1. Informatie. 2. Modules en proces. 3. Inhoud (onderwerpen) Bedrijfsleven Onderwijs Overheden Zorg

Transcriptie

1 Productinformatie NEN-ISO/IEC (nl): 2013+C1+C2: 2015 (nl) Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging SECTOR Bedrijfsleven Onderwijs Overheden Zorg TYPE Informatiemanagement, Informatiebeveiliging, Kwaliteitsmanagement & systemen, Riskmanagement BRON

2 PRODUCTINFORMATIE NEN-ISO/IEC (nl): 2013+C1+C2: 2015 (nl) Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging INHOUDSOPGAVE 1. Informatie 2. Modules en proces 3. Inhoud (onderwerpen) SECTOR Bedrijfsleven Onderwijs Overheden Zorg TYPE Informatiemanagement, Informatiebeveiliging, Kwaliteitsmanagement & systemen, Riskmanagement BRON BESCHRIJVING Portfolio (uw werkruimte) inclusief de officiële norm, eisen met richtlijnen voor gebruik. Volledige inhoud, indeling en normstelling handzaam geordend. Yucan maakt het eenvoudig, toegankelijk en beheersbaar. Zodat u het zelf kunt. GESELECTEERDE MODULES 01. Modules: Evaluatie (looptijd 1 jaar) PRIJS 585,00 (excl. btw) incl. 25 gebruikers

3 1. Informatie ISO (2015) in Yucan U start uw eigen online werkruimte inclusief de officiële norm. Met de implementatie van ISO binnen Yucan heeft u uw beheersmaatregelen op het gebied van informatiebeveiliging direct op orde. In de voorbereiding van uw accreditatie en vooral ook als de omgeving waarin u uw kwaliteitszaken blijvend meet, borgt en beheert. Als krachtige onderlegger voor verbetering, groei en succes! Yucan biedt u alle instrumenten om goed en structureel te werken met ISO U en uw collega s kunnen Yucan alleen of samenwerkend en naar keuze inzetten: om te zien waar u staat (evaluatie), voor een accreditatieproces (audit), om risico- en impactanalyses te maken (ontwikkelen), behandellijsten en acties te beheren (ontwikkelen), en projecten en plannen te beheren (ontwikkelen), Documentenbeheer (standaard beschikbaar), Rapportage en verslaglegging (standaard beschikbaar). Het proces van meting, verbetering en ontwikkeling tot en met borging wordt eenvoudig en beheersbaar. Op ieder moment en blijvend beschikbaar voor u en uw collega's. Jaar in jaar uit. Uw input blijft voor u bewaard. Doelmatige en gebruiksvriendelijke processen Inclusief alle benodigde instrumenten De inhoud van de norm is handzaam en doelmatig voor u opgedeeld, De normbeschrijvingen zijn toegankelijk gesteld, Er wordt informatieve en ondersteunende informatie geboden, U toetst op de eisen en kunt toelichtingen en verbeterpunten benoemen, Direct documenten toevoegen die uw conclusies onderbouwen of als bewijsmateriaal dienen, Inclusief geautomatiseerde rapportages. Start een gratis demo en laat u adviseren! Start een gratis demo om te zien wat uw inzet van Yucan voor u kan betekenen. Yucan biedt u veel en is zeer volledig. Neem daarom geheel kosteloos contact op met één van onze adviseurs om uw demo samen te doorlopen. Binnen 10 minuten heeft u een totaal beeld, u ziet direct hoe u alles rondom uw ISO implementatie doelmatig en zelfstandig organiseert. Tel: Van NEN NEN-ISO/IEC C1+C2 geeft richtlijnen voor informatiebeveiligingsnormen voor organisaties en toepassingen inzake informatiebeveiligingsbeheer, waaronder de selectie, implementatie en het

4 beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico s van de organisatie gelden. Deze Internationale Norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om: a. beheersmaatregelen te selecteren binnen het implementatieproces van een managementsysteem voor informatiebeveiliging gebaseerd op ISO/IEC [10]; b. algemeen aanvaarde beheersmaatregelen inzake informatiebeveiliging te implementeren; c. hun eigen richtlijnen voor informatiebeveiligingsbeheer te ontwikkelen. Deze Internationale Norm is ontworpen voor organisaties om te worden gebruikt als referentie voor het selecteren van beheersmaatregelen binnen het implementatieproces van een managementsysteem voor informatiebeveiliging (ISMS) gebaseerd op ISO/IEC [10] of als een leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging implementeren. Deze norm is ook bedoeld om te worden gebruikt voor het ontwikkelen van industrie- en organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer die rekening houden met hun specifieke informatiebeveiligingsrisico s. Organisaties van elk type en elke omvang (met inbegrip van openbare en particuliere, commerciële en nonprofitorganisaties) verzamelen, verwerken, bewaren en brengen informatie in vele vormen over, waaronder elektronisch, fysiek en mondeling (bijv. via gesprekken en presentaties). Alle eisen in deze internationale norm zijn algemeen en bedoeld om toepasbaar te zijn op elke organisatie, ongeacht haar type of omvang of de producten en diensten die zij levert. Binnen uw account werken met meerdere normen en portfolio's Binnen uw account kunt u voor het werken met iedere afzonderlijke norm steeds een portfolio (uw werkruimte) activeren. Zo heeft u alles per norm georganiseerd. U kunt er voor kiezen binnen één portfolio samen te werken aan een norm. Ook kunt u voor ieder afzonderlijk deel van uw organisatie een eigen portfolio met de betreffende norm activeren. Per portfolio of door meerdere portfolio's te activeren kunt u andere betrokkenen aanwijzen en het beheer en de opvolging in uw organisatie spreiden. U en uw collega's kunnen gelijktijdig bij meerdere portfolio's betrokken zijn terwijl de regie centraal kan blijven. Inhoud Bekijk de inhoud via de betreffende tab hierboven. Werkwijze kiezen Kies een werkwijze door onder de tab 'Modules en proces' een combinatie van modules te kiezen. U kunt compact beginnen en altijd uitbreiden. U ziet daar het gekozen proces en of deze het beste bij uw doelstellingen past. U leest in het kort wat u in de verschillende modules kunt doen en wat uw output is. Rapportage Met een druk op de knop heeft u op ieder gewenst moment de beschikking over allerhande keurig verzorgde rapportages (scherm en pdf). Van de uitkomsten uit een enkel portfolio tot en met aggregaties uit verschillende portfolio s. Inclusief behandellijsten. projectoverzichten en jaarplannen.

