud van apparatuur en programmatuur? Zijn eventuele vereiste fysieke beveiligingsmaatregelen in het contract beschreven? Bevat het contract procedures die ervoor zorgen dat de beveiligingsmaatregelen worden opgevolgd? Zijn in het contract maatregelen beschreven ter voorkoming van het verspreiden van virussen? Is in het contract aandacht besteed aan de autorisatieprocedure voor de toegangsrechten van de gebruikers? Zijn in het contract de afspraken vastgelegd over onderzoek en rapportage van beveiligingsincidenten? 2.2 Functionele goedkeuring Bij de functionele goedkeuring dient, door middel van testen door de functioneel beheerder/eindgebruikers, getoetst te worden of de ICT-voorzieningen voldoen aan de eisen en wensen, zoals vermeld in het programma van eisen. Hieronder worden aandachtpunten beschreven die een rol spelen bij het opstellen van het programma van eisen van de ICT-voorziening door de gemeente. Deze opsomming is zeker niet volledig, maar biedt voldoende handvatten om een programma van eisen op te stellen en te controleren: Is de (te ontwikkelen) ICT-voorziening inclusief de eventuele (specifieke) naam beschreven? Is omschreven waarom er behoefte is aan de nieuwe ICT-voorziening? Dit kan van grote invloed zijn op het ontwerp, wanneer één of meerdere functies of eigenschappen dominant in het product aanwezig dienen te zijn. Dient de nieuwe ICT-voorziening bestaande producten te gaan vervangen? Indien ja; welke bestaande kenmerken moeten in de nieuwe ICT-voorziening aanwezig zijn, of welke juist niet? Moet er een huisstijl worden toegepast? Voor welke markt of voor welk marktsegment is de ICT-voorziening bedoeld? Wat zijn de kenmerken van deze markt(en) en segmenten? Welke eisen stellen deze markten met betrekking tot normen, voorschriften, productaansprakelijkheid et cetera? Zijn de gewenste/feitelijke gebruikers van de nieuwe ICT-voorziening, de doelgroep(en), omschreven? Zijn de verwachtingspatronen van de gebruiker(s) waarmee rekening moet worden gehouden beschreven? Zijn er richtlijnen met betrekking tot het gebruik van de ICT-voorziening? Denk aan configuratiemogelijkheden, bediening, beveiligingsrisico s et cetera. Zijn de beveiligingsvoorschriften vermeld? Zijn onderhoudvoorschriften en wat te doen in geval van storingen beschreven? Beoordelen van kwaliteitscontrole op acceptatie van ICT-voorzieningen Onderstaande vragenlijst kan door de gemeente worden gebruikt om de controle op acceptatie van ICT-voorzieningen te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot de controle op acceptatie 12