5 Meten is weten, maar dan Binnen Yucan kunt u kiezen voor alleen een evaluatie. U weet dan waar u staat. Door ook te kiezen voor de ontwikkelmodule geeft u snel, eenvoudig en structureel vorm aan uw ontwikkeling en verbetering. U kunt dit ook later doen d.m.v. een upgrade.

6 2. Modules en proces Proces in beeld

7 Evaluatie individueel Evaluatie - Conclusie U evalueert de in het portfolio aangeboden onderwerpen. U beantwoordt de vragen, geeft eventueel toelichtingen en benoemd verbeterpunten. Zo nodig voegt u per onderwerp onderbouwende documenten (bewijsstukken) toe. Conclusies uit een eventuele eerdere periode of (teamevaluatie) input van deelnemers aan de peiling kunt u met een druk op de knop kopiëren. Door u benoemde verbeterpunten worden - indien de ontwikkelmodule wordt gebruikt - ook automatisch in uw behandellijst getoond. U hebt de beschikking over uitgebreide rapportage van uw conclusies. Heeft u meerdere portfolio s? Dan kunt u de gegevens in rapporten combineren. Uw gegevens blijven bewaard en kunnen in een volgende periode eenvoudig worden hergebruikt.

8 3. Inhoud NEN-ISO/IEC C1+C2 (nl): 2015 Informatietechnologie - Beveiligingstechnieken - Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging Voorwoord Voorwoord ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission) vormen tezamen een stelsel dat gespecialiseerd is in wereldwijde normalisatie. Nationale organisaties die lid zijn van ISO of IEC participeren in het ontwikkelen van Internationale Normen via technische commissies die door de desbetreffende organisatie zijn ingesteld ten behoeve van de normalisatie in specifieke technische werkvelden. Technische commissies van ISO en IEC werken samen bij onderwerpen waarin zij een gemeenschappelijk belang hebben. Andere internationale organisaties, zowel overheidsinstanties als ngo s, nemen, in samenwerking met ISO en IEC, ook deel aan deze werkzaamheden. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Internationale Normen worden opgesteld in overeenstemming met de voorschriften die zijn opgenomen in de ISO/IEC-richtlijnen, deel 2. ISO/IEC is opgesteld door ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques. Er wordt op gewezen dat sommige delen van dit document mogelijk beschermd zijn door patentrechten. ISO is niet verantwoordelijk voor identificatie van dergelijke patentrechten. Deze tweede versie herroept en vervangt de eerste versie (ISO/IEC 27002:2005), die technisch en structureel is herzien. Inleiding 0.1 Achtergrond en context Deze Internationale Norm is ontworpen voor organisaties om te worden gebruikt als referentie voor het selecteren van beheersmaatregelen binnen het implementatieproces van een managementsysteem voor informatiebeveiliging (ISMS) gebaseerd op ISO/IEC [10] of als een leidraad voor organisaties die algemeen aanvaarde beheersmaatregelen op het gebied van informatiebeveiliging implementeren. Deze norm is ook bedoeld om te worden gebruikt voor het ontwikkelen van industrie- en organisatiespecifieke richtlijnen voor informatiebeveiligingsbeheer die rekening houden met hun specifieke informatiebeveiligingsrisico s. Organisaties van elk type en elke omvang (met inbegrip van openbare en particuliere, commerciële en non-profitorganisaties) verzamelen, verwerken, bewaren en brengen informatie in vele vormen over, waaronder elektronisch, fysiek en mondeling (bijv. via gesprekken en presentaties). De waarde van informatie is niet beperkt tot het geschreven woord, getallen en figuren: kennis, concepten, ideeën en merken zijn voorbeelden van immateriële vormen van informatie. In een

9 onderling verbonden wereld zijn informatie- en gerelateerde processen, systemen, netwerken en medewerkers die betrokken zijn bij het uitvoeren, behandelen en beschermen ervan, bedrijfsmiddelen die, evenals andere belangrijke bedrijfsmiddelen, waardevol zijn voor de bedrijfsvoering van een organisatie en daarom bescherming tegen diverse risico s verdienen of vereisen. Bedrijfsmiddelen zijn onderhevig aan opzettelijke en onopzettelijke bedreigingen, terwijl de gerelateerde processen, systemen, netwerken en personen inherente kwetsbaarheden. Wijzigingen in bedrijfsprocessen en -systemen, of andere externe wijzigingen (zoals nieuwe wetten en regelgeving) kunnen nieuwe informatiebeveiligingsrisico s met zich mee brengen. Daardoor en gezien de veelheid van manieren waarop bedreigingen kwetsbaarheden kunnen benutten om de organisatie schade toe te brengen, zijn informatiebeveiligingsrisico s altijd aanwezig. Doeltreffende informatiebeveiliging vermindert deze risico s door de organisatie te beschermen tegen bedreigingen en kwetsbaarheden, en verkleint de impact op haar bedrijfsmiddelen. Informatiebeveiliging wordt bereikt door een passende reeks beheersmaatregelen te implementeren met inbegrip van beleid, processen, procedures, organisatiestructuren en software- en hardwarefuncties. Om te bewerkstelligen dat de specifieke veiligheids- en bedrijfsdoelstellingen van de organisatie worden gehaald, is het noodzakelijk dat deze beheersmaatregelen worden vastgesteld, geïmplementeerd, gemonitord, beoordeeld en verbeterd, waar nodig. Een ISMS zoals omschreven in ISO/IEC [10] benadert de informatiebeveiligingsrisico s van de organisatie holistisch en gecoördineerd met het doel om een allesomvattende reeks beheersmaatregelen voor informatiebeveiliging te implementeren onder het algehele kader van een samenhangend managementsysteem. Veel informatiesystemen zijn niet ontworpen om te zijn beveiligd in de zin van ISO/IEC [10] en de voorliggende norm. De beveiliging die kan worden bereikt via technische middelen is beperkt en behoort te worden ondersteund door passend beheer en passende procedures. Het bepalen van de passende beheersmaatregelen vereist zorgvuldige planning en aandacht voor details. Een succesvol ISMS vereist de inzet van alle medewerkers binnen de organisatie. Ook participatie van aandeelhouders, leveranciers of andere externe partijen kan vereist zijn. Ook kan specialistisch advies van externe partijen nodig zijn. In algemenere zin geeft doeltreffende informatiebeveiliging de directie en andere belanghebbenden de zekerheid dat de bedrijfsmiddelen van de organisatie redelijk veilig en tegen schade beschermd zijn, waardoor de beveiliging de bedrijfsuitvoering bevordert. 0.2 Informatiebeveiligingseiseneiligingseisen Het is essentieel dat een organisatie haar beveiligingseisen bepaalt. Er zijn drie belangrijke bronnen voor beveiligingseisen: 1. de beoordeling van de risico s waar de organisatie aan blootgesteld is, rekening houdend met de algehele bedrijfsstrategie en -doelstellingen. Via een risicobeoordeling worden bedreigingen voor bedrijfsmiddelen vastgesteld, de kwetsbaarheid voor en de waarschijnlijkheid dat een bepaalde bedreiging zich voordoet, geëvalueerd en wordt de potentiële impact ingeschat. 2. de wettelijke, statutaire, regelgevende en contractuele eisen waaraan een organisatie, haar handelspartners, leveranciers en dienstverleners, en hun sociaal-culturele omgeving, moeten voldoen. 3. de reeks van principes, doelstellingen en bedrijfseisen die gelden voor het hanteren, verwerken, bewaren, communiceren en archiveren van informatie die een organisatie heeft ontwikkeld om haar bedrijfsvoering te ondersteunen. Hulpmiddelen die worden gebruikt voor het implementeren van beheersmaatregelen behoren te worden afgewogen tegen de bedrijfsschade die waarschijnlijk ontstaat door beveiligingsproblemen

10 als dergelijke beheersmaatregelen niet worden genomen. De resultaten van een risicobeoordeling dienen als richtlijn en helpen de directie bij het bepalen van de passende actie en de prioriteiten voor het beheer van informatiebeveiligingsrisico s en voor het implementeren van beheersmaatregelen die zijn gekozen ter bescherming tegen deze risico s. ISO/IEC [11] biedt een richtlijn voor het risicobeheer van informatiebeveiliging, met inbegrip van advies over risicobeoordeling, -behandeling, accepteren van risico s, communiceren over risico s, monitoren en opnieuw beoordelen van risico. 0.3 Beheersmaatregelen selecterenen Beheersmaatregelen kunnen worden geselecteerd uit deze norm of uit andere overzichten van beheersmaatregelen. Ook kunnen nieuwe beheersmaatregelen worden ontworpen die voldoen aan specifieke behoeften indien nodig. De selectie van beheersmaatregelen hangt af van de beslissingen van de organisatie die zijn gebaseerd op de criteria voor het accepteren van risico s, de opties voor het omgaan met risico s en de algemene benadering van risicobeheer die in de organisatie wordt toegepast, en behoort ook in overeenstemming te zijn met alle relevante nationale en internationale wet- en regelgeving. De selectie van beheersmaatregelen hangt ook samen met de manier waarop deze beheersmaatregelen op elkaar inwerken om een diepteverdediging te bewerkstelligen. Een aantal van de beheersmaatregelen in deze norm kan worden beschouwd als richtlijn voor informatiebeveiligingsbeheer die voor de meeste organisaties van toepassing is. De beheersmaatregelen worden hierna gedetailleerder uiteengezet samen met richtlijnen voor implementatie. Meer informatie over het selecteren van beheersmaatregelen en andere opties voor het omgaan met risico s is te vinden in ISO/IEC [11]. 0.4 Eigen richtlijnen ontwikkelen Deze Internationale Norm kan worden beschouwd als uitgangspunt voor het ontwikkelen van organisatiespecifieke richtlijnen. Mogelijk zijn niet alle beheersmaatregelen en richtlijnen in deze praktijkrichtlijn van toepassing. Voorts zijn mogelijk aanvullende beheersmaatregelen en richtlijnen vereist die niet in deze norm zijn opgenomen. Als er documenten zijn ontwikkeld die aanvullende richtlijnen of beheersmaatregelen bevatten, kan het, voor zover van toepassing, nuttig zijn kruisverwijzingen op te nemen naar hoofdstukken in deze norm om het voor auditoren en zakenpartners gemakkelijker te maken om op naleving te controleren. 0.5 Overwegingen egingen betreffende de levenscyclusclus Informatie heeft een natuurlijke levenscyclus, van aanmaken en ontstaan, via opslag, verwerking, gebruik en verzending tot uiteindelijk vernietiging of waardeverlies. De waarde van en risico s voor bedrijfsmiddelen kunnen tijdens hun levenscyclus variëren (bijvoorbeeld ongeoorloofde bekendmaking of diefstal van de financiële rekeningen van een bedrijf is veel minder belangrijk nadat deze officieel zijn gepubliceerd), maar informatiebeveiliging blijft tot op zekere hoogte in alle stadia belangrijk. Informatiesystemen hebben levenscycli waarbinnen ze worden gemaakt, gespecificeerd, ontworpen, ontwikkeld, getest, geïmplementeerd, gebruikt, onderhouden en ten slotte buiten bedrijf worden gesteld en verwijderd. In elk stadium behoort rekening te worden gehouden met informatiebeveiliging. Nieuwe systeemontwikkelingen en wijzigingen aan bestaande systemen bieden organisaties kansen om beheersmaatregelen te actualiseren en te verbeteren, rekening houdend met feitelijke incidenten en huidige en verwachte informatiebeveiligingsrisico s.