13 van ICT-voorzieningen, en in het bijzonder wijzigingen in het besturingssysteem en softwarepakketten te maken. ICT-voorzieningen: Is er door de gemeente een projectorganisatie ingevoerd ten behoeve van selectie, acceptatie (inclusief testen) en implementatie (inclusief beveiliging) van nieuwe ICT-componenten? Zijn de eisen en de criteria ten aanzien van nieuwe ICT-componenten vastgelegd en goedgekeurd door de verantwoordelijke van de gemeente? Is voor het testen een testplan opgesteld? Zijn in het testplan de volgende onderwerpen opgenomen: o De soort test die dient te worden uitgevoerd o Te testen onderdelen, met het verwachte resultaat o Acceptatiecriteria o Fout-, herstel- en herstartprocedures o Routinematige bedieningsprocedures Worden de testresultaten adequaat vastgelegd en geëvalueerd (evaluatie en/of eindrapport)? Is bij het testen in toereikende mate, aandacht gegeven aan het testen van beveiligings- en controlemaatregelen? Heeft men de verzekering dat installatie van het nieuwe systeem (of systeemcomponenten) geen nadelige invloed heeft op bestaande systemen, in het bijzonder tijdens de drukste verwerkingstijden (zoals aan het einde van de maand)? Wordt er voorzien in cursussen Wordt direct na het installeren van de technische ICT-voorzieningen getest of deze voldoen aan de vooraf opgestelde specificaties? Besturingssysteem: Wordt bij wijzigingen in het besturingssysteem nagegaan welke consequenties die wijzigingen hebben voor de beveiliging van de applicaties? Worden er door de systeemprogrammering release notes opgesteld en tijdig gedistribueerd? Wordt in de release notes aandacht besteed aan de gevolgen voor beveiliging en controle (beveiligingsparagraaf)? Zijn de beveiligings- en controleconsequenties afgestemd met de beveiligings- respectievelijk de controlediscipline? Zijn er nood- en/of terugvalscenario s opgesteld? Omvat het jaarplan budgetten voor onderzoek en systeemtesten, naar aanleiding van wijzigingen in het besturingssysteem? Worden wijzigingen in het besturingssysteem tijdig aangekondigd, zodat de benodigde controles/testen voorafgaand aan de implementatie van de wijzigingen kunnen plaatsvinden? Bestaat er een testprocedure voor de beoordeling van wijzigingen in het besturingssysteem? Worden de continuïteitsplannen van de gemeente aangepast naar aanleiding van wijzigingen in het besturingssysteem? Softwarepakketten: Is getest of de aangebrachte wijzigingen de beveiligingsmaatregelen en integriteitsprocessen niet in gevaar brengen? Is er toestemming verkregen van de leverancier? Is het mogelijk om de wijzigingen door de leverancier te laten aanbrengen? Is het mogelijk om na de aanpassing nog nieuwe versies van de leverancier te gebruiken? 13

14 Zijn de aangebrachte wijzigingen zodanig gedocumenteerd dat zij opnieuw aangebracht kunnen worden? 2.3 Beveiligingsgoedkeuring Bij de beveiligingsgoedkeuring dient er op basis van de vastgestelde beveiligingseisen van de gemeente, nagegaan te worden of alle relevante beveiligingseisen en procedures worden nageleefd. Het is essentieel dat de gemeente haar beveiligingseisen bepaalt. Hierbij kunnen de volgende bronnen worden gebruikt om deze beveiligingseisen vast te stellen: De beoordeling van de risico s waar de gemeente aan blootgesteld is. Via een risicobeoordeling worden bedreigingen voor bedrijfsmiddelen vastgesteld en de kwetsbaarheid voor-, en de waarschijnlijkheid dat, een bepaalde bedreiging zich voordoet geëvalueerd en wordt de potentiële impact geschat. 13 De wettelijke en regelgevende eisen waaraan de gemeente, haar leveranciers en dienstverleners moeten voldoen. Beoordelen kwaliteitsanalyse en specificatie van beveiligingseisen Onderstaande vragenlijst kan door de gemeente worden gebruikt om de analyse en specificatie van beveiligingseisen te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status te maken. Is er tijdens de definitiestudie/het ontwerpen van nieuwe systemen of releases van bestaande systemen een analyse gemaakt van de beveiligingseisen? Is bij de definitie van beveiligingseisen naast de geautomatiseerde (ingebouwde) maatregelen ook aandacht besteed aan handmatige maatregelen (procedures)? Zijn er eisen geformuleerd ten aanzien van de waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening? Zijn er eisen geformuleerd ten aanzien van het voorkomen, opsporen en herstellen van storingen en incidenten? Zijn de beveiligingseisen gedefinieerd in alle relevante documentatie? Is er bij de analyse van de beveiligingseisen onder andere aandacht gegeven aan: o Logische toegangsbeveiliging (Identity & Access Management (IAM)) o Leveranciers toegang o Standaard wachtwoorden o Integratie met bestaande gemeentelijke systemen, bijvoorbeeld Single Sign-on (SSO) berichtenstandaarden en open standaarden. o Encryptie van gegevens o Het maken van reservekopieën o Interne en externe uitwijkvoorzieningen o Registratie van bijzondere gebeurtenissen (audit trails) o Mogelijkheden om de integriteit van vitale gegevens te controleren en te beschermen. o Het voldoen aan wettelijke/contractuele vereisten o Het voorkomen van ongeautoriseerde wijzigingen o Systeemupdates o Logging mogelijkheden 13 Zie hiervoor ook het operationele product Basis risico analyse methode gemeenten van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 14