11 0.6 Gerelateerde normen Terwijl deze norm richtlijnen biedt voor een brede waaier aan beheersmaatregelen voor informatiebeveiliging die in veel verschillende organisaties gangbaar zijn, bieden de overige normen in de ISO/IEC familie aanvullende eisen of advies met betrekking tot andere aspecten van het algehele proces van informatiebeveiligingsbeheer. Zie ISO/IEC voor een algemene introductie van beide ISMS en en de normenfamilie. ISO/IEC biedt een glossarium dat de meeste in de ISO/IEC normenfamilie gebruikte termen formeel definieert, en het onderwerp, toepassingsgebied en de doelstellingen voor elk onderdeel van de familie beschrijft. 1. Onderwerp en toepassingsgebied Onderwerp erp en toepassingsgebied Deze Internationale Norm geeft richtlijnen voor informatiebeveiligingsnormen voor organisaties en toepassingen inzake informatiebeveiligingsbeheer, waaronder de selectie, implementatie en het beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico s van de organisatie gelden. Deze Internationale Norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om: beheersmaatregelen te selecteren binnen het implementatieproces van een managementsysteem voor informatiebeveiliging gebaseerd op ISO/IEC [10]. algemeen aanvaarde beheersmaatregelen inzake informatiebeveiliging te implementeren. hun eigen richtlijnen voor informatiebeveiligingsbeheer te ontwikkelen. 2. Normatieve verwijzingen Normatieve e verwijzingen De volgende documenten, waarnaar als geheel of voor een onderdeel, in dit document normatief is verwezen, zijn onmisbaar voor de toepassing ervan. Bij gedateerde verwijzingen is alleen de aangehaalde uitgave van toepassing. Bij ongedateerde verwijzingen is de laatste uitgave van het document (met inbegrip van eventuele wijzigings- en correctiebladen) waarnaar is verwezen van toepassing. ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary 3. Termen en definities Termen en definities Voor de toepassing van dit document gelden de termen en definities zoals opgenomen in ISO/IEC

12 4. Structuur van deze norm Structuur tuur van deze e norm Deze norm bevat 14 clausules over beheersmaatregelen die tezamen totaal 35 hoofdbeveiligingscategorieën en 114 beheersmaatregelen bevatten. 4.1 Hoofdstukken Elk hoofdstuk dat beheersmaatregelen inzake beveiliging definieert, bevat een of meer hoofdbeveiligingscategorieën. De volgorde van de hoofdstukken in deze norm zegt niets over hun belang. Afhankelijk van de omstandigheden kunnen beheersmaatregelen uit een of uit alle hoofdstukken belangrijk zijn. Daarom behoort elke organisatie die deze norm toepast geschikte beheersmaatregelen, hun belang en hun toepassing voor individuele bedrijfsprocessen te bepalen. Verder staan opsommingen in deze norm niet in volgorde van prioriteit. 4.2 Categorieën beheersmaatregelen Elke hoofdbeveiligingscategorie beheersmaatregelen bevat: een beheersdoelstelling die aangeeft wat moet worden bereikt; een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. Omschrijvingen van de beheersmaatregelen zijn als volgt opgebouwd: Beheersmaatregel Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijn Biedt meer gedetailleerde informatie om de implementatie van de beheersmaatregel te ondersteunen en om te voldoen aan de doelstelling van de beheersmaatregel. De richtlijnen zijn mogelijk niet in alle situaties geheel passend of toereikend en voldoen mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie. Overige informatie Biedt meer informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen. Indien er geen overige informatie wordt geboden, wordt dit onderdeel weggelaten. 5. Eisen: Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiligingeiliging Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.

13 5.1.1 Beleidsregels voor informatiebeveiliging Beheersmaatregel: Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Toelichting Implementatierichtlijn: Organisaties behoren op het hoogste niveau een 'informatiebeveiligingsbeleid' te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken. Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit: 1. bedrijfsstrategie; 2. wet- en regelgeving en contracten; 3. huidige en verwachte bedreigingen inzake informatiebeveiliging. Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende: 1. de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging; 2. toekenning van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen; 3. processen voor het behandelen van afwijkingen en uitzonderingen. Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stelt en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen. Voorbeelden van dergelijke beleidsonderwerpen zijn: toegangsbeveiliging (zie hoofdstuk 9); classificatie van informatie (en verwerking) (zie 8.2); fysieke en omgevingsbeveiliging (zie hoofdstuk 11); onderwerpen die gericht zijn op de eindgebruiker zoals: 1) aanvaardbaar gebruik van bedrijfsmiddelen (zie ); 2) 'clear desk' en 'clear screen' (zie ); 3) informatietransport (zie ); 4) mobiele apparatuur en telewerken (zie 6.2); 5) beperkingen t.a.v. software-installaties en -gebruik (zie ); back-up (zie 12.3); informatietransport (zie 13.2); bescherming tegen malware (zie 12.2); beheer van technische kwetsbaarheden (zie ); cryptografische beheersmaatregelen (zie hoofdstuk 10); communicatiebeveiliging (zie hoofdstuk 13); privacy en bescherming van persoonsgegevens (zie ); leveranciersrelaties (zie hoofdstuk 15).

14 Deze beleidsregels behoren te worden gecommuniceerd aan medewerkers en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een 'bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging' (zie 7.2.2). Overige informatie: De behoefte aan interne beleidsregels voor informatiebeveiliging varieert tussen organisaties. Interne beleidsregels zijn vooral nuttig in grote en complexe organisaties waar de personen die de verwachte niveaus van beheersing definiëren en goedkeuren, zijn gescheiden van de personen die de beheersmaatregelen implementeren, of in situaties waarin beleidsregels gelden voor veel verschillende personen of functies in de organisatie. Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake 'informatiebeveiligingsbeleid' of als een reeks individuele maar gerelateerde documenten. Als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie bekend wordt. Sommige organisaties gebruiken andere termen voor deze beleidsdocumenten, zoals 'normen', 'richtlijnen' of 'regels'. Geef onderstaand aan in welke mate wordt voldaan en licht uw antwoord zo nodig toe. Voeg documenten toe waaruit uw beantwoording blijkt. Ziet u verbeterpunten? Benoem deze hier. In de planmodule kunt u een risico analyse doen, prioriteren en te nemen stappen definiëren. a. Ten behoeve van informatiebeveiliging, definieert de organisatie een reeks beleidsregels. b. De directie keurt de beleidsregels goed. c. De directie publiceert de beleidsregels. d. De beleidsregels behandelen eisen die voortkomen uit de bedrijfsstrategie. e. De beleidsregels behandelen eisen die voortkomen uit wet- en regelgeving. f. De beleidsregels behandelen eisen die voortkomen uit contracten. g. De beleidsregels behandelen eisen die voortkomen uit huidige en verwachte bedreigingen inzake informatiebeveiliging. h. Het informatiebeveiligingsbeleid bevat uiteenzettingen betreffende de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging. i. Het informatiebeveiligingsbeleid bevat uiteenzettingen betreffende de toekenning van algemene en specifieke verantwoordelijkheden voor VOLDOET VOLDOET NIET VOLDOET VOLDOET NIET VAN BEPERKT GROTENDEELS GEHEEL TOEPASSING

15 informatiebeveiligingsbeheer aan gedefinieerde rollen. j. Het informatiebeveiligingsbeleid bevat uiteenzettingen betreffende de processen voor het behandelen van afwijkingen en uitzonderingen. k. Op een lager niveau wordt het informatiebeveiligingsbeleid ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stelt en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen. l. De organisatie communiceert de beleidsregels aan haar medewerkers in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging (zie 7.2.2). m De organisatie communiceert de beleidsregels aan en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer. n. De organisatie let erop dat geen vertrouwelijke informatie bekend wordt, als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid Beoordeling van het informatiebeveiligingsbeleid Beheersmaatregel: Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. Toelichting Implementatierichtlijn: Elk beleid behoort een eigenaar te hebben die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. De beoordeling behoort mede de beoordeling te omvatten van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving. De beoordeling van beleidsregels voor informatiebeveiliging behoort rekening te houden met de resultaten van directiebeoordelingen. Voor een herzien beleid behoort de goedkeuring van de directie te worden verkregen.

16 Geef onderstaand aan in welke mate wordt voldaan en licht uw antwoord zo nodig toe. Voeg documenten toe waaruit uw beantwoording blijkt. Ziet u verbeterpunten? Benoem deze hier. In de planmodule kunt u een risico analyse doen, prioriteren en te nemen stappen definiëren. a. De organisatie beoordeelt het beleid voor informatiebeveiliging met geplande tussenpozen of als zich significante veranderingen voordoen, om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. b. Elk beleid heeft een eigenaar die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. c. De beoordeling omvat mede de beoordeling van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving. d. De beoordeling van beleidsregels voor informatiebeveiliging is rekening gehouden met de resultaten van directiebeoordelingen. e. Voor een herzien beleid is de goedkeuring van de directie verkregen. VOLDOET VOLDOET NIET VOLDOET VOLDOET NIET VAN BEPERKT GROTENDEELS GEHEEL TOEPASSING 6. Eisen: Organiseren van informatiebeveiliging 6.1 Interne organisatie Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen Rollen en verantwoordelijkheden bij informatiebeveiliging Beheersmaatregel: Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. Implementatierichtlijn: Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke informatiebeveiligingsprocessen behoren te worden geïdentificeerd. Verantwoordelijkheden behoren te worden gedefinieerd voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende

17 risico's. Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteiten. Lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen behoren te worden gedefinieerd. Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend mogen beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht. Vastgelegd behoort te worden welke personen voor welke gebieden verantwoordelijk zijn. Het volgende behoort in het bijzonder te gebeuren: de bedrijfsmiddelen en informatiebeveiligingsprocessen behoren te worden geïdentificeerd en gedefinieerd; de entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces behoort te worden bepaald en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd (zie 8.1.2); autorisatieniveaus behoren te worden gedefinieerd en gedocumenteerd; om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen behoren de benoemde personen op het desbetreffende gebied competent te zijn en behoort hun de mogelijkheden te worden geboden om de ontwikkelingen bij te houden; coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties behoren te worden geïdentificeerd en gedocumenteerd. Toelichting Overige informatie: Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van beheersmaatregelen te ondersteunen. Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan. Geef onderstaand aan in welke mate wordt voldaan en licht uw antwoord zo nodig toe. Voeg documenten toe waaruit uw beantwoording blijkt. Ziet u verbeterpunten? Benoem deze hier. In de planmodule kunt u een risico analyse doen, prioriteren en te nemen stappen definiëren. a. Alle verantwoordelijkheden bij informatiebeveiliging zijn gedefinieerd. b. De organisatie heeft alle verantwoordelijkheden bij informatiebeveiliging toegewezen. c. Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, is gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). d. Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen zijn geïdentificeerd. VOLDOET VOLDOET NIET VOLDOET VOLDOET NIET VAN BEPERKT GROTENDEELS GEHEEL TOEPASSING

18 e. Verantwoordelijkheden voor het uitvoeren van specifieke informatiebeveiligingsprocessen zijn geïdentificeerd. f. De organisatie definieert verantwoordelijkheden voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende risico s. g. Deze verantwoordelijkheden zijn waar nodig aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteiten. h. De organisatie heeft lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen gedefinieerd. i. De organisatie heeft lokale verantwoordelijkheden voor het uitvoeren van specifieke beveiligingsprocessen gedefinieerd. j. Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend, blijven verantwoordelijk en stellen vast dat gedelegeerde taken correct zijn verricht. k. De organisatie legt vast welke personen voor welke gebieden verantwoordelijk zijn. l. De bedrijfsmiddelen en informatiebeveiligingsprocessen zijn geïdentificeerd. m. De bedrijfsmiddelen en informatiebeveiligingsprocessen zijn gedefinieerd. n. De entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces is bepaald (zie 8.1.2). o. De details van deze verantwoordelijkheid zijn gedocumenteerd (zie 8.1.2). p. Autorisatieniveaus zijn gedefinieerd. q. Autorisatieniveaus zijn gedocumenteerd. r. Om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen, zijn de benoemde personen op het desbetreffende gebied competent. s. De organisatie biedt benoemde personen de mogelijkheden om de ontwikkelingen bij te houden.

19 t. Coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties zijn geïdentificeerd. u. Coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties zijn gedocumenteerd Scheiding van taken Beheersmaatregel: Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Implementatierichtlijn: Er behoort op te worden gelet dat geen enkele persoon ongemerkt of zonder autorisatie toegang kan krijgen tot bedrijfsmiddelen, ze kan wijzigen of gebruiken. Het initiëren van een gebeurtenis behoort te worden gescheiden van de autorisatie ervan. Bij het ontwerpen van beheersmaatregelen behoort rekening te worden gehouden met de mogelijkheid van samenzwering. Voor kleine organisaties kan het moeilijk zijn om taken te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar is. Wanneer het moeilijk is om taken te scheiden, behoren andere beheersmaatregelen zoals het monitoren van activiteiten, audittrajecten en supervisie door de directie te worden overwogen. Toelichting Overige informatie: Scheiding van taken is een methode om het risico op toevallig of opzettelijk misbruik van bedrijfsmiddelen van een organisatie te verminderen. Geef onderstaand aan in welke mate wordt voldaan en licht uw antwoord zo nodig toe. Voeg documenten toe waaruit uw beantwoording blijkt. Ziet u verbeterpunten? Benoem deze hier. In de planmodule kunt u een risico analyse doen, prioriteren en te nemen stappen definiëren. a. Conflicterende taken en verantwoordelijkheden zijn gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. b. De organisatie let erop dat geen enkele persoon ongemerkt of zonder autorisatie toegang kan krijgen tot bedrijfsmiddelen, ze kan wijzigen of gebruiken. c. Het initiëren van een gebeurtenis is gescheiden van de autorisatie ervan. d. Bij het ontwerpen van beheersmaatregelen houdt de organisatie rekening met de mogelijkheid van samenzwering. VOLDOET VOLDOET NIET VOLDOET VOLDOET NIET VAN BEPERKT GROTENDEELS GEHEEL TOEPASSING