15 o o Hardening De (mogelijk negatieve) impact op de werking (van de beveiliging) van bestaande systemen? 2.4 Technische goedkeuring Bij de technische goedkeuring dient door de ICT-afdeling gecontroleerd te worden of de nieuwe ICT-voorzieningen naar behoren zullen functioneren in de bestaande ICT-omgeving van de gemeente. Beoordelen van kwaliteit acceptatie van ICT-componenten Onderstaande vragenlijst kan door de gemeente worden gebruikt om de acceptatie van ICTcomponenten te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting te maken. Is er door de gemeente een projectorganisatie ingevoerd ten behoeve van selectie, acceptatie (inclusief testen) en implementatie (inclusief beveiliging) van nieuwe ICT-componenten? Zijn de eisen en de criteria ten aanzien van nieuwe ICT-componenten vastgelegd en goedgekeurd door het management? Is er voor het testen een testplan opgesteld? Zijn in het testplan de volgende onderwerpen opgenomen: o Acceptatiecriteria o Te testen onderdelen, met verwacht resultaat o Fout-, herstel- en herstartprocedures o Routinematige bedieningsprocedures Worden de testresultaten adequaat vastgelegd en geëvalueerd (evaluatie en/of eindrapport)? Is bij het testen in toereikende mate aandacht gegeven aan het testen van beveiligings- en controlemaatregelen? Heeft men de verzekering dat installatie van het nieuwe systeem (of systeemcomponenten) geen nadelige invloed heeft op bestaande systemen, in het bijzonder tijdens de drukste verwerkingstijden (zoals aan het einde van de maand)? Wordt er voorzien in cursussen voor bediening en gebruik van nieuwe systemen (of systeemcomponenten)? 15

16 Bijlage 1: Definities Bron: Back-out (terugvalscenario): Een activiteit die een dienst of een ander configuratie-item terugzet op een eerder uitgangspunt. Back-out wordt gebruikt als een vorm van herstel wanneer een wijziging of uitgifte niet lukt. Configuratiebeheer: Het proces dat verantwoordelijk is om te garanderen dat de bedrijfsmiddelen, die nodig zijn om diensten te leveren, op een adequate wijze worden beheerd, en dat accurate en betrouwbare informatie over die bedrijfsmiddelen beschikbaar is, wanneer en waar dat nodig is. Die informatie omvat details over hoe de bedrijfsmiddelen zijn samengesteld en details over relaties tussen bedrijfsmiddelen. Dienstenniveaubeheer: Het proces dat verantwoordelijk is om realiseerbare diensten niveau overeenkomsten af te spreken en garandeert dat daaraan wordt voldaan. Dienstenniveaubeheer is verantwoordelijk voor de garantie dat alle ICT-dienstenbeheerprocessen, operationele overeenkomsten en onderliggende contracten zijn afgestemd op de overeengekomen dienstenniveau doelen. Dienstenniveaubeheer bewaakt dienstenniveaus, rapporteert erover, evalueert de dienstverlening regelmatig met de klant en identificeert vereiste verbeteringen. De Diensten Niveau Overeenkomst (DNO): Een overeenkomst tussen een ICTdienstenaanbieder en een klant. De DNO beschrijft de ICT-dienst, legt dienstenniveaudoelen vast en definieert de verantwoordelijkheid van de ICT-dienstenaanbieder en de klant. Een afzonderlijke overeenkomst kan verschillende ICT-diensten of verscheidene klanten bevatten. Terugval/terugrol: Ondernomen acties voor herstel na een mislukte wijziging of uitgifte. Terugval kan back-out, activering van dienstcontinuïteitsplannen bevatten of andere acties om het bedrijfsproces te continueren. Uitgifte/release: Een of meer wijzigingen aan een ICT-dienst die samen worden gebouwd, getest en uitgerold. Een enkele uitgifte kan wijzigingen omvatten aan hardware, software, documentatie, processen en andere componenten. Wijziging: De toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. Het bereik is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items. Wijzigingsadviescommissie/Change Advisory Board (CAB): Een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een wijzigingsadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toeleveranciers). Wijzigingsbeheer: Het proces dat verantwoordelijk is voor het beheersen van de levenscyclus van alle wijzigingen, om verbeteringen met minimale verstoring van de ICT-diensten uit te voeren. 16