20 e. Voor zover dit mogelijk en haalbaar is, past de organisatie het principe toe om taken te scheiden (dit kan voor kleine organisaties moeilijk zijn). f. Wanneer het moeilijk is om taken te scheiden, overweegt de organisatie andere beheersmaatregelen zoals het monitoren van activiteiten, audittrajecten en supervisie door de directie Contact met overheidsinstanties Contact met speciale belangengroepen Informatiebeveiliging in projectbeheer 6.2 Mobiele apparatuur atuur en telewerkenen Doelstelling: Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur Beleid voor mobiele apparatuur Beheersmaatregel: Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico's die het gebruik van mobiele apparatuur met zich meebrengt te beheren. Toelichting Implementatierichtlijn: Bij het gebruikmaken van mobiele apparatuur behoort er speciaal op te worden gelet dat bedrijfsinformatie niet wordt gecompromitteerd. Het beleid voor mobiele apparatuur behoort rekening te houden met de risico's van werken met mobiele apparatuur in onbeschermde omgevingen. Het beleid voor mobiele apparatuur behoort onderstaande aspecten e t/m o in overweging te nemen: Voorzichtigheid is geboden bij het gebruik van mobiele apparatuur in openbare ruimten, vergaderruimten en andere onbeschermde locaties. Er behoort beveiliging te zijn om onbevoegde toegang tot of openbaarmaking van de op deze apparaten opgeslagen of verwerkte informatie te voorkomen, bijv. door gebruik te maken van cryptografische technieken (zie hoofdstuk 10) en het gebruik van geheime authenticatie-informatie afdwingen (zie 9.2.4). Mobiele apparatuur behoort ook fysiek te zijn beveiligd tegen diefstal, in het bijzonder wanneer deze wordt achtergelaten in bijv. een auto of andere vervoermiddelen, in hotelkamers, conferentieen ontmoetingscentra. Er behoort een speciale procedure te worden vastgesteld voor diefstal, verlies van mobiele apparatuur e.d. waarin rekening is gehouden met juridische, verzekerings- en andere veiligheidseisen die in de organisatie gelden. Apparatuur die belangrijke, gevoelige of essentiële bedrijfsinformatie draagt, behoort niet onbewaakt te worden achtergelaten, en behoort, waar mogelijk, fysiek achter slot en grendel te worden opgeborgen of er behoren speciale sloten te worden gebruikt om de apparatuur te beveiligen.

21 Medewerkers die mobiele apparatuur gebruiken, behoren te worden getraind zodat ze zich bewust worden van de extra risico's die deze manier van werken met zich meebrengt en ze weten welke beheersmaatregelen behoren te worden geïmplementeerd. Als het beleid voor mobiele apparatuur toestaat dat medewerkers gebruikmaken van mobiele apparatuur die hun eigendom is, behoren het beleid en gerelateerde veiligheidsmaatregelen ook de volgende aspecten in overweging te nemen: scheiding van privé- en zakelijk gebruik van de apparatuur, met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat; toegang verschaffen tot bedrijfsinformatie alleen nadat gebruikers een eindgebruikersovereenkomst hebben ondertekend waarin zij hun verplichtingen bevestigen (fysieke beveiliging, updaten van software enz.), afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of verlies van het apparaat of indien zij niet langer geautoriseerd zijn. Dit beleid moet rekening houden met de privacywetgeving. Overige informatie: Draadloze verbindingen van mobiele apparatuur zijn gelijksoortig aan andere vormen van netwerkverbinding maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelen. Typische verschillen zijn: sommige beveiligingsprotocollen voor draadloos verkeer zijn gebrekkig en hebben bekende zwakke plekken; op mobiele apparatuur opgeslagen informatie wordt mogelijk niet geback-upt wegens beperkte bandbreedte van het netwerk of omdat mobiele apparatuur mogelijk niet is aangesloten op de tijden waarop de back-ups zijn gepland. Mobiele apparatuur deelt in het algemeen gemeenschappelijke functies, bijv. netwerk, internettoegang, en bestandsbehandeling, met vaste gebruiksapparatuur. Beheersmaatregelen voor informatiebeveiliging van mobiele apparatuur bestaan in het algemeen uit maatregelen die zijn vastgesteld voor de vaste gebruiksapparatuur en de maatregelen tegen bedreigingen die ontstaan door het gebruik van de mobiele apparatuur buiten het gebouw van de organisatie. Geef onderstaand aan in welke mate wordt voldaan en licht uw antwoord zo nodig toe. Voeg documenten toe waaruit uw beantwoording blijkt. Ziet u verbeterpunten? Benoem deze hier. In de planmodule kunt u een risico analyse doen, prioriteren en te nemen stappen definiëren. a. De organisatie stelt beleid vast om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. b. De organisatie stelt ondersteunende beveiligingsmaatregelen vast om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. c. Bij het gebruikmaken van mobiele apparatuur let de organisatie er dat bedrijfsinformatie niet wordt gecompromitteerd. VOLDOET VOLDOET NIET VOLDOET VOLDOET NIET VAN BEPERKT GROTENDEELS GEHEEL TOEPASSING

22 d. In het beleid voor mobiele apparatuur houdt de organisatie rekening met de risico s van werken met mobiele apparatuur in onbeschermde omgevingen. e. In het beleid voor mobiele apparatuur neemt de organisatie de registratie van mobiele apparatuur in overweging. f. In het beleid voor mobiele apparatuur neemt de organisatie eisen voor fysieke bescherming in overweging. g. In het beleid voor mobiele apparatuur neemt de organisatie beperking van installeren van software in overweging. h. In het beleid voor mobiele apparatuur neemt de organisatie eisen voor softwareversies voor mobiele apparatuur en voor het toepassen van patches in overweging. i. In het beleid voor mobiele apparatuur neemt de organisatie beperking van verbinding met informatiediensten in overweging. j. In het beleid voor mobiele apparatuur neemt de organisatie toegangsbeveiligingsmaatregelen in overweging. k. In het beleid voor mobiele apparatuur neemt de organisatie cryptografische technieken in overweging. l. In het beleid voor mobiele apparatuur neemt de organisatie bescherming tegen malware in overweging. m. In het beleid voor mobiele apparatuur neemt de organisatie het op afstand onbruikbaar maken, wissen, uitsluiten in overweging. n. In het beleid voor mobiele apparatuur neemt de organisatie back-ups in overweging. o. In het beleid voor mobiele apparatuur neemt de organisatie gebruik van internetdiensten en -apps in overweging. p. Er is beveiliging om onbevoegde toegang tot of openbaarmaking van de op de apparaten opgeslagen of verwerkte informatie te voorkomen, bijv. door gebruik te maken van cryptografische technieken (zie hoofdstuk 10)

23 q. Er is beveiliging om onbevoegde toegang tot of openbaarmaking van de op de apparaten opgeslagen of verwerkte informatie te voorkomen, bijv. door het gebruik van geheime authenticatie-informatie af te dwingen (zie 9.2.4). r. Mobiele apparatuur is ook fysiek beveiligd tegen diefstal, in het bijzonder wanneer deze wordt achtergelaten in bijv. een auto of andere vervoermiddelen, in hotelkamers, conferentie- en ontmoetingscentra. s. De organisatie stelt een speciale procedure vast voor diefstal, verlies van mobiele apparatuur e.d. waarin rekening is gehouden met juridische, verzekerings- en andere veiligheidseisen die in de organisatie gelden. t. Apparatuur die belangrijke, gevoelige of essentiële bedrijfsinformatie draagt, wordt niet onbewaakt achtergelaten. u. Apparatuur die belangrijke, gevoelige of essentiële bedrijfsinformatie draagt, wordt, waar mogelijk, fysiek achter slot en grendel opgeborgen of er worden speciale sloten gebruikt om de apparatuur te beveiligen. v. Medewerkers die mobiele apparatuur gebruiken, zijn getraind zodat ze zich bewust worden van de extra risico s die deze manier van werken met zich meebrengt. w. Medewerkers die mobiele apparatuur gebruiken, weten welke beheersmaatregelen zijn geïmplementeerd. x. Als het beleid voor mobiele apparatuur toestaat dat medewerkers gebruikmaken van mobiele apparatuur die hun eigendom is, is in het beleid en gerelateerde veiligheidsmaatregelen scheiding van privéen zakelijk gebruik van de apparatuur in overweging genomen (met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat). y. Als het beleid voor mobiele apparatuur toestaat dat medewerkers gebruikmaken van mobiele apparatuur die hun eigendom is, is in het beleid en gerelateerde veiligheidsmaatregelen in overweging genomen dat om alleen toegang te verschaffen tot bedrijfsinformatie nadat gebruikers een eindgebruikersovereenkomst hebben ondertekend waarin zij hun

24 verplichtingen bevestigen (fysieke beveiliging, updaten van software enz.), afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of verlies van het apparaat of indien zij niet langer geautoriseerd zijn. z. Het beleid (bedoeld bij x en y) moet rekening houden met de privacywetgeving. aa. Draadloze verbindingen van mobiele apparatuur zijn gelijksoortig aan andere vormen van netwerkverbinding maar hebben belangrijke verschillen, waarmee de organisatie rekening houdt bij het identificeren van beheersmaatregelen Telewerken 7. Eisen: Veilig personeel 7.1 Voorafgaand aan het t dienstverbanderband Doelstelling: Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij in aanmerking komen Screening Beheersmaatregel: Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's te zijn. Toelichting Implementatierichtlijn: Verificatie behoort rekening te houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving, en behoort indien toegelaten, onderstaande zaken e t/m i te omvatten. Als een persoon wordt ingehuurd voor een specifieke informatiebeveiligingsrol, behoort de organisatie zich ervan te vergewissen dat: de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen; de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de organisatie. Als een functie, hetzij bij een eerste aanstelling, hetzij bij promotie, met zich meebrengt dat de persoon toegang heeft tot faciliteiten die informatie verwerken, en, in het bijzonder, indien het hierbij gaat om vertrouwelijke informatie, bijv. financiële informatie of zeer vertrouwelijke informatie, behoort de organisatie ook verdere, meer gedetailleerde verificaties te overwegen.

25 Procedures behoren criteria en beperkingen voor controleonderzoeken te definiëren, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Ook voor contractanten behoort voor een screeningprocedure te worden gezorgd. In die gevallen behoort de overeenkomst tussen de organisatie en de contractant de verantwoordelijkheden voor het uitvoeren van de screening te vermelden en de informatieprocedures die moeten worden gevolgd als de screening niet is afgemaakt of als de resultaten aanleiding geven tot twijfel of bezorgdheid. Informatie over alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden verzameld en verwerkt in overeenstemming met de relevante wetgeving aanwezig in het relevantie rechtsgebied. Afhankelijk van de toepasselijke wetgeving behoren kandidaten vooraf over de screeningactiviteiten te worden geïnformeerd. Geef onderstaand aan in welke mate wordt voldaan en licht uw antwoord zo nodig toe. Voeg documenten toe waaruit uw beantwoording blijkt. Ziet u verbeterpunten? Benoem deze hier. In de planmodule kunt u een risico analyse doen, prioriteren en te nemen stappen definiëren. a. De organisatie voert verificatie van de achtergrond van alle kandidaten voor een dienstverband uit in overeenstemming met relevante wet- en regelgeving. b. De organisatie voert verificatie van de achtergrond van alle kandidaten voor een dienstverband uit in overeenstemming met ethische overwegingen. c. De verificatie van de achtergrond van alle kandidaten voor een dienstverband staat in verhouding tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico s. d. De organisatie houdt bij verificatie rekening met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving. e. Indien toegelaten, omvat de verificatie de beschikbaarheid van positieve referenties, bijv. één zakelijke en één persoonlijke. f. Indien toegelaten, omvat de verificatie een verificatie (op volledigheid en nauwkeurigheid) van het curriculum vitae van de sollicitant. g. Indien toegelaten, omvat de verificatie bevestiging van de geclaimde academische en beroepskwalificaties. VOLDOET VOLDOET NIET VOLDOET VOLDOET NIET VAN BEPERKT GROTENDEELS GEHEEL TOEPASSING