17 Wijzigingsplan/changeplan: Een document dat alle geautoriseerde wijzigingen en geplande implementatiegegevens met de geschatte datums van wijzigingen op langere termijn beschrijft. Een wijzigingsschema wordt soms een voorlopig wijzigingsschema (forward schedule of change) genoemd, terwijl het ook informatie over al geïmplementeerde wijzigingen bevat. Wijzigingsregistratie: Een registratie van de details van een wijziging. Elke wijzigingsregistratie documenteert de levenscyclus van een afzonderlijke wijziging. Een wijzigingsregistratie wordt gecreëerd voor elk wijzigingsverzoek dat binnenkomt, ook voor die verzoeken die later afgewezen worden. Wijzigingsregistraties verwijzen naar de configuratie-items die door de wijziging worden beïnvloed. Wijzigingsregistraties worden opgeslagen in het configuratiebeheersysteem of ergens anders in het diensten kennisbeheersysteem. 17

18 Bijlage 2: Literatuur/bronnen Voor deze publicatie is gebruik gemaakt van onderstaande bronnen: Titel: Praktijkgids Code voor informatiebeveiliging Wie: Ernst Oud Uitgeverij: Academic Service Datum: 2002 EAN: Titel: Basisnormen Beveiliging en Beheer ICT-infrastructuur Wie: Platform Informatiebeveiliging (opgegaan in Platform voor Informatiebeveiliging (PvIB)) Uitgeverij: LEMMA BV Datum: 2003 ISBN-10: (niet meer leverbaar) Link: https://www.pvib.nl/links&collectionid= Titel: Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Wie: gezamenlijk initiatief van de NOREA en het Platform voor Informatiebeveiliging (PvIB) Datum: 12 december 2007 Link: 1_NoreaPvIBhandreiking.pdf 18

19 INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN JS DEN HAAG POSTBUS GK DEN HAAG HELPDESK ALGEMEEN FAX

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0

Nadere informatie

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VEILIGE AFVOER VAN ICT- MIDDELEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Veilige afvoer van ICT-middelen

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

HANDREIKING PROCES WIJZIGINGSBEHEER

HANDREIKING PROCES WIJZIGINGSBEHEER HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer

Nadere informatie

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

HANDREIKING PROCES CONFIGURATIEBEHEER

HANDREIKING PROCES CONFIGURATIEBEHEER HANDREIKING PROCES CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces configuratiebeheer

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BACK-UP EN RECOVERY GEMEENTE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Back-up en Recovery Gemeente Versienummer

Nadere informatie

BEWERKERSOVEREENKOMST. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BEWERKERSOVEREENKOMST. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BEWERKERSOVEREENKOMST Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Bewerkersovereenkomst. Versienummer 1.0 Versiedatum

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Juli 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Maart 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de Lege

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Samenhang beheerprocessen

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers 1 Inleiding De Informatiebeveiligingsdienst voor gemeenten is een activiteit die in opdracht

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBILE DEVICE MANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobile Device Management Versienummer 1.0

Nadere informatie

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers 1 Inleiding De Informatiebeveiligingsdienst voor gemeenten is een activiteit die in opdracht

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) WACHTWOORDBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Wachtwoordbeleid Versienummer 1.1 Versiedatum Januari

Nadere informatie

Socofi Algemene voorwaarden

Socofi Algemene voorwaarden Socofi Algemene voorwaarden Module 5: Application Service Provision / SAAS / Computerservice Socofi Weboplossingen 1. Toepasselijkheid 1.1 De ICT~Office Voorwaarden bestaan uit de module Algemeen aangevuld

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

VOORBEELD SERVICE LEVEL AGREEMENT (SLA) MET AANDACHT VOOR INFORMATIEBEVEILIGING

VOORBEELD SERVICE LEVEL AGREEMENT (SLA) MET AANDACHT VOOR INFORMATIEBEVEILIGING VOORBEELD SERVICE LEVEL AGREEMENT (SLA) MET AANDACHT VOOR INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon

Nadere informatie

Change Management RFC Checklist

Change Management RFC Checklist Change Management Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : Pagina : I Colofon Titel Change Management Ondertitel Versie

Nadere informatie

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers 1. Inleiding In oktober 2011 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement INTRAMED Mei 2016 Versie 2.4 Inhoud Inhoud... 2 Inleiding... 3 Verantwoordelijkheden... 3 Normen voor onderhoud, reparatie en doorontwikkeling... 4 Normen voor klantenondersteuning...

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

Project Fasering Documentatie ICT Beheerder. Auteurs: Angelique Snippe Tymen Kuperus

Project Fasering Documentatie ICT Beheerder. Auteurs: Angelique Snippe Tymen Kuperus Project Fasering Documentatie ICT Beheerder Auteurs: Angelique Snippe Tymen Kuperus Datum: 31 Januari 2011 Kerntaak 1 Ontwikkelen van (onderdelen van) informatiesystemen De volgordelijke plaats van de

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams Samen Doen worden uitgevoerd in opdracht van het O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning

Nadere informatie

Voorwaarden Preproductieomgeving DigiD (Leverancier)

Voorwaarden Preproductieomgeving DigiD (Leverancier) Voorwaarden Preproductieomgeving DigiD (Leverancier) Datum 15 mei 2012 Versie 4.0 Artikel 1 Begrippen De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/187 ADVIES NR 13/77 VAN 3 SEPTEMBER 2013 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Ant: B Dit is het doel van het proces.

Ant: B Dit is het doel van het proces. In welk proces vormt het voor aanpassingen in de informatievoorziening beschikbaar gestelde budget een mandaat voor besluitvorming? A: Contractmanagement B: Financieel management C: Transitie D: Wijzigingenbeheer

Nadere informatie

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VOORBEELD BASELINETOETS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Voorbeeld Versienummer 1.0 Versiedatum Juni

Nadere informatie

Voorwaarden Repper-account

Voorwaarden Repper-account Voorwaarden Repper-account Versie 1 3 2014 Toepasselijkheid 1. De bepalingen in deze overeenkomst zijn onlosmakelijk verbonden met de algemene voorwaarden van leverancier. Bij tegenstrijdigheid tussen

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Ministerie van Infrastructuur en Milieu Beheerst naar beheer

Ministerie van Infrastructuur en Milieu Beheerst naar beheer Document D-2 Ministerie van Infrastructuur en Milieu Beheerst naar beheer Versie 1.0 Datum 15 juli 2014 Status Definitief Colofon Versie 1.0 Contactpersoon Paul Leunissen M 06-5250 6691 Paul.Leunissen@minienm.nl

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Onverminderd het in de Algemene Inkoopvoorwaarden Vakcentrale CNV bepaalde, gelden voor de inkoop van ICT(diensten) de volgende bepalingen:

Onverminderd het in de Algemene Inkoopvoorwaarden Vakcentrale CNV bepaalde, gelden voor de inkoop van ICT(diensten) de volgende bepalingen: Nadere bepalingen inzake de inkoop van ICT(diensten) 2012. Onverminderd het in de Algemene Inkoopvoorwaarden Vakcentrale CNV bepaalde, gelden voor de inkoop van ICT(diensten) de volgende bepalingen: Artikel

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten 11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Aanvullende Voorwaarden

Aanvullende Voorwaarden Aanvullende Voorwaarden Onlinediensten augustus 2011 aanvullende voorwaarden Onlinediensten KPN B.V. versie augustus 2011 I n H o u d 1: BEGRIPSBEPALINGEN... 2 2: TOEPASSELIJKHEID EN TOTSTANDKOMING OVEREENKOMST...

Nadere informatie

Handleiding voor aansluiten op DigiD

Handleiding voor aansluiten op DigiD Handleiding voor aansluiten op DigiD Versie 4.2.2 Januari 2015 Colofon Projectnaam Contactpersoon Organisatie DigiD Servicecentrum Logius Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl

Nadere informatie